Shunze 學園 - 搜尋結果

Shunze 學園 > 搜尋 > 搜尋結果

哈囉，還沒有註冊或者登入。請你[註冊|登入]

作者

文章

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2394
shunze 離線

《分享》API應用範例之2-大量輸入FQDN

有客戶在問，情資單位給的惡意FQDN清單，Sophos有沒有辦法批次匯入？

順子仔細去查了一下，SFOS都已經到21版了，但Sophos還是沒有這個功能...
不過有好心的使用者提供了自製的API script，可以透過API大量輸入IP與FQDN物件，連結如下。
Automated load of object through API from CSV!

這個script順子看了一下，發現它只要稍微修改一下，就可以完美符合客戶需求！

要修改哪些內容呢？
首先，FQDN跟IP物件不一樣，IP有IP list可用，可以以一個IP list物件收容多個IP，並套用在防火牆規則之中簡單管理；
但FQDN沒有FQDN list物件，每一個FQDN都是一個獨立物件，若要將大量的FQDN列入拒絕清單，對管理者而言將是一筆不小的負擔。

不過雖然FQDN沒有FQDN list可用，但我們可以透過FQDN group來達成類似需求，
把這些FQDN加到FQDN group之中，就可以在防火牆規則之中以FQDN group來進行管理。

再來就是匯入的FQDN雖然可以加上前綴字串來識別與管理，
但script中的內容是寫死的，順子把它變成一個變數，讓使用者依需求去調整。

基於以上的需求，順子修改了script內容，
讓它它可以依需求先建立FQDN Group，讓隨後的FQDN物件在建立時直接歸屬在這個FQDN Group之中，
之後要套用在防火牆規則時就簡單多了，直接套用這個Group物件即可。

# Variables you need to adjust for your environment
# -------------------------------------------------
$_FIREWALL_IP = "192.168.1.210"
$_FIREWALL_PORT = "4444"
$_API_USER = "admin"
$_API_PASSWORD = 'correcthorsebatterystaple'
$_WORK_FOLDER = "D:\test\"
$_DATA_FILE_NAME = "ips.txt"
$_ADD_PREFIXES_TO_OBJECTS = "Yes"
$_FQDN_Prefix = "Bulk_"
$_ADD_FQDN_GROUP = "FQDN_G_Test"

# Main functions
# --------------

# 順子增加FQDN群組判斷
if ($_ADD_FQDN_GROUP -ne "")
    {
    $_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Get><FQDNHostGroup><Filter><key name='Name' criteria='='>$($_ADD_FQDN_GROUP)</key></Filter></FQDNHostGroup></Get></Request>"
    $_API_QUERY_RESULT = Invoke-WebRequest -Uri "$_API_QUERY_URL"
    [xml] $_API_QUERY_RESULT_PARSED = $_API_QUERY_RESULT.Content

    #FQDN GROUP物件不存在時,建立FQDN物件
if ($_API_QUERY_RESULT_PARSED.Response.FQDNHostGroup.Status -eq "No. of records Zero.")
{
        $_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Set><FQDNHostGroup><Name>$($_ADD_FQDN_GROUP)</Name></FQDNHostGroup></Set></Request>"

        $_API_QUERY_RESULT = Invoke-WebRequest -Uri "$_API_QUERY_URL"
        [xml] $_API_QUERY_RESULT_PARSED = $_API_QUERY_RESULT.Content
        Write-Host "[INFO] Create FQDN Group object $($_ADD_FQDN_GROUP)"
        }

    $_ADD_FQDN_GROUP = "<FQDNHostGroupList><FQDNHostGroup>" + $_ADD_FQDN_GROUP + "</FQDNHostGroup></FQDNHostGroupList>"
    }


    # For FQDN item
    # --------------
    if ($_OPERATION -eq "FQDN_Mode")
     {
        $_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Set><FQDNHost><Name>$($_CODIFIED_ITEM_NAME)</Name><FQDN>$($_SECOND_FIELD)</FQDN>$($_ADD_FQDN_GROUP)</FQDNHost></Set></Request>"
        $_TYPE_OBJECT = "FQDN"
     }

