Hoppa till innehållet
Avanet

Sophos Firewall VLAN ställ in och testa

Sophos Firewall

Ett VLAN på Sophos Firewall är mer än ett VLAN ID. För att det nya nätverket verkligen ska fungera måste föräldragränssnitt, switchtaggning, zon, IP-adress, DHCP, DNS, Device Access, brandväggsregler och NAT matcha.

Artikeln beskriver det generiska Sophos brandväggsflöde och viktiga operativa beslut kring segmentering, zon, DHCP, regler och testning. När det kommer till en konkret implementering med UniFi-switchar så passar artikeln VLAN Sophos Firewall och konfigurera UniFi-switch. För speciella bryggfall enligt SFOS 22 är Sophos Firewall Kontrollera bridge-VLANs enligt SFOS 22 den bättre starten.

Kort svar

En VLAN skapas på Sophos Firewall på Network > Interfaces > Add interface > Add VLAN. Efter det behöver du vanligtvis:

  • en lämplig zon
  • en statisk IP-adress som en gateway
  • DHCP server eller DHCP relä
  • DNS design
  • Device Access för lokala brandväggstjänster
  • Brandväggsregler för Internet, interna nätverk eller servrar
  • Loggning och ett kort acceptanstest

Endast när en testklient visar IP-adress, gateway, DNS, tillåtna anslutningar, blockerade anslutningar och lämpliga loggposter godkänns VLAN.

När ett VLAN är vettigt

VLANs logiskt skiljer Layer 2-nätverk från varandra. På Sophos Firewall används de ofta för att dirigera flera nätverk över samma fysiska upplänk eller en LAG.

Typiska applikationer:

  • Separat klientnätverk och servernätverk
  • Isolera gäst WLAN från intern LAN
  • Sätt VoIP telefoner i sitt eget nätverk
  • Begränsa IoT, kameror eller skrivare
  • Skapa ett hanteringsnätverk för administratörsdatorer, switchar och övervakning
  • DMZ eller servernätverk via en gemensam switch upplänk

En VLAN ersätter dock inte brandväggsregler. Det säkerställer teknisk separation på lager 2. Huruvida trafik tillåts mellan VLANs avgörs sedan av Sophos Firewall via zoner, routing, brandväggsregler, NAT och säkerhetspolicyer.

VLAN planarkitektur

Den viktigaste frågan är inte hur man skapar en VLAN. Den viktigare frågan är vilka säkerhetsområden ska det finnas i nätverket. Många problem uppstår eftersom VLANs skapas rent tekniskt: VLAN 10, VLAN 20, VLAN 30. Efter några månader vet ingen vilken kommunikation som ska tillåtas och varför vissa nätverk kopplades bort.

Vi rekommenderar att först planera VLANs utifrån risk, funktion och operativt ansvar. En bra startstruktur ser ofta ut så här:

RäckviddTypiska enheterVarför koppla från?
HanteringAdmin-datorer, switchar, åtkomstpunkter, övervakning, kontrollerÅtkomst till administrationsgränssnitt bör kontrolleras mycket noggrant.
KlienterArbetsstationsenheter, bärbara datorer, vanliga användarenheterStandardnätverk med Internetåtkomst och riktade interna utgåvor.
ServerDomänkontrollanter, filservrar, applikationsservrarServrar bör inte vara direkt åtkomliga från alla klientnätverk.
GästerGäst WLAN, externa enheterIngen tillgång till interna system, mestadels bara internet.
IoT och kamerorKameror, skrivare, sensorer, byggnadsteknikMånga enheter har svaga uppdaterings- och säkerhetsmodeller.
VoIPTelefoner, PBX, SBCQoS, egna DHCP-alternativ och tydlig tillgänglighet är till hjälp.
SäkerhetskopieringSäkerhetskopieringsservrar, förråd, oföränderlig lagringSkydd mot ransomware och rörelse i sidled.
DMZAllmänt tillgängliga system eller omvända proxyservrarSeparat område för exponerade tjänster.

Detta är inte ett stelbent schema. Ett litet kontor behöver inte nödvändigtvis tio VLANs. En miljö med flera platser, servrar, WLANs, kameror, backupsystem och extern åtkomst bör dock inte placera allt i en stor LAN.

Klassificera mikrosegmentering realistiskt

Mikrosegmentering betyder inte att varje enskild enhet behöver sin egen VLAN. I praktiken är den bättre starten vanligtvis ren makrosegmentering: klienter, servrar, hantering, gäster, IoT, backup och DMZ är separerade. Särskilt kritiska system kan då segmenteras finare.

