Configurando Sophos Xg Firewall 695r5i
This document was ed by and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this report form. Report r6l17
Overview 4q3b3c
& View Configurando Sophos Xg Firewall as PDF for free.
More details 26j3b
- Words: 3,424
- Pages: 13
Sophos XG Firewall-Parte 1 - O Básico Tendo sido afetado por problemas de segurança no ado, estou sempre à procura de novos e esperançosos produtos de segurança de rede. Por um tempo agora eu tenho ouvido sobre o Sophos UTM e fiquei intrigado com o que ele trazia para recursos padrão. Recentemente eles lançaram um novo produto chamado Sophos XG Firewall, que promete tornar a segurança um pouco mais fácil, e esperançosamente mais segura do que muitas outras soluções. Incluem-se antivírus, filtragem da Web, bloqueio de aplicativos e um firewall baseado em regras que deve ser suficiente para a maioria dos usuários quando você ultraa a curva de aprendizado. Você pode argumentar que existem produtos melhores por aí, até mesmo sua versão antiga, porém em comparação com roteadores de prateleira e outros produtos nesta categoria, essa é uma maneira muito melhor de ir e é gratuita para usuários domésticos sem restrições de IP. Para definir o cenário, eu estava executando o Untangle e pagando pelo serviço de de dois de seus aplicativos (antivírus e bloqueador de aplicativos) a um custo de US $ 54 / mês. Como essa licença é limitada a 10 endereços IP, essa é uma quantia significativa de dinheiro para pagar pela segurança. Com base no que aconteceu no ado, senti que precisava da segurança extra, no entanto, se conseguisse encontrar um produto que me desse resultados comparáveis sem o custo, eu certamente ficaria satisfeito. Depois de ver o que o Sophos XG Firewall tinha a oferecer, achei que seria vale a pena uma foto com base em recursos e capacidades. Como há uma curva de aprendizado com esse e outros produtos similares, tentei capturar o processo pelo qual ei desde o início da minha jornada, na esperança de que isso ajudaria alguns de vocês a chegarem um pouco mais rápido do que eu. Esta não é a única maneira de fazer isso, Preparação e planejamento antes da instalação Na minha maneira de fazer as coisas, acho que vale a pena planejar as coisas, bem como preparar, fazendo uma lição de casa antes de iniciar um projeto. A menos que você seja o único usando a internet, você tem que estar preparado para fazer as coisas funcionarem para evitar o tempo de inatividade da família. Além disso, como eu moro em uma área montanhosa, dependemos de Repetidores de Célula conectados ao roteador. Trazendo a internet também derruba todos os telefones celulares. Eu listei algumas coisas que fiz antecipadamente para minimizar o possível tempo de inatividade e para estar um pouco mais preparado.
1. Layout de rede básico (entender o que você quer e um esboço da configuração. Não precisa ser chique, mas ajuda a pensar nisso). 2. Determine quantas NICs você usará para planejar sua rede. Dois é o mínimo e tudo o que é necessário na maioria dos casos. Você pode querer um terceiro ou quarto para uma rede separada, DMZ, rede sem fio ou qualquer outra finalidade. Você pode adicionar quantas cartas precisar, dependendo da complexidade. 3. Listar os itens que você vai precisar de um "endereço IP estático" para começar. Minha sugestão é manter o mínimo, mas entenda que isso facilita a aplicação de filtros e controles no nível da estação mais tarde. Você não precisa começar com nenhum, pois eles podem ser adicionados mais tarde, mas você deve ter um conceito em mente. PC / Servidor que você não quer que o IP mude, como NAS, servidor de mídia, controlador de automação residencial é normalmente uma obrigação. (Veja dicas abaixo sobre como acelerar a entrada de IP estático) 4. Tente listar as necessidades especiais de qualquer um dos dispositivos, como encaminhamento de porta (para câmeras, controladores de automação residencial ou servidores de mídia), restrições, filtragem extra, controle de largura de banda ou qualquer outra meta do projeto. Dispositivos que exigem algo especial devem, em algum momento, ter um IP fixo antes de criar qualquer regra. 5. É claro que o óbvio é construir sua caixa e instalar o software “antes” para desconectar o roteador existente novamente para evitar tempo de inatividade.
Instalação ( instruções de instalação de software ) 1. Depois de ter sua caixa pronta e o software instalado, conecte seu modem a cabo à porta nº 2. Normalmente, essa é a segunda porta da cadeia e geralmente começa com a placa NIC interna, a menos que você a tenha desativado em seu BIOS.
