Konfigurera och testa Sophos Firewall IPS
Intrusion Prevention System (IPS) är en av de viktigaste skyddsfunktionerna på Sophos Firewall. IPS kontrollerar trafik efter kända attackmönster, exploits och misstänkta protokollmönster. Rätt använt skyddar det klienter, servrar, publicerade tjänster och VPN-länkar utöver firewallregler, Web Protection, Application Control och TLS Inspection.
I praktiken är IPS däremot inte en brytare som ska aktiveras maximalt överallt. En felaktig eller för bred IPS Policy kan bryta legitim trafik, störa VoIP, förbruka prestanda eller skapa falska larm. Därför bör IPS aktiveras planerat, väljas lämpligt per regel och därefter kontrolleras med loggar och tester.
Vilken Security Inspection-artikel passar?
IPS är bara en del av Security Inspection. Beroende på problem eller rolloutmål kan en annan artikel passa bättre:
| Uppgift | Passande artikel |
|---|---|
| Aktivera IPS, välja policy och kontrollera false positives | Den här artikeln |
| Styra webbkategorier, Web Policies och användares webbtrafik | Konfigurera Sophos Firewall Web Protection med Web Policies |
| Dekryptera och kontrollera krypterad webbtrafik | Införa Sophos Firewall TLS Inspection korrekt |
| Kontrollera filer och nedladdningar via sandbox eller ML | Förstå och driva Sophos Firewall Zero-Day Protection |
| Blockera kända skadliga IPs, domäner eller URL:er | Konfigurera och driva Sophos Firewall Threat Feeds säkert |
| Minska enkla spoofing- eller floodingmönster | Kontrollera Sophos Firewall Spoof Protection och DoS Settings |
| Säkra publikt nåbara servrar med NAT och IPS | Publicera servrar via DNAT på Sophos Firewall |
| Analysera oväntade drops, rule ID eller IPS policy ID | Analysera droppade paket på Sophos Firewall |
På så sätt förblir skyddslogiken begriplig: firewallregler begränsar tillåten trafik, IPS kontrollerar denna trafik efter attackmönster, Web Protection styr webbinnehåll, TLS Inspection ger mer synlighet för HTTPS och Zero-Day Protection kompletterar fil- och nedladdningskontroller.
När IPS är meningsfullt
IPS lönar sig särskilt där trafik innebär högre risk eller där kända exploits ska blockeras tidigt.
Typiska användningsområden:
- Klientnät med internetåtkomst
- Servernät och DMZ:er
- DNAT-regler till interna servrar
- Site-to-site-VPN-trafik mellan platser
- Remote Access-trafik när interna system nås efter VPN-inloggning
- VoIP, endast med försiktigt policyval och tester
- särskilt kritiska segment som management-, backup- eller infrastrukturnät
För publicerade servrar bör IPS alltid ses tillsammans med ren NAT, snäva firewallregler, logging och patch management. Artikeln Publicera servrar via DNAT på Sophos Firewall förklarar rätt sammanhang för NAT och firewallregler. För grundläggande regelstruktur passar Förstå och konfigurera Sophos Firewall-regler korrekt.
Förutsättningar
IPS fungerar bara när nödvändiga förutsättningar är uppfyllda.
Kontrollera före rollout:
- En aktiv Network Protection subscription eller triallicens finns.
- IPS Protection är aktiverat under Intrusion prevention > IPS policies.
- Pattern updates fungerar och firewallen kan nå Sophos uppdateringstjänster.
- Firewallregler innehåller passande IPS Policies under Detect and prevent exploits (IPS).
- Logging är aktiv för berörda regler och loggtyper.
- Det finns ett flöde för false positives, undantag och policyanpassningar.
Om Network Protection-subscription löper ut kan IPS-reglaget fortfarande se aktivt ut, även om IPS inte längre verkställs. Om IPS inaktiveras manuellt eller efter att en trial löper ut kan signaturer, uppdateringar och konfigurationsmöjligheter begränsas beroende på tillstånd. Före avstängning bör därför en backup eller export av IPS-konfigurationen planeras.
Varning: IPS är beroende av licens och uppdateringar. En firewallregel med vald IPS Policy betyder inte automatiskt att IPS faktiskt skyddar. Licensstatus, global IPS-aktivering, signaturer och loggar måste kontrolleras.
Aktivera IPS globalt
Den globala aktiveringen görs i Sophos Firewalls webbgränssnitt:
- Öppna Intrusion prevention > IPS policies.
- Aktivera IPS Protection.
- Kontrollera licensmeddelanden.
- Vänta tills signaturer är tillgängliga.
- Kontrollera befintliga standardpolicies.
- Klona vid behov en egen policy från en befintlig policy.
Ändringar av vissa accelerationsfunktioner kan starta om IPS. Sådana ändringar bör därför inte göras under produktiv felsökning eller i ett snävt underhållsfönster utan plan.