然後批次建立的FQDN物件的前綴字串也可以自訂，只要修改對應的參數即可。

$_ADD_PREFIXES_TO_OBJECTS = "Yes"
$_FQDN_Prefix = "Bulk_"

# Prefix for name of object
# -------------------------

if ($_ADD_PREFIXES_TO_OBJECTS -eq "Yes")
{
if ($_OPERATION -eq "FQDN_Mode")
{
$_ITEM_NAME = $_FQDN_Prefix + $_ITEM_NAME
} else {
if ($_THIRD_FIELD -eq "255.255.255.255")
{
$_ITEM_NAME = "HOST_" + $_ITEM_NAME
} else {
$_ITEM_NAME = "NET_" + $_ITEM_NAME
}
}
}

完整的script就在附加檔案之中(解壓密碼Sophos)，有需要的朋友請自行取用～

shunze 上傳的檔案

Sophos_API.zip (5 KB, 已經被下載 142 次)

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-12-27, 17:35

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2394
shunze 離線

《分享》舊XG退位，轉生為AP Controller

Sophos XG系列在2025年3月底Eol，
後續接手的產品為Sophos XGS系列防火牆。
對應的21版SFOS韌體也完全拋開XG包袱，全心對應XGS的硬體規格，以撥揮更好的效能～

然而舊的legacy無線AP自18.5版韌體後，已不被SFOS支援，
客戶在購入新的XGS防火牆後，舊的AP就只能認命，隨之拋棄嗎？
Legacy AP series support on SFOS version...S series models

其實只要把舊的XG保留在18.5以前的版本，轉生為AP controller角色，就可以為舊AP續命了。

首先，由於XG的角色已被XGS取代，所以我們要給XG一個新的內網IP，讓它不會跟XGS發生衝突。
然後停用XGS的wireless protection，讓舊AP不會被XGS攔到，防礙它跟XG報到。
接著在DHCP的設定中，增加一個234選項(此選項對應AP報到用的Magic IP)，
讓AP透過DHCP拿到IP後，知道它要去舊XG報到，而不是預設的Magic IP 1.2.3.4，
這樣就完成XG轉生為AP Controller的設定了～

架構示意圖如下。

在此架構下，派發IP的XGS需在console中增加DHCP 234選項參數，指令如下。

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
system dhcp dhcp-options binding add dhcpname [DHCP組態名稱] optionname dhcp_magic_ip(234) value 10.1.1.253

這樣無線AP在拿到IP後，就知道要去跟XG的10.1.1.253報到，而不是預設的1.2.3.4。

另外由於XG中的無線虛擬網段192.168.99.0/24與192.168.101.0/24外頭的XGS並不認識，
所以要在XGS中增加靜態路由，讓XGS知道這兩個網段要往XG的10.1.1.253送。

192.168.99.0/24 -> 10.1.1.253
192.168.101.0/24 -> 10.1.1.253

XG本身也要增加一筆預設路由，將所有流量往XGS送，
這樣XG本身與虛擬出來的無線網段才能連外。

0.0.0.0/0 -> 10.1.1.254

而橋接到內網的無線網段，其default gateway參照內網的設定，會是XGS而不是XG，
這樣可以避免掉路由不對稱的問題。

最後，這樣的架構會出現一個潛在的問題，
若由XG虛擬出來的無線網段有連到內網的需求時，
會在XGS上出現只有單向路由通過的狀況，這種不安全的路由會被XGS封鎖。

解決的方法也很簡單，因為只有單向路由會經過XGS，所以也只能在XGS的console中增加bypass設定，
略過這兩段的封包檢查。

set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.99.0 source_netmask 255.255.255.0 dest_network 10.1.1.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.101.0 source_netmask 255.255.255.0 dest_network 10.1.1.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 10.1.1.0 source_netmask 255.255.255.0 dest_network 192.168.99.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 10.1.1.0 source_netmask 255.255.255.0 dest_network 192.168.101.0 dest_netmask 255.255.255.0

由於XGS略過了這些網段的封包檢查，若要進行條件等相關過濾設定，
就只能在XG上做，而不是XGS了...