2. Para configurar seu roteador, você precisa conectar seu computador à porta # A, usando seu switch existente ou um cabo cross-over diretamente de seu laptop. Se você estiver usando seu adaptador de rede interno, ele se tornará na maioria dos casos a Porta A automaticamente. Se você planeja usar somente o adaptador multi-porta da Intel, como eu fiz, o adaptador interno ainda será sua porta padrão A, a menos que você a desative no BIOS primeiro. Eu tive que jogar com isso por algum tempo antes de descobrir isso e acabei desativando a placa interna e só usei meu plug in card. Agora você está pronto para fazer logon na tela do usando o padrão https://172.16.16.16:4444para iniciar sua configuração. Isso soa como um monte de etapas e pode demorar um pouco na primeira vez que você fizer isso. Eu fiz algumas vezes e realmente só me levou cerca de 10-15 minutos, incluindo a instalação, uma vez que eu entendi melhor o processo. Eu arranhei e apaguei um par de vezes do teste que eu fiz bem. Configuração Depois de efetuar , execute o Assistente de Rede, caso ainda não tenha feito isso durante a instalação, pois ele faz muito do trabalho inicial para você. Em um caso básico, apenas executar o assistente fará com que você se conecte se tiver tudo conectado corretamente. Tenha em mente que, mesmo se você estiver conectado, você ainda tem regras para criar e coisas para configurar para tirar o máximo proveito dela.
Uma vez conectado, você está pronto para ajustar a configuração e fazer as coisas do jeito que você deseja. Isso pode ser feito de várias maneiras, mas foi o que fiz.
1. Configure / Revise as placas de interface de rede (Sistema> Rede> Interfaces) e certifique-se de que é o que você deseja. Se você mudou de idéia ou cometeu um erro no assistente, pode consertar muito disso aqui. É aqui que você reatribuiria as portas se não gostasse da configuração padrão. 2. Em seguida, configure o DH (Sistema> Rede> DH) e configure a sua rede principal. Defina o intervalo de endereços IP que você deseja que o DH emita. Lembre-se de reservar algum
espaço para IP estático e um intervalo para dinâmico. O XG não permitirá que você atribua um IP estático ao intervalo de DH. Observe também que o XG age apenas como um roteador até que você configure alguns filtros / varreduras da Web / de aplicativos, que é onde o poder real do XG é explorado. 3. Depois de concluir tudo na sua configuração, reinicialize todos os sistemas e verifique se funcionou da maneira desejada.
Atalho para inserir endereços IP estáticos
Maneira rápida de inserir endereços IP estáticos o
o
o
Inicialize todos os seus sistemas e vá para a seção DH (Sistema> Rede> DH). Aguarde até que a seção IP4 Lease preencha e use a linha superior para classificar a lista da maneira que desejar. Realce a lista de entries e copie e cole no Excel. Agora vá para a seção DH e ao configurar seu endereço IP estático, copie e cole o endereço MAC da planilha do Excel na tela de entrada do Sophos. Isso ajudará a inserir o endereço IP estático muito rapidamente, já que requer o endereço MAC. Ao fazer isso, você não precisará digitar cada endereço MAC, o que consome muito tempo. Fazendo assim, consegui fazer cerca de 20 IPs estáticos em menos de 15 minutos. Depois de concluir e reinicializar todos os dispositivos, exporte a lista novamente para documentação e referência futura ao criar regras futuras.
Nota importante: Lembre-se de executar com freqüência o backup da configuração em (Sistema> istração> Backup / Restaurar). Isso é especialmente importante à medida que você faz alterações e experimenta diferentes configurações, pois dá a oportunidade de voltar no caso de cometer um erro. Eu usei o backup automático via e-mail, pois não gosto de usar o FTP e fazer backup de uma vez por dia. Uma
vez que eu recebo as coisas do jeito que quero e terminei de experimentar, mudarei para semanal ou mensalmente. O arquivo de anexo é menor que 400K.
Conceito de regras Na superfície, o modelo de regras é bastante simples, mas na prática pode exigir um pouco mais de tentativa e erro. Embora seja muito fácil, o comportamento nem sempre é o que você espera. A premissa das regras é que você está realizando uma ação em sua rede usando o conceito de "Origem" e "Destino". Em outras palavras, digamos que você queira aplicar filtragem extra a apenas um sistema e não aos outros. Você criaria uma regra que informaria ao XG que solicitações provenientes de (fonte) IP xxx.xxx.xxx.xxx e indo para a WAN (destino) usarão essa regra, enquanto as outras estariam usando a regra padrão. Ou se você precisar de um encaminhamento de porta para um controlador ou câmera, você criaria uma regra que recebesse uma solicitação de porta da “WAN” (fonte) e a enviasse para um computador “LAN” com IP xxx.xxx.xxx.xxx (destino).
