Shunze 學園 > 搜尋 > 搜尋結果 哈囉,還沒有註冊或者登入。請你[註冊|登入]

作者 文章
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2379

shunze 離線
《分享》SSD firmware update顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XGS appliance的某一批硬體因採用了某一型號的SSD,造成了系統上的不穩定。
除了開case請原廠處理外,從20版的韌體開始,也會主動在WebUI中提醒管理者要更新韌體。





更新韌體的方式很簡單,但要在console下進行。
進入console後輸入 system ssd show
就可以由回應訊息來判斷這台設備需不需要進行SSD的韌體更新。



若需要更新,請輸入 system ssd update 來進行更新。



更新韌體的時間約為5分鐘左右,
順子更新過兩台設備,小型號的XGS136在更新完會關機,需要手動開機;
而大型號的XGS2300則會自動重開機,完成更新。
由於有不同的結果,因此更新時人最好還是在現場,
若過了五分鐘還沒有任何回應,請在現場確認一下設備是否被關機,而不是重開機。

更新後再去檢查SSD,會發現韌體已是最新版,不需要進行其它動作了。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-08-07, 17:47 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2379

shunze 離線
SD-WAN Connection Groups顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos Central中的SD-WAN Connection Groups其實就是把多台防火牆以route base的site to site VPN串起來,
然後透過policy route去導通本地與遠端的分享網段。

以下順子以兩台防火牆為例,一步步操作,看看此功能如何透過精靈把route base site to site VPN建起來。
首先,我們建立一個Connection group。



然後把目標的兩台防火牆加入此group。



第二步,就是把site to site VPN中要分享給對端的資源加入。





兩台防火牆要分享的網段資源都加入後,按下一步。



到第三步Configure Networks,會提示還沒有本地資源。



展開後,逐一把兩台防火牆的本地資源加入。



本地資源包本地的網段與用來撥接的WAN Port。



兩台資源都加入後,按下完成。





完成後需要給它一點時間,將組態部署到兩台防火牆中。



部署完成,兩組的狀態會顯示綠燈。



到地端防火牆去看,會發現此精靈已成功建立一條tunnel base的Site to site VPN。



並在對應的WAN port上,建立一個VPN tunnel的介面IP。



同時以此IP建立了一個gateway。



並以設定的本地網毁與對端分享的網段透過policy route建立了指向規則。



透過這樣的示範,我們可以清楚看到SD-WAN Connection Groups確實就是把多台防火牆,
以route base的site to site VPN串起來的一個精靈∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-08-05, 18:07 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2379

shunze 離線
郵件警示機制顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

郵件警示機制是客戶很在意的一個功能,
畢竟都已經在Sophos Central集中控管了,所有防火牆的狀態也應該要主動通知。

在Firewall Management中有三個定義好的警示頻率組態,
可以依照需求把防火體個體拉到對應的組態中。

Default的預設每八小時發送一次.狀況若未排除,則會在八小時後再發一次。



Verbose則是較密集的,每一小時就發送一次。



而Silent則是一天只會發送一次。




郵件發送頻率定義好了,那哪些人又會收到郵件通知呢?
預設是所有Administrators成員都會收到信,
如果要調整,可以在 General Settings 中的 Configure email alerts 進行調整。



在 Adminstrators 頁面中,您可以調整Administrators成員的接收狀態。



若有外部信箱需要收到信,可以在Distribution lists中,將郵件信箱加入。



您可以在Frequency中依嚴重性、產品與類別來調整發送頻率。







特別說明一下,跟防火牆有關的類別為Security、System health、Connectivity與General這四個類別,
這四個類別對應的完整事件,請參考以下連結。
Firewall alerts


另外也可以自行設定條件,來決定哪些人要收到哪些類別的警示信件。
但一旦建立 Custom rules 後,預設“所有Administrators成員都會收到通知信”這個動作將會停用,
所有要收到信的Administrators都要有對應的 Custom rules 才會觸發警示通知機制!