Exempel på finare segmentering:

  • Placera domänkontrollanten i sitt eget serverundernät.
  • Gör säkerhetskopieringssystem endast tillgängliga från ett fåtal källor.
  • Tillåt kameranätverk endast till NVR eller VMS.
  • Gör skrivare endast tillgängliga via skrivarservrar eller definierade klientnätverk.
  • Management-VLAN endast öppen för administratörsenheter och övervakning.

Det är viktigt: Varje ytterligare separation genererar också driftskostnader. Det behövs regler, loggar, tester, dokumentation och någon för att upprätthålla undantagen. Bra segmentering är inte så komplicerat som möjligt, utan snarare begriplig och verifierbar.

Förberedelse för ZTNA och modern åtkomst

En ren VLAN-struktur hjälper också senare med ZTNA, VPN, SASE eller andra åtkomstkoncept. Om interna applikationer redan finns i tydliga server- eller applikationsnätverk kan åtkomst publiceras mer specifikt och du behöver inte släppa en komplett platt LAN.

Följande är särskilt användbart för ZTNA:

  • Applikationsservrar finns i kända servernätverk.
  • Hanteringsåtkomst är separerad från normal klienttrafik.
  • DNS namn och interna rutter är tydligt dokumenterade.
  • Brandväggsregler visar vilka användare eller platsgrupper som kräver vilka mål.
  • Gammal filt LAN to LAN eller Any to Any regler kommer att demonteras.

Om Sophos ZTNA används senare kan du komma igång via Planera och skapa Sophos ZTNA-gateway. VLAN planering är inte ett nödvändigt krav för detta, men det gör senare operationer mycket renare.

Hur många VLANs behöver du?

Det finns inget fast korrekt nummer. Du bör skapa VLANs där ditt eget säkerhetsbeslut är nödvändigt.

BeOm så är fallet talar det för sin egen VLAN
Behöver nätverket andra brandväggsregler?Planera din egen zon eller åtminstone ditt eget VLAN objekt.
Ska Device Access vara annorlunda?Din egen zon är ofta vettig.
Finns det andra DHCP-alternativ?Din egen VLAN är vanligtvis renare.
Ska trafik loggas eller övervakas separat?Egen VLAN förbättrar utvärdering och felsökning.
Har enheter en väsentligt annorlunda risk?Separation är vettigt, till exempel IoT, gäster, backup.
Finns det andra ansvariga parter?Din egen VLAN gör drift och dokumentation enklare.

Men du bör inte omedelbart tvinga in varje litet specialämne till ett nytt VLAN. Om två klientnätverk får exakt samma regler, samma webbpolicy och samma Device Access, kan det räcka med en gemensam zon med tydliga nätverksobjekt.

Planera i förväg

Innan du skapar den bör VLAN dokumenteras kort. Detta behöver inte vara en stor nätverksplan, men de viktigaste värdena bör vara tydliga.

FältExempel
VLAN NamnClients
VLAN ID100
subnät10.100.0.0/24
Gateway på Sophos Firewall10.100.0.1
Förälders gränssnittPort3 eller LAG1
ZonClient , LAN, Guest , Server eller DMZ
DHCPSophos Firewall, DHCP relä eller extern server
DNSBrandvägg, intern DNS server eller medvetet annan design
SyfteArbetsstationsklienter med Internetåtkomst

Zonen är särskilt viktig. Den här inställningen påverkar senare brandväggsregler, Device Access, webbpolicyer, IPS, loggar och felsökning. Sophos Firewall Konfigurera zoner och gränssnitt är lämplig för grundläggande zonplanering.

Förstå föräldragränssnitt och switchtaggning

Föräldragränssnittet är den fysiska porten, bryggan eller LAG på vilken Sophos Firewall tar emot de taggade VLAN-paketen. VLAN ID på Sophos Firewall måste matcha exakt vad switchen skickar på den här länken.

Typiska mönster:

DesignBeskrivning
Fysisk port som trunkEn switch upplänk transporterar flera VLAN taggade till brandväggen.
LAG som en trunkFlera fysiska portar bildar en LAG, på vilken det finns flera VLAN-gränssnitt.
Åtkomstport utan VLAN-taggEn terminalenhet hänger omärkt i en VLAN; taggningen sker på switchen, inte på klienten.
Brygga med VLANsSpeciellt fall, kontrollera noggrant speciellt för migrationer eller transparenta mönster.