Visão geral das regras Antes de entrarmos em alguns exemplos, ajuda se entendermos um pouco sobre como o XG trata as coisas. “A maior parte do dia a dia as coisas que queremos fazer começam de dois tipos básicos de modelos, uma regra de rede / usuário ou uma regra de aplicativo de negócios. Abaixo está uma visão geral da terminologia que a princípio pode ser confusa. Esses termos não estão em todos os modelos, portanto, você não verá todos eles em uma determinada regra, mas o significado será o mesmo em todo o software sempre que o termo for usado. Também anexei amostras de algumas regras que criei para ajudar você a entender melhor. Sobre esta regra
Nome da regra: é aqui que você deseja nomear a regra com algo significativo Descrição: descrição opcional da regra que pode ajudá-lo a lembrar no futuro por que você criou a regra.
Identidade Regra de correspondência baseada na identidade do usuário: Em meu aplicativo, isso é sempre definido como "OFF". (Se você quiser usar isso, você terá que configurar usuários e logons para permitir que isso seja usado.)
Fonte Host: um dispositivo, porta ou rede específica de onde a regra é originária. Em uma regra média de encaminhamento de porta, isso seria deixado em "Qualquer". Zona: Aqui você seleciona a regra como WAN, LAN etc. Por exemplo, se eu estivesse criando uma regra de encaminhamento de porta, a WAN seria minha fonte na maioria das vezes que você está encaminhando “de (origem)” para o seu destino. Redes: normalmente, é uma maneira de restringir a origem e pode ser uma rede específica, como VPN, ou pode ser deixada em "Qualquer" Serviços: normalmente deixados para "ANY" Programação: o padrão é "o tempo todo". Você pode criar agendas personalizadas, se precisar. Um exemplo seria criar uma regra que permita o o à Internet a um ponto de o ou sistema e, em seguida, desligá-lo em um determinado momento.
Destino Zona: O mesmo que acima, mas o extremo oposto da regra. Usando o mesmo exemplo acima, se você estivesse encaminhando uma câmera para a porta, a fonte seria WAN, mas a zona de destino LAN seria como você está indo para algo em sua rede. Zona de origem: geralmente definida como "Qualquer", a menos que você tenha vários servidores
Endereço Hospedado: normalmente definido para a porta WAN nº 2 em uma regra de encaminhamento de porta, mas outras regras podem ser diferentes. Servidores de Aplicativos Protegidos: Zona Protegida: Geralmente, é definida como LAN em uma regra de encaminhamento de porta. Servidores de Aplicativos Protegidos: No encaminhamento de porta, este seria o “dispositivo” para o qual você está encaminhando a porta. Por exemplo, a câmera da sala de estar. Roteamento Reescreva o endereço de origem (mascaramento): normalmente, isso é definido para a maioria das coisas Use Outbound Address: Principalmente definido como MASQ Depois de ter concluído sua primeira regra, você deve testá-lo com cuidado. Em seguida, crie cada regra uma por vez e teste-a após cada vez. Como a regra padrão deveria ter sido criada durante o assistente (você provavelmente terá que entrar e adicionar um pouco de filtragem da Web e bloqueio de aplicativos mais tarde), terá que determinar o que deseja realizar com o restante das regras. No meu caso, esse é o processo que usei. 1. Criei uma regra de “Port Forward” para cada câmera, já que tenho minha câmera em portas diferentes (atualmente 6 câmeras) 2. Criei uma regra de "Port Forward" para meu servidor Plex e servidor de vídeo aéreo. 3. Criei um filtro para a rede secundária que contém sites P2P de bloqueio, sites de torrent, sites de o remoto, sites de spam e sites de hackers. 4. Como tenho duas redes separadas, criei uma regra que me permite ar certos recursos da minha rede para a rede secundária, pois ela é bloqueada por padrão. 5. Eu permiti que determinados sistemas na rede secundária assem a unidade NAS na rede primária e bloqueiasse o restante. 6. Criado a regra que ignora o Xbox, o Roku e o Apple TV da filtragem para resolver o problema de transmissão de vídeo. Não fique louco até que você tenha a chance de garantir que não haja efeitos colaterais dos filtros. Lembre-se de que as regras são aplicadas de cima para baixo, portanto, verifique se você não tem uma regra de abertura total antes de uma regra que bloqueia o o.
Regra 1
Essa regra foi criada para ignorar os filtros XBox, Roku e Apple da filtragem da Web.
Este é o Grupo IP que é chamado na seção “NETWORKS”. Você pode editar o grupo sem precisar alterar a regra para poder adicionar ou remover dispositivos facilmente.
Regra nº 2
Essa regra é usada para encaminhar minha câmera de garagem da WAN para um endereço IP e porta específicos para que eu possa ar a câmera da estrada.
Regra nº 3 (filtragem pesada na rede secundária)
Política de filtro da Web que é chamada na seção "Política para aplicativos do usuário" da regra
Este é o "Filtro de aplicativo chamado na mesma seção da regra. Parece complicado, mas na verdade é muito fácil. Tudo o que você precisa fazer ao adicionar é selecionar categorias.