建立 Custom rules 的第一步,就是選擇admin角色與成員。





Admin選好後,接著選需要收到通知的外部信箱(如果有的話)。



接著選擇要收到的警示信件類別條件。






↑這邊記得把跟防火牆有關的四個類別Security、System health、Connectivity與General都選起來喔∼

完成後,按下Save儲存。



如果有對應的事件發生的話,收件人的信箱就會收到來自Sophos Central的通知信件。




如果在Custom rulen建立後,又把rule中的admin帳號停用,不收通知信。



則該Custom rule會因為收信帳號有問題而被強迫停用。



點開規則,可以查看其狀態,以本例來說,因為對應的帳號被停用,所以出現帳號不存在的錯誤。



這樣的錯誤必需去編輯此規則,直到修正錯誤後,規則才能再次運作。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-07-31, 16:01 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2379

shunze 離線
報表功能顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos Central上的報表資料內容與防火牆授權有直接關係。
Base license只有保留7天的資料量,
有Central Orchestration(協作) license則可保留30天的資料,
若要保留一年的資料,需要有Central Firewall Reporting Advanced獨立授權。



至於提供的報表內容,直接上Sophos Central杳看比較完整。



但比較有意思的是,Log viewer也出現在其中。



而且可以查詢過去期間的log記錄,
不像地端只能查現在時間往前推的一段時間資料(而地端的這個期間還不固定)...
這算是個讓人眼睛一亮的功能!


↑例如我可以查詢前30天的log記錄。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-07-31, 15:19 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2379

shunze 離線
雲端與地端的衝突測試顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在防火牆納入Sophos Central統一集中控管後,
我想最讓人擔心的是雲端Group與地端的規則或物件發生衝突時,會怎麼處理?

先來測試防火牆規則
我們先於地端建立一條名為test1的VPN to WAN,優先順序最低的防火牆規則。



地端規則建立後,我們在於Group中建立一條相同名稱,但內容不同的DMZ to WAN置頂規則。



查看Tasks Queue,我們會發現規則已同步成功的寫入地端。



但於地端查看,雖然地端規則內容被Group規則覆蓋過去,但優先順序則卻沒有跟著變更。
這部分有些怪怪的...



接著測試主機物件
我們先於地端建立一個名為shunze的1.1.1.1/32 host物件。



再於Group中建立一個名稱相同,但內容不同的1.0.0.0/24網段物件。



測試發現,由於既有的名稱物件已存在,所以無法成功進行同步!
對於這樣的狀況,我們有兩個選擇,一個是再試一次,另一個是略過此動作。



如果不管這衝突的狀況,持續進行其它變更,會發現後續的動作都會卡住,無法進行!





要嘛略過此衝突動作,要嘛排除衝突的問題,後續的動作才有辦法繼續進行。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-07-31, 14:48 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2379

shunze 離線
以群組來統一控管多台防火牆的政策顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

防火牆為何要集中控管?
當然是利用政策統一部署的優勢,簡化與同步多台防火牆的策略。

要實現此功能,第一步就是建立群組Group。
請在 Sophos Central 中的 Firewall Managment - Firewalls 建立一個Group。



然後把要加入此群組的防火牆個體加入。
(*一台防火牆只能加入一個Group)







加入後的防火牆,可以個體管理。



它會轉到該防火牆的管理頁面,直接在Sophos Central中管理防火牆,就如同地端一般。





若是透過Group管理,則會開啟一個新的Group管理頁面來管理Group規則。





在防火牆個體納入Sophos Central管理後,若於地端防火牆登入,
會發現最上方出現一個警示,通知您此防火牆已在Sophos Central中控管,請小心操作,以避免衝突發生。



我們試著在Group中建立一條新的test規則來測試。



回到地端,我們會發現此規則已同步寫入防火牆。



在Sophos Central 的 Firewall Managment - Tasks Queue 中也可以檢視同步的動作是否完成。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-07-31, 14:28 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2379

shunze 離線
地端防火牆註冊到Sophos Central顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