Om en vanlig klientdator är direkt ansluten till en switchport, skickar den normalt omärkta. Switchen tilldelar sedan denna port till en VLAN. Sophos Firewall ser bara VLAN på upplänken när switchen transporterar VLAN taggade till brandväggen.

Individuella portar eller VLAN trunk via LAG?

Du kan teoretiskt sett använda din egen fysiska brandväggsport per VLAN. Detta är förståeligt för mycket små installationer, men skalas dåligt. Portar blir knappa, kablaget blir förvirrande och ändringar av zoner, switchar eller HA blir tråkigare senare.

I produktiva miljöer är en trunkdesign vanligtvis renare:

  1. Sophos Firewall är ansluten till en eller flera kärnomkopplare.
  2. En fysisk port eller en LAG transporterar flera VLANtaggade.
  3. På brandväggen skapas separata VLAN-gränssnitt på detta överordnade gränssnitt för varje VLAN.
  4. Brandväggen förblir standardgatewayen för VLANs och beslutar om routing och säkerhetspolicyer.

Vår föredragna variant är ofta en LAG med två snabba upplänkar, till exempel 2x SFP+, så länge brandväggen och switcharna stödjer detta. VLANs körs sedan på det som taggade gränssnitt. Detta betyder inte automatiskt dubbelt så hög hastighet för en enda session, men det ger mer redundans, fler reserver och en tydligare design än många enskilda kopparportar per VLAN.

DesignAdvantageNackdel
Pro VLAN sin egen brandväggsportlätt att förstå, lite VLAN kunskap krävsskalas dåligt, många portar, förvirrande kablar
En trunkport med VLANsenkel, ren, få kablarUplink är singelpunkt för fel
LAG med VLAN trunkSwitchSwitch @ EG 5 cal, cal@ LAG/LACP stöds korrekt
Routning på kärnswitchmycket presterande i stora nätverkBrandväggen ser inte längre helt intern öst-västtrafik

För många små och medelstora nätverk är Brandvägg som standardgateway för @@P0@@s bättre säkerhet. Sedan körs intern trafik mellan VLANs via Sophos Firewall och kan styras med brandväggsregler, IPS, webbpolicyer, loggning och senare säkerhetsfunktioner. Routing på kärnomkopplaren kan vara användbart om mycket hög intern öst-västgenomströmning krävs. Men då måste man medvetet acceptera att brandväggen inte längre ser varje intern kommunikation.

Som en tumregel:

  • Säkerhetsorienterad och tydlig: VLAN gateways på Sophos Firewall.
  • Mycket hög intern prestanda: Kontrollera routing på kärnswitchen, men lägg till säkerhetszoner och ACL:er rent.
  • Nya installationer: Led VLANs till brandväggen via trunk eller LAG, slösa inte en enda port per VLAN.
  • Små platser: En enda trunkport kan räcka om redundans inte krävs.

Vanliga missuppfattningar:

  • VLAN skapas på brandväggen, men switch-upplänken transporterar den inte.
  • VLAN är taggad på åtkomstporten, även om klienten förväntar sig att den inte är taggad.
  • VLAN ID matchar inte på switch och brandvägg.
  • VLAN skapades på fel föräldragränssnitt.
  • Det överordnade gränssnittet användes som en normal åtkomstport istället för som en trunk.

Skapa VLAN gränssnitt

Menysökväg:

Network > Interfaces > Add interface > Add VLAN

Procedur:

  1. Tilldela namn, till exempel Clients VLAN 100.
  2. Välj det överordnade gränssnittet som Gränssnitt, till exempel Port3 eller LAG1.
  3. Nätverkszon välj medvetet.
  4. Ange VLAN ID, till exempel 100.
  5. Under IPv4-konfiguration använder du vanligtvis Static .
  6. Ange IP-adressen och nätmasken, till exempel 10.100.0.1/24.
  7. Spara.

För interna VLANs är brandväggens IP vanligtvis klienternas standardgateway. Om ett annat system dirigerar eller brandväggen bara ser vissa nätverk måste denna design dokumenteras explicit. Annars kommer du att söka efter brandväggsregler senare, även om klienten inte använder Sophos Firewall som en gateway.

