Hoppa till innehållet
Avanet

Testa Sophos Firewall-regler med Log Viewer

Sophos Firewall

En firewall-regel bör inte bara sparas, utan också testas målmedvetet. Särskilt med Webfilter, TLS Inspection, NAT, IPS eller User Matching kan en regel se korrekt ut i WebAdmin men ändå inte fungera som förväntat.

Tre verktyg är användbara för testet:

  • Log viewer för verkliga events och regelbeslut
  • Policy tester för web-, firewall- och SSL/TLS-policylogik
  • Packet capture för det faktiska paketflödet

Före testet

Först bör man definiera exakt vad som ska testas:

PunktExempel
Source IP172.16.10.25
Användareuser@domain.local
Source zoneLAN
Destinationhttps://www.example.com
ServiceHTTPS
Förväntad regelLAN_to_WAN_Clients
Förväntad actiontillåten, blockerad, decrypted, inte decrypted

Aktivera därefter Log firewall traffic i den berörda firewall-regeln. Utan logging är Log Viewer bara begränsat användbar.

Sophos Firewall-regel med aktiverad Log firewall traffic
Alternativet Log firewall traffic bör vara aktiverat för regler som ska testas eller analyseras senare.

Steg 1: Kontrollera regelns position

Öppna Rules and policies > Firewall rules och kontrollera:

  • Ligger regeln ovanför mer generella regler?
  • Är den aktiv?
  • Är rätt IPv4- eller IPv6-vy vald?
  • Ligger den i en rimlig Rule group?
  • Finns det Exclusions?
  • Finns det en automatiskt skapad regel ovanför?

När en ny regel testas bör regelns Usage Counter återställas. Då blir det lättare att se om regeln verkligen träffades under testet.

Steg 2: Öppna Log Viewer

Öppna Log viewer uppe till höger i WebAdmin-konsolen.

Användbara filter:

  • Module: Firewall
  • Source IP
  • Destination IP
  • Destination port
  • Rule ID
  • Rule name
  • Action
  • User

För webbtrafik bör man även kontrollera:

  • Web filter
  • SSL/TLS inspection
  • Application filter
  • IPS

Log Viewer uppdateras automatiskt. För lugnare analys kan live-vyn pausas, filtreras och sedan startas igen.

Steg 3: Reproducera testet

Testet bör köras från en definierad klient:

  • Öppna en webbplats
  • Skicka ping
  • Testa en port
  • Starta en applikation
  • Upprätta en VPN-anslutning
  • Ladda ned en fil

Kör om möjligt bara ett test åt gången. Annars blandas loggarna snabbt.

Kontrollera därefter:

  • Ökar regelräknaren?
  • Syns en loggpost i Log Viewer?
  • Vilken Rule ID visas?
  • Vilken NAT Rule ID visas?
  • Tillåts eller blockeras trafiken?
  • Aktiveras en securityfunktion?

Steg 4: Använd Policy tester

Policy tester är användbar när man vill kontrollera vilken firewall-regel, SSL/TLS inspection rule eller Web Policy som teoretiskt skulle gälla för webbtrafik.

Menysökväg:

Diagnostics > Tools > Policy tester

Typiska indata:

  • URL
  • Användare
  • Tid och dag
  • Source IP
  • Source zone
  • Test method

Som Test method väljer man till exempel Firewall, SSL/TLS, and web när kombinationen av firewall-regel, SSL/TLS inspection rule och Web Policy ska kontrolleras.

Sophos Firewall Policy tester med accepterat resultat
Policy tester visar här att anslutningen från angiven Source IP skulle tillåtas av den matchade firewall-regeln.

Policy tester visar inte bara Accepted eller Blocked, utan även den matchade firewall-regeln, upptäckt destination, Source zone och beroende på testmetod ytterligare web- eller SSL/TLS-information. Det gör det snabbt tydligt om trafiken i grunden hamnar i den förväntade regeln.

Sophos Firewall Policy tester med blockerat Web Policy-resultat
För webbtrafik visar Policy tester även Web protection-bedömningen, kategori och matchad Web Policy.