Problemas Esta é uma ferramenta extremamente poderosa e, para a maioria, será mais do que você jamais precisará. Este produto continuará sendo atualizado e melhorará com o tempo, mas, como tudo, tem algumas falhas. Para começar, há o problema de streaming de vídeo. Não é um grande negócio se tudo que você tem é Roku e Xbox em sua casa, no entanto, se você tiver telefones ou tablets e precisar deles para jogar Netflix, pode haver um problema. Para ativar a transmissão no Android e no IOS, você terá que ignorar bloqueios de filtragem, verificação e aplicação para esses dispositivos, o que significa que você tem aproximadamente a mesma proteção que um roteador de prateleira para esses dispositivos específicos. Para tablets e telefones, pode ou não ser um problema, dependendo de você ter filhos ou não. Se você tem filhos ou outros na casa que não são cuidadosos, você pode ter que adicionar um ponto de o Wi-Fi dedicado que tenha filtragem para poder controlar qualquer criança que possa ter em casa. De qualquer forma, há uma solução, desde que você saiba que terá que fazer alguma coisa. O outro problema que eu encontrei foi SSL VPN. Eu tentei e tentei fazer
isso funcionar e nunca consegui. Felizmente, acabei usando o OpenVPN no meu QNAP, que acabou por funcionar muito facilmente e foi consideravelmente melhor do que o construído em Untangle. Por último, foi a curva de aprendizado. Dependendo do seu nível de experiência, descobrir o material do firewall pode levar algum tempo. Acrescente a isso a abordagem baseada em objetos que eles estão usando no XG e você terá que experimentar um pouco antes de ficar confortável. De qualquer forma, há uma solução, desde que você saiba que terá que fazer alguma coisa. O outro problema que eu encontrei foi SSL VPN. Eu tentei e tentei fazer isso funcionar e nunca consegui. Felizmente, acabei usando o OpenVPN no meu QNAP, que acabou por funcionar muito facilmente e foi consideravelmente melhor do que o construído em Untangle. Por último, foi a curva de aprendizado. Dependendo do seu nível de experiência, descobrir o material do firewall pode levar algum tempo. Acrescente a isso a abordagem baseada em objetos que eles estão usando no XG e você terá que experimentar um pouco antes de ficar confortável. De qualquer forma, há uma solução, desde que você saiba que terá que fazer alguma coisa. O outro problema que eu encontrei foi SSL VPN. Eu tentei e tentei fazer isso funcionar e nunca consegui. Felizmente, acabei usando o OpenVPN no meu QNAP, que acabou por funcionar muito facilmente e foi consideravelmente melhor do que o construído em Untangle. Por último, foi a curva de aprendizado. Dependendo do seu nível de experiência, descobrir o material do firewall pode levar algum tempo. Acrescente a isso a abordagem baseada em objetos que eles estão usando no XG e você terá que experimentar um pouco antes de ficar confortável. foi a curva de aprendizado. Dependendo do seu nível de experiência, descobrir o material do firewall pode levar algum tempo. Acrescente a isso a abordagem baseada em objetos que eles estão usando no XG e você terá que experimentar um pouco antes de ficar confortável. foi a curva de aprendizado. Dependendo do seu nível de experiência, descobrir o material do firewall pode levar algum tempo. Acrescente a isso a abordagem baseada em objetos que eles estão usando no XG e você terá que experimentar um pouco antes de ficar confortável.
Resumo e Resultados Para ser honesto quando comecei a experimentar o Sophos, quase joguei a toalha e desisti principalmente por causa da VPN. Simplesmente faz as coisas de maneira diferente do que estou acostumado e a lógica simplesmente me escapou no começo. Às vezes, ter que desaprender algo primeiro é um desafio. Mas, no interesse de possivelmente economizar US $ 54 por mês, achei que iria ficar de fora. Além disso, a perspectiva de ser derrotado por software era mais do que eu poderia ar. No final, estou feliz por ter feito, no geral estou muito feliz com
os resultados. Eu sinto que ainda há muito a aprender, mas cheguei a um nível de conforto que me permite, pelo menos, estabelecer um bom nível de segurança com efeitos colaterais mínimos. Eu trabalhei com minhas maiores preocupações, como o encaminhamento de porta e, acima de tudo, a VPN. Eu confio fortemente na minha conexão VPN para a Área de Trabalho Remota, o aos meus arquivos em casa, e para o tunelamento de internet, e uma vez que consegui descobrir esses problemas, me senti confortável o suficiente para implantar em meu ambiente doméstico. Como é gratuito para uso doméstico, cheio de recursos, muito poderoso e sem limites de IP, vale a pena investir algum tempo se você se preocupa com segurança e sabe que esse produto continuará melhorando. É claro que quando você viaja por esse caminho, aprende algo no processo. Se você é como eu e não como de rede, pode levar um pouco mais de tempo para aprender, mas, por acaso, você receberá o pagamento e terá uma rede segura e poderosa. De fato, estou muito impressionado com isso e, na primeira semana de implantação, ele bloqueou três vezes a quantidade de itens que o Untangle já fez, apesar de ser um aplicativo pago. Após os primeiros dias, cancelei imediatamente minha e, se a verdade fosse dita, Eu nunca posso voltar para Untangle depois de ver o poder que está no XG. Eu nunca usei o produto UTM, então não posso comparar, mas eu executei Untangle, pfSense, e um monte de roteadores convencionais e eu honestamente digo que isso é muito melhor. Apesar de algumas falhas, eu realmente gosto desse produto e estou aderindo a ele.
