Hoppa till innehållet
Avanet

Konfigurera Sophos Firewall efter Setup Wizard

Sophos Firewall

Sophos Firewall är kärnan i en av världens starkaste plattformar för nätverkssäkerhet. Den här artikeln beskriver stegen för att ta en ny Sophos Firewall i drift och konfigurera den korrekt. Den går igenom förutsättningar för installationen, registrering av firewallen, integration med Sophos Central och aktivering av licenser.

Det är förstås enklare med en video, och Sophos har redan gjort en bra genomgång.

Sophos Firewall: Basic setup and registration

Förutsättningar för installationen

Innan Sophos Firewall konfigureras behöver några förutsättningar vara uppfyllda:

  1. Aktiv internetanslutning: Firewallen behöver en fungerande internetanslutning för registrering och licenssynkronisering.
  2. DNS-konfiguration: En publik DNS-server, till exempel 8.8.8.8 (Google DNS), bör vara konfigurerad.
  3. Tillåten port 443: Utgående trafik via port 443 måste vara tillåten på alla upstream-enheter.

Det är valfritt att skapa ett Sophos Central-konto i förväg. Den här artikeln visar även hur detta steg görs under installationen.

Anslutningar och nätverkskonfiguration

När Sophos Firewall har packats upp, till exempel en XGS 118, bör följande kontrolleras:

  1. WAN-anslutning: WAN-gränssnittet ansluts till port 2 för att etablera internetanslutningen.
  2. LAN-anslutning: LAN-gränssnittet på port 1 ansluts till en lokal enhet. Enheten får automatiskt en IP-adress i subnätet 172.16.16.x.
  3. Management-gränssnitt (om tillgängligt): På större modeller finns ofta en dedikerad management-port (MGMT) med standard-IP 10.0.1.1. Det rekommenderas att använda den porten för grundinstallationen.

Åtkomst till webbgränssnittet

Sophos Firewall konfigureras via en webbläsare. Beroende på vilket gränssnitt som används öppnas en av följande URL:er:

  • LAN-port: https://172.16.16.16:4444
  • Management-port: https://10.0.1.1:4444

Vid första åtkomsten visas en varning om det självsignerade certifikatet, som måste accepteras. Därefter öppnas välkomstsidan.

Första installationen med Setup Wizard

  1. Sätt adminlösenord: Ett nytt lösenord för adminanvändaren måste anges och bekräftas.
  2. Firmwareuppdatering: Om det behövs installeras den senaste firmwareversionen automatiskt under installationen.
  3. Secure Storage Master Key: En Master Key skapas för säker lagring och används för kryptering av känsliga data. Nyckeln bör sparas säkert i en lösenordshanterare. Den behövs bland annat när en krypterad backup ska återställas på en ny firewall. Om Master Key går förlorad kan den återställas med adminlösenord och SSH-åtkomst. Data eller backuper som skyddats med den gamla nyckeln kan dock inte automatiskt återställas utan ytterligare steg.

Internetanslutning och DNS-kontroll

I nästa steg kontrolleras om firewallen har en fungerande internetanslutning. Om problem uppstår kan inställningarna justeras manuellt. En publik DNS-server som 8.8.8.8 rekommenderas.

Registrera Sophos Firewall

Sophos Firewall kan registreras direkt eller senare. Utan registrering kan firewallen användas i upp till 30 dagar. Registreringen görs via plattformen Sophos Central.

Steg för registrering

  1. Gör anspråk på firewallen i Sophos Central: Efter registreringen görs firewallen anspråk på i Sophos Central. Om inget Sophos Central-konto finns ännu kan det skapas direkt under installationen.
  2. OTP-registrering: Registreringen använder ett One-Time Password (OTP) som tillhandahålls av Sophos Central.

Aktivera licenser

Efter registreringen kontrollerar Sophos Firewall sina licenser mot Sophos licensserver. Sedan oktober 2024 aktiveras licenser normalt direkt av Sophos vid köp. Om firewallen har internetåtkomst hämtar den automatiskt aktuell licensinformation.

Hos Avanet fungerar processen på liknande sätt: när en Sophos Firewall-prenumeration köps aktiverar vi normalt licenserna åt kunden. Om en viss starttid önskas vid beställningen kan detta tas med i planeringen. Sophos licensserver känner då redan till licensen och firewallen kan ta över den automatiskt efter registrering.

Efter installationen kontrolleras under Administration > Licensing att Base License, Support och de bokade prenumerationerna visas korrekt. Om informationen inte är aktuell kan licenssynkroniseringen startas manuellt med synkroniseringsknappen.