Välja rätt IPS Policy
IPS Policies bör passa trafiken. Den hårdaste policyn är inte automatiskt den bästa.
| Trafik | Typisk IPS-inriktning | Viktig kontroll |
|---|---|---|
| Klienter mot internet | Klient- eller LAN-to-WAN-policy | Ta även hänsyn till Web, Application Control och TLS Inspection |
| Internet till intern server via DNAT | Server- eller webserverpolicy | Observera målsystem, portar och false positives noggrant |
| Site-VPN | Policy beroende på käll- och målsystem | Testa prestanda, MTU/MSS och applikationer |
| VoIP | mycket försiktig och specifik | SIP/RTP får inte brytas av för aggressiva signaturer |
| Managementnät | riktad och restriktiv | Testa adminåtkomst, monitoring och backuptrafik |
En egen IPS Policy är meningsfull om en standardpolicy är för bred eller om bara vissa signaturer med anpassad åtgärd behövs. Men signaturer ska inte inaktiveras utan plan. Först måste det vara tydligt vilken trafik som påverkas, vilken signatur som utlöstes och om det verkligen är en false positive.
Bygga egna IPS Policies rent
Egna IPS Policies bör klonas från en befintlig policy och sedan anpassas riktat. IPS Policy-regler innehåller signaturer och en åtgärd. Firewallen utvärderar dessa regler uppifrån och ned. Därför kan en för bred regel ovanför en specifik regel dölja önskat beteende.
För signaturer är framför allt dessa fält viktiga:
| Fält | Betydelse i drift |
|---|---|
| SID | unik signatur-ID för loggar, tickets och undantag |
| Category | tekniskt område, till exempel browser, operativsystem, DNS, RPC eller malware |
| Severity | hotets allvarlighetsgrad |
| Platform | målplattform, till exempel Windows, Linux eller browserrelaterade komponenter |
| Target | klient- eller serverrelaterad signatur |
| Recommended action | standardåtgärd rekommenderad av Sophos |
Åtgärden i en policyregel kan skriva över den rekommenderade signaturåtgärden. Det är användbart, men riskabelt. Ett generellt Allow packet, Disable eller Bypass session kan ta bort skydd utan att det märks direkt i vardagen senare.
Praktisk hantering av åtgärder:
| Åtgärd | När den kan vara rimlig | Risk |
|---|---|---|
| Recommended | Standard för de flesta produktionsregler | Beteende beror på signaturen |
| Allow packet | Observation utan blockering, till exempel i pilot | Attacken förhindras inte |
| Drop packet | Droppa enskilda paket | Kan störa applikationer |
| Drop session | Avsluta session när en attack ska förhindras | Starkare ingrepp i produktionstrafik |
| Reset | Aktivt återställa TCP-session | Användare eller applikation ser hårda avbrott |
| Disable | Inaktivera signatur | Skyddet försvinner för denna signatur |
| Bypass session | Inte längre skanna resten av sessionen | Kan ta mer trafik ur kontrollen än väntat |
För produktionspolicies är därför en kort ändringsnotis nyttig: vilken signatur ändrades, varför, i vilken policy, för vilken firewallregel och till när ska anpassningen granskas igen?
Använda IPS i firewallregler
IPS aktiveras inte bara globalt. Policyn måste också användas i rätt firewallregel.
- Öppna Rules and policies > Firewall rules.
- Redigera eller skapa relevant regel.
- Under Other security features, aktivera Detect and prevent exploits (IPS).
- Välj passande IPS Policy.
- Aktivera regellogging.
- Spara ändringen.
- Testa trafiken kontrollerat.
Vid flera överlappande regler är ordningen avgörande. Om trafik träffar en regel utan IPS hjälper inte IPS Policy i en senare regel. För sådana fall är Sophos Firewall-regel matchar inte: kontrollera orsaker den bättre fortsättningsartikeln.
Rollout i produktionsmiljöer
IPS bör införas stegvis.
1. Starta med pilotregler
Välj först en liten, välkänd regel, till exempel ett klienttestnät eller en enskild DNAT-regel. Kontrollera därefter loggar och testa med verkliga applikationer.
2. Utvärdera träffar
Filtrera efter IPS-händelser i Log viewer. Källa, destination, tjänst, regel, signatur, åtgärd och tidpunkt är viktiga. Om flera skyddsmoduler är inblandade måste Web, Application Control, SSL/TLS Inspection och firewallloggar ses tillsammans.
3. Avgränsa false positives
Om legitim trafik blockeras bör IPS inte genast inaktiveras globalt. En snäv analys är bättre:
- Vilken signatur utlöstes?
- Vilken applikation eller tjänst påverkades?
- Gäller det en host, ett nät eller bara en port?
- Är målsystemet aktuellt patchat?
- Är en snävare firewallregel möjlig?
- Räcker en anpassad IPS Policy i stället för ett globalt undantag?
4. Utöka stegvis
Först när pilotregeln är stabil bör IPS rullas ut till fler regler. Särskilt för VoIP, ERP-system, industriella protokoll, VPN-länkar och äldre applikationer behövs testfönster och återgångsplan.