Observação: estarei postando mensagens adicionais sobre Filtragem da Web, Filtragem por País, DNS Dinâmico e outros recursos, conforme o tempo permitir, por isso, continue verificando as atualizações
1. Layout de rede básico (entender o que você quer e um esboço da configuração. Não precisa ser chique, mas ajuda a pensar nisso). 2. Determine quantas NICs você usará para planejar sua rede. Dois é o mínimo e tudo o que é necessário na maioria dos casos. Você pode querer um terceiro ou quarto para uma rede separada, DMZ, rede sem fio ou qualquer outra finalidade. Você pode adicionar quantas cartas precisar, dependendo da complexidade. 3. Listar os itens que você vai precisar de um "endereço IP estático" para começar. Minha sugestão é manter o mínimo, mas entenda que isso facilita a aplicação de filtros e controles no nível da estação mais tarde. Você não precisa começar com nenhum, pois eles podem ser adicionados mais tarde, mas você deve ter um conceito em mente. PC / Servidor que você não quer que o IP mude, como NAS, servidor de mídia, controlador de automação residencial é normalmente uma obrigação. (Veja dicas abaixo sobre como acelerar a entrada de IP estático) 4. Tente listar as necessidades especiais de qualquer um dos dispositivos, como encaminhamento de porta (para câmeras, controladores de automação residencial ou servidores de mídia), restrições, filtragem extra, controle de largura de banda ou qualquer outra meta do projeto. Dispositivos que exigem algo especial devem, em algum momento, ter um IP fixo antes de criar qualquer regra. 5. É claro que o óbvio é construir sua caixa e instalar o software “antes” para desconectar o roteador existente novamente para evitar tempo de inatividade.
Instalação ( instruções de instalação de software ) 1. Depois de ter sua caixa pronta e o software instalado, conecte seu modem a cabo à porta nº 2. Normalmente, essa é a segunda porta da cadeia e geralmente começa com a placa NIC interna, a menos que você a tenha desativado em seu BIOS.
2. Para configurar seu roteador, você precisa conectar seu computador à porta # A, usando seu switch existente ou um cabo cross-over diretamente de seu laptop. Se você estiver usando seu adaptador de rede interno, ele se tornará na maioria dos casos a Porta A automaticamente. Se você planeja usar somente o adaptador multi-porta da Intel, como eu fiz, o adaptador interno ainda será sua porta padrão A, a menos que você a desative no BIOS primeiro. Eu tive que jogar com isso por algum tempo antes de descobrir isso e acabei desativando a placa interna e só usei meu plug in card. Agora você está pronto para fazer logon na tela do usando o padrão https://172.16.16.16:4444para iniciar sua configuração. Isso soa como um monte de etapas e pode demorar um pouco na primeira vez que você fizer isso. Eu fiz algumas vezes e realmente só me levou cerca de 10-15 minutos, incluindo a instalação, uma vez que eu entendi melhor o processo. Eu arranhei e apaguei um par de vezes do teste que eu fiz bem. Configuração Depois de efetuar , execute o Assistente de Rede, caso ainda não tenha feito isso durante a instalação, pois ele faz muito do trabalho inicial para você. Em um caso básico, apenas executar o assistente fará com que você se conecte se tiver tudo conectado corretamente. Tenha em mente que, mesmo se você estiver conectado, você ainda tem regras para criar e coisas para configurar para tirar o máximo proveito dela.
Uma vez conectado, você está pronto para ajustar a configuração e fazer as coisas do jeito que você deseja. Isso pode ser feito de várias maneiras, mas foi o que fiz.
1. Configure / Revise as placas de interface de rede (Sistema> Rede> Interfaces) e certifique-se de que é o que você deseja. Se você mudou de idéia ou cometeu um erro no assistente, pode consertar muito disso aqui. É aqui que você reatribuiria as portas se não gostasse da configuração padrão. 2. Em seguida, configure o DH (Sistema> Rede> DH) e configure a sua rede principal. Defina o intervalo de endereços IP que você deseja que o DH emita. Lembre-se de reservar algum
espaço para IP estático e um intervalo para dinâmico. O XG não permitirá que você atribua um IP estático ao intervalo de DH. Observe também que o XG age apenas como um roteador até que você configure alguns filtros / varreduras da Web / de aplicativos, que é onde o poder real do XG é explorado. 3. Depois de concluir tudo na sua configuração, reinicialize todos os sistemas e verifique se funcionou da maneira desejada.