Anslutning till Sophos Central

För drift av en enskild Sophos Firewall är Sophos Central inte obligatoriskt. Firewallen kan hanteras helt lokalt via WebAdmin. Sophos Central ger däremot flera fördelar när funktionerna används medvetet:

  • central översikt över en eller flera firewalls
  • management-åtkomst via Sophos Central utan att publicera WebAdmin direkt mot internet
  • lagring av konfigurationsbackuper i Sophos Central
  • Central Firewall Reporting med logg- och rapportdata i molnet
  • beroende på licens längre logglagring och ytterligare rapportfunktioner
  • Synchronized Security med Sophos Endpoint, till exempel Security Heartbeat och automatiserade reaktioner vid komprometterade enheter

Viktigt: en molnkoppling är inget krav. Den som bara vill hantera en enskild firewall lokalt kan fortsätta göra det. Miljöer med flera Sophos-produkter eller flera firewalls får däremot betydligt bättre överblick med Sophos Central.

Mer information finns i artikeln Anslut Sophos Firewall till Sophos Central: fördelar och gränser.

Steg för anslutning till Sophos Central

  1. Firewall Management i Sophos Central: I Sophos Central Dashboard under “Firewall Management” kan firewallen läggas till genom att serienumret anges.
  2. OTP-autentisering: En OTP-kod används för att slutföra registreringen.
  3. Aktivera tjänster: Slutligen aktiveras Sophos Central-tjänsterna på firewallen.

Avsluta installationen

När installationen är klar startar firewallen om. Efter omstarten kan licenserna kontrolleras och aktiveras igen. Dessutom konfigureras automatiska konfigurationsbackuper som skickas via e-post varje vecka.

Vad som bör göras efter Setup Wizard

Efter Setup Wizard är Sophos Firewall nåbar, registrerad och i grunden redo att användas. Det betyder inte att miljön redan är rent segmenterad eller fullt säkrad. Guiden skapar en första grundkonfiguration, men produktionsarbetet börjar efteråt: gränssnitt, zoner, Device Access, DNS, DHCP, Firewall Rules, NAT, loggar, backuper och skyddsprofiler måste kontrolleras medvetet.

Sophos Firewall är ingen konsumentrouter där arbetet är klart efter guiden. Den kan säkra ett nätverk mycket väl, men bara om arkitekturen är rätt: zoner måste följa säkerhetslogiken, management-åtkomst måste begränsas, regler bör skapas och dokumenteras avsiktligt, och skyddsfunktioner som web filtering, IPS, Application Control eller TLS Inspection måste aktiveras och testas medvetet. En felkonfigurerad firewall kan skapa en falsk känsla av säkerhet.

Det första praktiska stället att kontrollera är Control Center. Där visas systemstatus, trafik, användar- och enhetsinformation, Active Threat Response, aktiva Firewall Rules, rapporter och information som ny firmware. Varningar och meddelanden i det området bör inte bara klickas bort, utan användas som en praktisk checklista för efterarbetet.

Kontrollera firmware, licens och backup

Öppna Backup & firmware och kontrollera om aktiv firmware är aktuell. Firmwareuppdateringar är säkerhetsrelevanta eftersom de innehåller felrättningar, stabilitetsförbättringar och security fixes. Uppdateringar bör inte skjutas upp permanent, men de bör inte heller installeras utan förberedelse.

Sophos Firewall använder två firmware-slots. Det gör att en tidigare firmwareversion kan startas igen om problem uppstår. Trots det bör en manuell backup skapas före varje större ändring. På produktionsfirewalls planeras ett servicefönster och release notes, HA-status, ledigt lagringsutrymme, VPN-beroenden och extern nåbarhet kontrolleras.

Under Backup & firmware bör regelbundna backuper också konfigureras. Krypterade backuper kräver ett backuplösenord. För återställning av känsliga data är även Secure Storage Master Key relevant. Den nyckeln hör hemma i en lösenordshanterare. Om den går förlorad kan den återställas via konsolen, men befintliga skyddade backuper kan inte återställas normalt med den nya nyckeln.

Kontrollera därefter under Administration > Licensing att registrering, Base License och bokade prenumerationer visas korrekt. Utan rätt licens fungerar många skyddsfunktioner inte eller bara med begränsningar. För uppdateringar hjälper artiklarna Sophos Firewall Firmware Update - förberedelse och best practices och Uppdatera firmware på Sophos Firewall. Backuper förklaras mer detaljerat i Skapa eller återställ en Sophos Firewall-backup.

Planera zoner och gränssnitt rent

På hårdvaruappliances kan guiden kombinera flera LAN-portar i en bridge. Det är praktiskt för en snabb start, men inte alltid den bästa målarkitekturen. Under Network > Interfaces kontrolleras vilka portar, VLAN, bridges eller LAGs som faktiskt behövs.

Varje gränssnitt tilldelas exakt en zon. Den tilldelningen avgör senare hur Firewall Rules, Device Access och skyddsprofiler tillämpas. Typiska produktionszoner är till exempel LAN, Server, DMZ, Guest, VoIP, Management eller VPN. Alla VLAN behöver inte nödvändigtvis en egen zon, men varje zon bör ha en tydlig säkerhetsbetydelse.

Mer information finns i Planera och konfigurera zoner och gränssnitt i Sophos Firewall.