Viktigt:

⚠️ Policy tester ersätter inte ett verkligt paketflödestest. Sophos anger att Policy tester-resultat inte speglar SD-WAN routes. Det faktiska beteendet kan därför avvika när SD-WAN, routing eller gateways är inblandade.

Policy tester är särskilt användbar för:

  • Web Policy
  • URL-kategorisering
  • User-kontext
  • Schedule
  • SSL/TLS inspection rule
  • Matchning av firewall-regler för webbtrafik

Den är mindre användbar för:

  • verkliga routingbeslut
  • NAT-returväg
  • paketförlust
  • provider- eller switchproblem
  • applikationer med flera anslutningar och portar

Steg 5: Använd Packet Capture

Om Log Viewer och Policy tester inte räcker använder man Diagnostics > Packet capture.

Sätt ett snävt filter, till exempel:

  • Source IP för klienten
  • Destination IP för servern
  • Destination port
  • Protokoll

Därefter:

  1. Starta Packet Capture.
  2. Reproducera testet.
  3. Stoppa Packet Capture.
  4. Jämför Incoming och Forwarded events.
  5. Jämför Rule ID och NAT ID med Log Viewer.

Tolkning:

ObservationVad ska kontrolleras?
Inget paket kommer framKlient, VLAN, switch, gateway, provider, Cloud Security Group
Paket kommer in men går inte utFirewall-regel, NAT, routing, securityfunktion
Paket går ut men svar saknasReturrutt, målsystem, NAT, extern firewall
Paket har status ViolationPolicy, IPS, webfilter, Application Control
NAT ID är oväntadNAT-ordning och generiska NAT-regler

Mer information: Använd Packet Capture i WebAdmin.

Steg 6: Validera securityfunktioner enskilt

Om rätt regel matchar men trafiken inte fungerar, kontrollera de aktiverade funktionerna.

FunktionVad ska kontrolleras?
Web policyKategori, användare, schedule, policyordning
Scan HTTP and decrypted HTTPSHTTPS skannas bara om den redan har decrypted
SSL/TLS inspectionMatchande regel, Decryption Profile, CA-certifikat på klienter
IPSSignatur, policy, false positive
Application ControlIdentifierad applikation, kategori, cloud app-detektering
Security HeartbeatEndpoint skickar heartbeat, status grön/gul/röd
Traffic ShapingPolicy aktiv, rätt applikation eller regel
NATKorrekt SNAT/DNAT/PAT-regel, ordning

För HTTPS räcker det inte med en firewall-regel med webfiltering för att inspektera HTTPS-innehåll. Det krävs även en matchande SSL/TLS inspection rule med decryption och distribuerat CA-certifikat.

Mer information: Rulla ut TLS Inspection på Sophos Firewall steg för steg.

Steg 7: Kontrollera loggfiler

Om WebAdmin-verktygen inte räcker kontrollerar man motsvarande loggfiler.

Typiska filer:

ÄmneLoggfil
Firewall-regelfirewall_rule.log
NATnat_rule.log
Firewall-anslutningarfwlog.log
IPS och DPIips.log
Web Proxyawarrenhttp.log
IPsecstrongswan.log, charon.log
SSL VPNsslvpn.log
DNSdnsd.log, dnsgrabber.log
DHCPdhcpd.log

En detaljerad översikt finns här: Sophos Firewall Troubleshooting: tjänster och loggar.

Exempel: testa en LAN till WAN-webbregel

  1. Skapa firewall-regeln LAN_to_WAN_Clients.
  2. Aktivera logging.
  3. Sätt Services till HTTP och HTTPS.
  4. Välj Web Policy.
  5. Låt Block QUIC protocol vara aktiverat.
  6. Aktivera Scan HTTP and decrypted HTTPS.
  7. Skapa en SSL/TLS inspection rule för testgruppen.
  8. Installera CA-certifikatet på testklienten.
  9. Återställ regelräknaren.
  10. Öppna en webbplats.
  11. Filtrera Log Viewer efter Source IP.
  12. Kör Policy tester för samma URL.
  13. Starta Packet Capture vid avvikelse.

På så sätt ser man om regeln matchar, om HTTPS faktiskt dekrypteras och om Webfilter, IPS eller Application Control ingriper.

Mer information