Atalho para inserir endereços IP estáticos
Maneira rápida de inserir endereços IP estáticos o
o
o
Inicialize todos os seus sistemas e vá para a seção DH (Sistema> Rede> DH). Aguarde até que a seção IP4 Lease preencha e use a linha superior para classificar a lista da maneira que desejar. Realce a lista de entries e copie e cole no Excel. Agora vá para a seção DH e ao configurar seu endereço IP estático, copie e cole o endereço MAC da planilha do Excel na tela de entrada do Sophos. Isso ajudará a inserir o endereço IP estático muito rapidamente, já que requer o endereço MAC. Ao fazer isso, você não precisará digitar cada endereço MAC, o que consome muito tempo. Fazendo assim, consegui fazer cerca de 20 IPs estáticos em menos de 15 minutos. Depois de concluir e reinicializar todos os dispositivos, exporte a lista novamente para documentação e referência futura ao criar regras futuras.
Nota importante: Lembre-se de executar com freqüência o backup da configuração em (Sistema> istração> Backup / Restaurar). Isso é especialmente importante à medida que você faz alterações e experimenta diferentes configurações, pois dá a oportunidade de voltar no caso de cometer um erro. Eu usei o backup automático via e-mail, pois não gosto de usar o FTP e fazer backup de uma vez por dia. Uma
vez que eu recebo as coisas do jeito que quero e terminei de experimentar, mudarei para semanal ou mensalmente. O arquivo de anexo é menor que 400K.
Conceito de regras Na superfície, o modelo de regras é bastante simples, mas na prática pode exigir um pouco mais de tentativa e erro. Embora seja muito fácil, o comportamento nem sempre é o que você espera. A premissa das regras é que você está realizando uma ação em sua rede usando o conceito de "Origem" e "Destino". Em outras palavras, digamos que você queira aplicar filtragem extra a apenas um sistema e não aos outros. Você criaria uma regra que informaria ao XG que solicitações provenientes de (fonte) IP xxx.xxx.xxx.xxx e indo para a WAN (destino) usarão essa regra, enquanto as outras estariam usando a regra padrão. Ou se você precisar de um encaminhamento de porta para um controlador ou câmera, você criaria uma regra que recebesse uma solicitação de porta da “WAN” (fonte) e a enviasse para um computador “LAN” com IP xxx.xxx.xxx.xxx (destino).
Visão geral das regras Antes de entrarmos em alguns exemplos, ajuda se entendermos um pouco sobre como o XG trata as coisas. “A maior parte do dia a dia as coisas que queremos fazer começam de dois tipos básicos de modelos, uma regra de rede / usuário ou uma regra de aplicativo de negócios. Abaixo está uma visão geral da terminologia que a princípio pode ser confusa. Esses termos não estão em todos os modelos, portanto, você não verá todos eles em uma determinada regra, mas o significado será o mesmo em todo o software sempre que o termo for usado. Também anexei amostras de algumas regras que criei para ajudar você a entender melhor. Sobre esta regra
Nome da regra: é aqui que você deseja nomear a regra com algo significativo Descrição: descrição opcional da regra que pode ajudá-lo a lembrar no futuro por que você criou a regra.
Identidade Regra de correspondência baseada na identidade do usuário: Em meu aplicativo, isso é sempre definido como "OFF". (Se você quiser usar isso, você terá que configurar usuários e logons para permitir que isso seja usado.)
Fonte Host: um dispositivo, porta ou rede específica de onde a regra é originária. Em uma regra média de encaminhamento de porta, isso seria deixado em "Qualquer". Zona: Aqui você seleciona a regra como WAN, LAN etc. Por exemplo, se eu estivesse criando uma regra de encaminhamento de porta, a WAN seria minha fonte na maioria das vezes que você está encaminhando “de (origem)” para o seu destino. Redes: normalmente, é uma maneira de restringir a origem e pode ser uma rede específica, como VPN, ou pode ser deixada em "Qualquer" Serviços: normalmente deixados para "ANY" Programação: o padrão é "o tempo todo". Você pode criar agendas personalizadas, se precisar. Um exemplo seria criar uma regra que permita o o à Internet a um ponto de o ou sistema e, em seguida, desligá-lo em um determinado momento.