地端的Sophos防火牆要能夠透過Sophos Central來集中控管,
第一個動作就把地端防火牆“註冊”到Sophos Central中。

這裡的“註冊”指的是將地端防火牆登記在Sophos Central中,並賦予Sophos Central管理功能,
跟地端防火牆的license管理沒有任何關係。

地端防火牆的license授權管理在2023年10月強制由原本的MySophos Portal移轉到Sophos Central後,
防火牆的license管理也同樣在Sophos Central中進行.
但由於“註冊(Register)”這個名詞已被拿來做為地端防火牆授權於Sophos Central管理所使用,
所以license於Sophos Central中的管理,被迫換了個名詞-宣告(Claim)來做為使用上的區分。

註冊(Register)指的是地端防火牆授權於Sophos Central中進行集中管理,
宣告(Claim)指的是地端防火牆的License管理,
兩者不同,請不要搞錯!
(事實上順子覺得“宣告”更適合集中管理,“註冊”則適合license管理,但先搶先嬴,Sophos也沒有勇氣去做正名了...)


要將地端Sophos防火牆註冊於Sophos Central很簡單,
但首先您必需要有一個Sophos Central帳號,還沒有帳號可於以下連結申請一個帳號。
https://cloud.sophos.com/manage/login

有了Sophos Central帳號就可以在 SYSTEM/Sophos Central 中,將防火牆註冊到Sophos Central帳號中。







註冊後,回到Sophos Central檢視防火牆狀態,會發生此防火牆已加入,
但狀態是 Management Disconnect,還未能連線。



這時必需回到地端防火牆畫面,把Sophos Central Services啟用,才能放行Central的管理。





完成後,在Sophos Central中會變成 Approval Pending,等待核准。



請核准此防火牆。



核准後,其狀態會變成 Disconnected



給它一點時間,幾分鐘後去看,會發現狀態變成 Connected
防火牆已成功納管於Sophos Central了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-07-31, 14:01 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2379

shunze 離線
《分享》Sophos Central集中控管防火牆顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos多年前曾有一款SFM(Sophos Firewall Manager)用來集中控管多台防火牆,
幾年後Sophos將防火牆集中控管的功能移到Sophos Central上,SFM也於2021 July正式EoL。

最近客戶剛好有集中控管的需求,
趁這個機會來瞭解一下Sophos Central如何集中控管地端防火牆吧。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-07-31, 11:43 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2379

shunze 離線
《分享》WebUI掛了如何備份組態?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

今天到客戶端置換新機,看似簡單的工作卻遇到了一個難題!
客戶舊XG的WebUI掛了,出現503的錯誤,重啟服務跟重開機都沒有用,
要怎麼匯出組態到新機上呢?

其實除了透過WebUI來匯出組態外,也可以在Advanced Shell中透過以下指令來產出組態備份。

/bin/opcode system_backup -s nosync


備份出來的組態則會儲存在如下位置,管理者可透過WinSCP連入後下載。
/var/conf/backupdata/




♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-06-27, 16:53 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2379

shunze 離線
《分享》所有的SNAT規則都無法觸發顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

這幾天在客戶端上架新機時,遇到了一個之前沒遇過的怪現象,
新機上架後,發現所有的SNAT規則都無法觸發,包含預設的Default SNAT IPv4規則。





不過內對外是通的,
除了SNAT規則無法觸發,導致內對外無法帶上WAN Port上的alias IP去連外,
內對外的網路基本上是正常的。

而外對內的DNAT服務也是正常的,
包含WAN port上的alias IP的DNAT服務,也都可以正常導到內部伺服器。

這個問題太難,馬上開case給原廠。

原廠判斷也很快,原來是授權中的Base Firewall授權出了問題,變成無效,
導致這個狀況發生。



在原廠後端修復這個授權問題後,SNAT規則無法觸發的問題就順利排除了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-03-20, 18:04 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
跳到:
顯示從 1 到 10 在所有的 2079 個結果中.  12345...»

Powered by: Burning Board 1.1.1 2001 WoltLab GbR