DHCP och DNS konfigureras

Efter VLAN-gränssnittet krävs ett beslut för att tilldela adresser.

variantNär är vettigt
DHCP till Sophos Firewallenkla platser, klient-, gäst-, IoT- eller VoIP-nätverk
DHCP Reläcentral Windows DHCP-server eller befintlig DHCP-infrastruktur
Extern DHCP server i VLANSpeciellt fall när en server är ansvarig direkt i VLAN
Statiska IP-adressersmå server-, hanterings- eller infrastrukturnätverk

DHCP på Sophos Firewall skapas under Network > DHCP. Gränssnitt, räckvidd, gateway, DNS server och sökdomän är viktiga. Specialalternativ som PXE, VoIP eller tillverkarspecifika värden beskrivs i Sophos Firewall DHCP Konfigurera alternativ.

När du designar DNS bör du tydligt bestämma om klienter använder Sophos Firewall som DNS speditörer eller direkt fråga interna DNS-servrar. När brandväggen fungerar som en DNS vidarebefordrare, måste interna domäner ofta vidarebefordras till rätt DNS servrar via DNS Begär rutter på Sophos Firewall.

Device Access kontrollera

Device Access styr lokala tjänster för Sophos Firewall. Detta är inte samma sak som en brandväggsregel mellan VLANs.

Typiska exempel:

  • Klienter bör använda brandväggen som en DNS-server: tillåt DNS för zonen.
  • Felsökning bör tillåta ping på brandväggen: aktivera medvetet Ping/Ping6.
  • Normal klient, gäst eller IoT VLANs ska inte ha WebAdmin eller SSH åtkomst.
  • Hanteringsåtkomst bör ske via ett dedikerat administratörsnätverk eller undantagsregler för lokala tjänster för ACL.

Den exakta proceduren finns i Sophos Firewall Säker åtkomst: Device Access konfigurera korrekt.

Lägg till brandväggsregler och NAT

En ny VLAN behöver då lämpliga brandväggsregler. Utan en regel kan en klient få en IP-adress, men inte automatiskt på Internet eller andra interna nätverk.

En enkel första internetregel kan se ut så här:

FältExempel
RegelnamnClients_to_WAN
KällzonerClient eller LAN
KällnätverkVLAN nätverk, till exempel 10.100.0.0/24
DestinationszonerWAN
DestinationsnätverkAny
Tjänstermedvetet erforderliga tjänster, inte automatiskt Any
Logga brandväggstrafikaktiveras

Separata regler bör skapas för intern åtkomst. En gäst, IoT eller kamera VLAN bör inte tillåtas in i servern eller ledningsnätverket över hela linjen. Regelplanering beskrivs mer i detalj i Sophos Firewall-Förstå och konfigurera regler på ett säkert sätt.

NAT är inte nödvändigt för varje VLAN trafik. För normal Internetåtkomst används ofta den befintliga MASQ- eller SNAT-regeln. Mellan interna VLANs NAT är vanligtvis fel eftersom målsystem då inte längre ser den verkliga klientens IP. Klassificeringen är i NAT förstå Sophos Firewall: SNAT, DNAT, MASQ, PAT.

Acceptanstest

Ett VLAN är inte komplett förrän paketflödet har bevisats. En enda ping räcker inte.

Användbar testprocedur:

  1. Anslut testklienten till den avsedda switchporten eller SSID.
  2. Kontrollera om klienten får en IP-adress från rätt VLAN.
  3. Kontrollera gateway, DNS server och sökdomän.
  4. Pinga brandväggens IP i VLAN om ping är tillåtet.
  5. Testa DNS upplösning för interna och externa namn.
  6. Testa tillåten internetåtkomst.
  7. Testa tillåten intern åtkomst, om sådan finns.
  8. Testa medvetet obehörig intern åtkomst och kontrollera blockeringen i Log Viewer.
  9. I Log Viewer kontrollera regel-ID, källzon, destinationszon och NAT ID.
  10. Om det är oklart, använd Packet capture på VLAN-gränssnittet.

För utvärdering med Log Viewer, Policy Test och Packet Capture, är Sophos Firewall Test Regel med Log Viewer, Policy Test och Packet Capture lämplig.