Destino Zona: O mesmo que acima, mas o extremo oposto da regra. Usando o mesmo exemplo acima, se você estivesse encaminhando uma câmera para a porta, a fonte seria WAN, mas a zona de destino LAN seria como você está indo para algo em sua rede. Zona de origem: geralmente definida como "Qualquer", a menos que você tenha vários servidores
Endereço Hospedado: normalmente definido para a porta WAN nº 2 em uma regra de encaminhamento de porta, mas outras regras podem ser diferentes. Servidores de Aplicativos Protegidos: Zona Protegida: Geralmente, é definida como LAN em uma regra de encaminhamento de porta. Servidores de Aplicativos Protegidos: No encaminhamento de porta, este seria o “dispositivo” para o qual você está encaminhando a porta. Por exemplo, a câmera da sala de estar. Roteamento Reescreva o endereço de origem (mascaramento): normalmente, isso é definido para a maioria das coisas Use Outbound Address: Principalmente definido como MASQ Depois de ter concluído sua primeira regra, você deve testá-lo com cuidado. Em seguida, crie cada regra uma por vez e teste-a após cada vez. Como a regra padrão deveria ter sido criada durante o assistente (você provavelmente terá que entrar e adicionar um pouco de filtragem da Web e bloqueio de aplicativos mais tarde), terá que determinar o que deseja realizar com o restante das regras. No meu caso, esse é o processo que usei. 1. Criei uma regra de “Port Forward” para cada câmera, já que tenho minha câmera em portas diferentes (atualmente 6 câmeras) 2. Criei uma regra de "Port Forward" para meu servidor Plex e servidor de vídeo aéreo. 3. Criei um filtro para a rede secundária que contém sites P2P de bloqueio, sites de torrent, sites de o remoto, sites de spam e sites de hackers. 4. Como tenho duas redes separadas, criei uma regra que me permite ar certos recursos da minha rede para a rede secundária, pois ela é bloqueada por padrão. 5. Eu permiti que determinados sistemas na rede secundária assem a unidade NAS na rede primária e bloqueiasse o restante. 6. Criado a regra que ignora o Xbox, o Roku e o Apple TV da filtragem para resolver o problema de transmissão de vídeo. Não fique louco até que você tenha a chance de garantir que não haja efeitos colaterais dos filtros. Lembre-se de que as regras são aplicadas de cima para baixo, portanto, verifique se você não tem uma regra de abertura total antes de uma regra que bloqueia o o.
Regra 1
Essa regra foi criada para ignorar os filtros XBox, Roku e Apple da filtragem da Web.
Este é o Grupo IP que é chamado na seção “NETWORKS”. Você pode editar o grupo sem precisar alterar a regra para poder adicionar ou remover dispositivos facilmente.
Regra nº 2
Essa regra é usada para encaminhar minha câmera de garagem da WAN para um endereço IP e porta específicos para que eu possa ar a câmera da estrada.
Regra nº 3 (filtragem pesada na rede secundária)
Política de filtro da Web que é chamada na seção "Política para aplicativos do usuário" da regra
Este é o "Filtro de aplicativo chamado na mesma seção da regra. Parece complicado, mas na verdade é muito fácil. Tudo o que você precisa fazer ao adicionar é selecionar categorias.
Problemas Esta é uma ferramenta extremamente poderosa e, para a maioria, será mais do que você jamais precisará. Este produto continuará sendo atualizado e melhorará com o tempo, mas, como tudo, tem algumas falhas. Para começar, há o problema de streaming de vídeo. Não é um grande negócio se tudo que você tem é Roku e Xbox em sua casa, no entanto, se você tiver telefones ou tablets e precisar deles para jogar Netflix, pode haver um problema. Para ativar a transmissão no Android e no IOS, você terá que ignorar bloqueios de filtragem, verificação e aplicação para esses dispositivos, o que significa que você tem aproximadamente a mesma proteção que um roteador de prateleira para esses dispositivos específicos. Para tablets e telefones, pode ou não ser um problema, dependendo de você ter filhos ou não. Se você tem filhos ou outros na casa que não são cuidadosos, você pode ter que adicionar um ponto de o Wi-Fi dedicado que tenha filtragem para poder controlar qualquer criança que possa ter em casa. De qualquer forma, há uma solução, desde que você saiba que terá que fazer alguma coisa. O outro problema que eu encontrei foi SSL VPN. Eu tentei e tentei fazer