Säkra Device Access

Ett vanligt fel efter första installationen är för mycket management-åtkomst. Åtkomst till lokala tjänster på firewallen, till exempel Web Admin, SSH, User Portal, DNS eller Ping, styrs inte av vanliga Firewall Rules. Det hanteras i Administration > Device access.

För produktionssystem bör HTTPS och SSH inte vara brett tillåtna från osäkra zoner. Om extern åtkomst behövs bör en Local service ACL exception rule användas och åtkomsten begränsas till fasta IP-adresser eller definierade management-nät. Alternativt är Sophos Central Firewall Management ofta den renare lösningen.

Mer information finns i Säkra åtkomst till Sophos Firewall: konfigurera Device Access korrekt.

Kontrollera DNS, DHCP och intern namnuppslagning

Under Network > DNS definieras hur Sophos Firewall får DNS-servrar: via DHCP, PPPoE-information från operatören eller statiskt. För interna domäner bör DNS request routes användas så att frågor för interna zoner skickas till rätt intern DNS-server.

DHCP konfigureras per gränssnitt under Network > DHCP. Det är viktigt att DHCP-intervall passar gränssnitts- och VLAN-strukturen. Om DHCP ska vidarebefordras över VPN-förbindelser kan firewallen även fungera som DHCP Relay. För interna domäner är Konfigurera DNS request routes på Sophos Firewall användbar. Särskilda DHCP-alternativ beskrivs i Konfigurera Sophos Firewall DHCP Options.

Kontrollera de första Firewall och NAT Rules

Den default outbound-regel som guiden skapar bör inte accepteras blint. Under Rules and policies > Firewall rules bör man kontrollera vilka source zones som tillåts, vilka destinationer som ska kunna nås och vilka security features som är aktiva. Regler bearbetas uppifrån och ned; den första matchande regeln vinner.

För NAT gäller: NAT tillåter ingen trafik på egen hand. Det krävs alltid även en passande Firewall Rule. För nya konfigurationer är fristående NAT rules oftast tydligare än Linked NAT Rules. Grunderna finns i Förstå och konfigurera Sophos Firewall Rules korrekt och Förstå NAT på Sophos Firewall: SNAT, DNAT, MASQ, PAT. Om en intern server ska publiceras passar artikeln Publicera en server med DNAT på Sophos Firewall.

Förbered loggning och troubleshooting

Aktivera Log firewall traffic i viktiga Firewall Rules, annars saknas ofta exakt den information som behövs vid felsökning. Många administratörer missar detta: om en Firewall Rule inte loggar visas matchande trafik inte på ett användbart sätt i Log Viewer. Andra systemhändelser kan synas, men inte det konkreta regelbeslut som faktiskt behövs.

Under System services > Log settings kan man definiera vilka loggtyper som skickas lokalt, till syslog-servrar eller till Sophos Central. Firewallen har lokala loggfiler och en intern rapportdatabas, men dessa är inte avsedda som långtidsarkiv för veckor, månader eller år. Om loggar ska bevaras permanent eller sökas centralt behövs antingen en extern syslog-server eller Sophos Central Firewall Reporting.

För Sophos Central gäller ungefär: med en aktiv firewall-prenumeration finns Central Firewall Reports tillgängliga under en begränsad period. Med Xstream Protection eller Central Orchestration är längre analyser möjliga. Sophos Central Firewall Reporting Advanced ger extra lagring och betydligt längre retention. Detaljerna beskrivs i den separata rapporteringsartikeln.

För första analys räcker oftast Log viewer, Policy tester och Packet capture. För djupare analyser kan CLI-loggar samlas in, debug logs aktiveras eller tcpdump användas. Debug logs bör bara aktiveras medvetet och tidsbegränsat eftersom de genererar betydligt mer data. Hur regler testas visas i Testa Firewall Rules med Log Viewer, Policy Test och Packet Capture. För Packet Capture, tjänstenamn och loggfiler finns artiklarna Använd Packet Capture i WebAdmin och Förstå Sophos Firewall-tjänster och loggfiler. Om loggar ska skickas till Sophos Central eller samlas in för support hjälper Aktivera Central Firewall Reporting och Spara Sophos Firewall-loggar för extern analys.

Support

Efter grundkonfigurationen är Sophos Firewall funktionell och redo att användas. Samtidigt bör man komma ihåg att firewallen i det här läget långt ifrån är fullt säkrad. Det egentliga arbetet börjar nu: konfigurering av gränssnitt, zoner, Firewall Rules, Intrusion Prevention Systems (IPS), policyer och mer är nödvändigt för en säker och robust nätverkssäkerhetslösning.

Vår långsiktiga plan är att skapa detaljerade videor för varje sådant steg för att förenkla konfigurationen och uppnå bästa möjliga säkerhet. Under tiden hjälper vårt supportteam gärna till med installation, optimering eller migrering av Sophos Firewall.