Typiska misstag

MisstagsymptomNästa kontroll
VLAN inte tillåtet på switch-upplänkenKlienten får ingen IP eller når inte gatewayenKontrollera trunk/taggad VLAN på switchen
Felaktigt föräldragränssnittBrandväggen ser inte trafikenJämför VLAN gränssnitt och fysiska kablar
Klientport taggad istället för otaggadNormala klienter hamnar inte i VLANKontrollera åtkomstport eller inbyggd VLAN-profil
DHCP saknas eller fel DHCP svararKlienten får ingen eller fel IPKontrollera DHCP hyresavtal och Packet Capture för UDP 67/68
DNS Device Access saknasIP-trafik fungerar, namnupplösning gör det inteKontrollera Device Access och klient DNS
Fel zon valdRegler eller policyer fungerar inte som förväntatJämför regler för gränssnittszon och brandvägg
Brandväggsregel saknasKlienten har IP men trafiken är blockeradKontrollera Log Viewer och regel-ID
NAT mellan interna VLANsMålsystem ser felaktig käll-IPKontrollera NAT regler och planera interna NAT undantag

Om en regel inte stämmer överens ligger problemet ofta i zon, källnätverk, gateway eller switchtaggning. Artikeln Sophos Firewall-regeln gäller inte: kontrollera orsakerna hjälper till med distinktionen.

Driftskontroll

För produktiva VLANs bör inte bara den initiala konfigurationen vara korrekt. Det är avgörande att senare administratörer kan förstå varför VLAN finns och vilka regler som hör till det.

Du bör dokumentera:

  • VLAN ID, namn och subnät
  • Föräldragränssnitt och switch upplänk
  • Zon och säkerhetssyfte
  • DHCP källa och DNS server
  • tillåtna målzoner och tjänster
  • NAT beslut
  • ansvarig ägare
  • Testklient eller testprocedur
  • Datum för senaste regelkontroll

För större miljöer är en enkel åtkomstmatris också värt besväret. En sådan matris visar vilka VLANs som får prata med varandra och vilka som medvetet förblir åtskilda.

En enkel åtkomstmatris kan se ut så här:

FrånEfterBeslut
kunderInternettillåtet med webbpolicy, DNS skydd och loggning
kunderserverendast definierade applikationsportar
gästerInreblockerad
IoTInternetendast nödvändiga destinationer och hamnar
IoTserverendast till NVR, skrivarserver eller hanteringssystem
förvaltningInfrastrukturtillåtet för adminloggar
Säkerhetskopieringserverspecifikt tillåtet, kraftigt begränsande omvänd riktning

Denna matris är ofta viktigare än VLAN-listan i sig. Detta förhindrar att allmänna regler skapas senare som faktiskt undergräver segmenteringen.

Vanliga frågor

Hur ställer du in en VLAN på Sophos Firewall?

Du skapar ett nytt VLAN-gränssnitt under Network > Interfaces > Add interface > Add VLAN, väljer rätt föräldragränssnitt, ställer in VLAN ID, zon och IP-adress och lägger sedan till DHCP, Device Access, brandväggsregler och tester.

Behöver varje VLAN sin egen zon?

Inte nödvändigtvis. En separat zon är vettig om en VLAN behöver en annan förtroendenivå, olika enhetsåtkomstregler eller sina egna brandväggspolicyer. Flera VLANs med identiska policyer kan också vara i samma zon.

Ska routing mellan VLANs gå genom brandväggen eller switchen?

För säkerhetsrelevanta nätverk är routing via Sophos Firewall vanligtvis bättre eftersom regler, loggar och säkerhetspolicyer träder i kraft centralt. Routing på kärnswitchen kan vara vettigt om det är mycket hög öst-västtrafik, men måste då säkras med ACL, övervakning och tydlig dokumentation.

Är en LAG med flera VLANs bättre än en port per VLAN?

För de flesta produktiva miljöer är en VLAN trunk renare än en LAG. Du sparar portar, minskar kablar, ökar redundansen och kan styra många VLANs via samma brandväggsanslutning. En port per VLAN är mer lämplig för mycket små eller tillfälliga inställningar.

Varför får klienten ingen IP-adress i VLAN?

Ofta är VLAN inte tillåtet att tagga på switchens upplänk, klientporten är felaktigt tilldelad, DHCP saknas eller en annan DHCP-server svarar. Ett Packet Capture på DHCP 67/68 hjälper ofta snabbare än att klicka igen i WebAdmin.

Måste NAT aktiveras mellan interna VLANs?

Mestadels nej. Mellan interna VLANs ska normalt dirigeras och tillåtas eller blockeras via brandväggsregler. NAT mellan interna nätverk gör loggar, returrutter och felsökning svårare.

Varför fungerar internet men ingen tillgång till interna servrar?

Då finns det förmodligen en fungerande LAN-to-WAN-regel, men ingen matchande regel från VLAN till serverzonen. Kontrollera källzon, destinationszon, källnätverk, målobjekt, tjänst och regel-ID i Log Viewer.