isso funcionar e nunca consegui. Felizmente, acabei usando o OpenVPN no meu QNAP, que acabou por funcionar muito facilmente e foi consideravelmente melhor do que o construído em Untangle. Por último, foi a curva de aprendizado. Dependendo do seu nível de experiência, descobrir o material do firewall pode levar algum tempo. Acrescente a isso a abordagem baseada em objetos que eles estão usando no XG e você terá que experimentar um pouco antes de ficar confortável. De qualquer forma, há uma solução, desde que você saiba que terá que fazer alguma coisa. O outro problema que eu encontrei foi SSL VPN. Eu tentei e tentei fazer isso funcionar e nunca consegui. Felizmente, acabei usando o OpenVPN no meu QNAP, que acabou por funcionar muito facilmente e foi consideravelmente melhor do que o construído em Untangle. Por último, foi a curva de aprendizado. Dependendo do seu nível de experiência, descobrir o material do firewall pode levar algum tempo. Acrescente a isso a abordagem baseada em objetos que eles estão usando no XG e você terá que experimentar um pouco antes de ficar confortável. De qualquer forma, há uma solução, desde que você saiba que terá que fazer alguma coisa. O outro problema que eu encontrei foi SSL VPN. Eu tentei e tentei fazer isso funcionar e nunca consegui. Felizmente, acabei usando o OpenVPN no meu QNAP, que acabou por funcionar muito facilmente e foi consideravelmente melhor do que o construído em Untangle. Por último, foi a curva de aprendizado. Dependendo do seu nível de experiência, descobrir o material do firewall pode levar algum tempo. Acrescente a isso a abordagem baseada em objetos que eles estão usando no XG e você terá que experimentar um pouco antes de ficar confortável. foi a curva de aprendizado. Dependendo do seu nível de experiência, descobrir o material do firewall pode levar algum tempo. Acrescente a isso a abordagem baseada em objetos que eles estão usando no XG e você terá que experimentar um pouco antes de ficar confortável. foi a curva de aprendizado. Dependendo do seu nível de experiência, descobrir o material do firewall pode levar algum tempo. Acrescente a isso a abordagem baseada em objetos que eles estão usando no XG e você terá que experimentar um pouco antes de ficar confortável.
Resumo e Resultados Para ser honesto quando comecei a experimentar o Sophos, quase joguei a toalha e desisti principalmente por causa da VPN. Simplesmente faz as coisas de maneira diferente do que estou acostumado e a lógica simplesmente me escapou no começo. Às vezes, ter que desaprender algo primeiro é um desafio. Mas, no interesse de possivelmente economizar US $ 54 por mês, achei que iria ficar de fora. Além disso, a perspectiva de ser derrotado por software era mais do que eu poderia ar. No final, estou feliz por ter feito, no geral estou muito feliz com
os resultados. Eu sinto que ainda há muito a aprender, mas cheguei a um nível de conforto que me permite, pelo menos, estabelecer um bom nível de segurança com efeitos colaterais mínimos. Eu trabalhei com minhas maiores preocupações, como o encaminhamento de porta e, acima de tudo, a VPN. Eu confio fortemente na minha conexão VPN para a Área de Trabalho Remota, o aos meus arquivos em casa, e para o tunelamento de internet, e uma vez que consegui descobrir esses problemas, me senti confortável o suficiente para implantar em meu ambiente doméstico. Como é gratuito para uso doméstico, cheio de recursos, muito poderoso e sem limites de IP, vale a pena investir algum tempo se você se preocupa com segurança e sabe que esse produto continuará melhorando. É claro que quando você viaja por esse caminho, aprende algo no processo. Se você é como eu e não como de rede, pode levar um pouco mais de tempo para aprender, mas, por acaso, você receberá o pagamento e terá uma rede segura e poderosa. De fato, estou muito impressionado com isso e, na primeira semana de implantação, ele bloqueou três vezes a quantidade de itens que o Untangle já fez, apesar de ser um aplicativo pago. Após os primeiros dias, cancelei imediatamente minha e, se a verdade fosse dita, Eu nunca posso voltar para Untangle depois de ver o poder que está no XG. Eu nunca usei o produto UTM, então não posso comparar, mas eu executei Untangle, pfSense, e um monte de roteadores convencionais e eu honestamente digo que isso é muito melhor. Apesar de algumas falhas, eu realmente gosto desse produto e estou aderindo a ele.
Observação: estarei postando mensagens adicionais sobre Filtragem da Web, Filtragem por País, DNS Dinâmico e outros recursos, conforme o tempo permitir, por isso, continue verificando as atualizações
Related Documents 171j1w
Configurando Sophos Xg Firewall 695r5i
July 2022 0
Sophos Xg Firewall 423bk
April 2023 0
Sophos Xg Firewall Guide 1w3w38
November 2019 105
Sophos Xg Firewall Sizing Chart 5r2t6t
August 2022 0
Sophos Battlecard Xg Firewall Vs Sonicwall (003) o4xn
September 2022 0
289369406 Sophos Xg Firewall Guide 5f22f
April 2023 0More Documents from "Marcos Lins" 1a1m3z
2c82t
November 2019 44
Configurando Sophos Xg Firewall 695r5i
July 2022 0
2c82t
November 2019 28
Manual Corona Flex 591e1m
November 2019 92
Plano 2013 Lucas Battistoni 442c6s
March 2021 0