Kontrollera undantag och signaturändringar
IPS-undantag är säkerhetsbeslut. Om en signatur stör legitim trafik kan en anpassning behövas. Ändå bör man inte reflexmässigt försvaga hela IPS Policy eller inaktivera IPS på regeln. Först måste det vara tydligt om det verkligen är en false positive eller om signaturen synliggör en verklig risk.
Före ett undantag bör minst detta samlas in:
| Information | Varför den är viktig |
|---|---|
| Signatur-ID och signaturnamn | visar vilken detektion som utlöstes |
| Källa, destination, tjänst och firewallregel | avgränsar berörd trafik |
| Tidpunkt och frekvens | skiljer enskild händelse från återkommande mönster |
| Applikation eller protokoll | hjälper bedöma om trafiken är legitim |
| Patchnivå på målsystemet | minskar risken att tillåta en verklig exploit |
| Packet Capture eller loggutdrag | ger bevis före policyändringen |
Om ett undantag behövs bör det sättas så snävt som möjligt:
- inaktivera enskild signatur i stället för hel kategori
- använda egen IPS Policy exakt för den berörda firewallregeln
- kontrollera policyregelordning så att specifika regler inte döljs av breda regler
- snäva in källa, destination och tjänst i firewallregeln
- dokumentera undantag med skäl, owner och reviewdatum
- efter ändringen kontrollera att bara förväntad trafik påverkas
Ett tillfälligt undantag är ofta bättre än en permanent avstängning. Efter en applikationsuppdatering, firmwareupdate eller patch av målsystemet bör undantaget granskas igen. Om många signaturer stör samma applikation är oftast en egen policy eller ren segmentering bättre än ett stort globalt undantag.
Logging och troubleshooting
För IPS-analys behövs flera perspektiv.
| Verktyg | Vad det hjälper med |
|---|---|
Log viewer | IPS-träffar, signatur, åtgärd, källa, destination, regel |
ips.log | djupare indikationer om IPS-, DPI- och Application Control-beslut |
| Packet Capture | paketflöde, rule ID, NAT ID, IPS policy ID och riktning |
| Regeltest | kontroll av vilken firewallregel som faktiskt matchar |
| Syslog eller Central Reporting | längre lagring och korrelation |
Artikeln Sophos Firewall troubleshooting: tjänster och loggar placerar ips.log och relaterade loggfiler. För kombinationen Log Viewer och Packet Capture passar Testa Sophos Firewall-regel med Log Viewer och Packet Capture. Om paket droppas oväntat hjälper Analysera droppade paket på Sophos Firewall.
Beakta prestanda
IPS kostar resurser. Hur mycket lasten ökar beror på modell, trafik, aktiverade signaturer, TLS Inspection, Application Control, VPN, paketstorlek och throughput.
Före och efter aktivering bör detta kontrolleras:
- CPU- och minnesbelastning
- IPS- och DPI-relaterad belastning
- Throughput på berörda interfaces
- Latens och retransmits för kritiska applikationer
- Loggvolym och syslogbelastning
- Användar- eller applikationsmeddelanden efter ändringen
Om ett throughputproblem misstänks bör IPS inte bara inaktiveras och ärendet avslutas. Bättre är en jämförelse med tydlig testmetod, till exempel via Tolka Sophos Firewall-prestandadata korrekt och Testa Sophos Firewall-prestanda med iPerf.
Typiska fel
- IPS Protection är globalt avstängt.
- Network Protection har löpt ut eller är inte aktivt.
- Ingen IPS Policy är vald i firewallregeln.
- Trafik träffar en annan regel än förväntat.
- Logging är inaktiverat på den berörda regeln.
- En serverpolicy används på klienttrafik eller tvärtom.
- VoIP eller specialprotokoll kontrolleras med aggressiv policy utan pilotfas.
- False positives löses med global inaktivering i stället för snäv anpassning.
- Signaturer inaktiveras utan bevis, owner eller reviewdatum.
- Efter att en trial löpt ut kontrolleras inte om signaturer eller policies fortfarande är tillgängliga.
- Prestandaproblem jämförs inte med mätvärden före och efter ändringen.
Driftchecklista
- Network Protection eller triallicens kontrollerad.
- IPS Protection aktiverat under Intrusion prevention > IPS policies.
- Signaturer och pattern updates kontrollerade.
- Passande IPS Policy vald per firewallregel.
- Regellogging aktiverad.
- Pilotregel testad med verklig trafik.
Log viewerochips.logkontrollerade.- Process för false positives definierad.
- IPS-undantag snävt dokumenterade och senare granskade igen.
- Egna IPS Policies innehåller inga omotiverade
Allow,DisableellerBypass sessionregler. - Prestanda före och efter aktivering jämförd.
- Kritiska undantag dokumenterade och försedda med reviewdatum.
FAQ
Måste IPS aktiveras globalt och i firewallregeln?
Vilken licens behöver Sophos Firewall IPS?
Bör man alltid använda den strängaste IPS Policy?
Var ser man IPS-träffar?
Log viewer. För djupare analys är även ips.log relevant. Packet Capture hjälper att klassificera paketflödet, regeln och IPS policy ID.