透過以上的設定，就能把換下來的XG當成AP controller，讓不被支援的legacy AP能繼續使用了～
不過XG將在2025年3月底EoL，之後將沒有保固，
一旦壞了，連帶上面的legacy AP都無法續命使用，要轉生為AP Controller前也請留意這個風險喔～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-12-25, 13:58

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2394
shunze 離線

《分享》Chrome沒聲音？

最近很迷Youtube上的鋼琴、小提琴的快閃影片～

昨天用Chrome看Youtube影片時，突然接到Line的電話。
接電話時，Youtube影片的聲音自動變小，以避免干擾語音通話；
但電話講完後，無論怎麼調音量，都沒有辦法恢復Chrome的聲音...

試著去調整各種音量，無法恢復聲音。
試過重開機，沒有改善。
音量測試與撥放本機音檔、影片，聲音都正常，很明顯的是Chrome被消音了...

找了好久，最後終於找到Win10要在哪裏針對應用程式調整音量了！

以上分享給大家。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-12-05, 23:30

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2394
shunze 離線

《分享》外拋第三方log sever

Sophos XG/S要將log外拋到第三方log server其實很簡單，
只要在 CONFIGURE / System services / Log settings 中將第三方log server的IP, port等資訊加入。
(一般log server使用的port是514。)

然後再選擇需要外拋log類別即可。

不過在透過以上設定後，或許你會發現為什麼有時候這樣的設定可以外拋成功，
但在另外一台設定卻又不行？？

其實上述的設定還有一個重點，
那就是Sophos防火牆的log事件在Severity level中是屬於information(資訊)層級，
Severity必需是information(資訊)或更高的debug(偵錯)，Firewall的log才會外拋到第三方logserver.

若選擇了其它層級，你會發現你要的防火牆log完全不會拋出去。

另外，在外拋的偵錯上，我們可以在advanced shell中，輸入以下指令(通訊port為514)來進行觀察。

tcpdump -nie any port 514

以我的LAB為例，我的第三方Logserver IP是10.1.1.136。
在tcpdump的觀察中，就會看到XG本身IP 127.0.0.1對10.1.1.136的514封包。
若將severity改為notification，則看不到對10.1.1.136的任何封包。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-11-28, 11:42

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2394
shunze 離線

《分享》20版後，XG拒絕紅綠版SSLVPN的使用

在Sophos大力推動自家開發的Sophos Connect軟體後，
終於在20版，XG正式拒絕傳統紅綠版SSLVPN軟體的使用，
強迫使用者改用Sophos Connect或是第三方的OpenVPN軟體。
(順子測試過OpenVPN還是可以成功連線到20版的XG。)

https://community.sophos.com/sophos-xg-f...s-now-available

除了強迫使用Sophos Connect外，Sophos還把VPN功能自User Portal中分離，
多了一個VPN portal讓使用者下載軟體與個人組態。

也多一個Port號給VPN Portal來使用。

管理者在升版時，請留意這項改變喔～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-11-22, 14:32

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2394
shunze 離線

《分享》SSD firmware update

Sophos XGS appliance的某一批硬體因採用了某一型號的SSD，造成了系統上的不穩定。
除了開case請原廠處理外，從20版的韌體開始，也會主動在WebUI中提醒管理者要更新韌體。

更新韌體的方式很簡單，但要在console下進行。
進入console後輸入 system ssd show，
就可以由回應訊息來判斷這台設備需不需要進行SSD的韌體更新。

若需要更新，請輸入 system ssd update 來進行更新。

更新韌體的時間約為5分鐘左右，
順子更新過兩台設備，小型號的XGS136在更新完會關機，需要手動開機；
而大型號的XGS2300則會自動重開機，完成更新。
由於有不同的結果，因此更新時人最好還是在現場，
若過了五分鐘還沒有任何回應，請在現場確認一下設備是否被關機，而不是重開機。

更新後再去檢查SSD，會發現韌體已是最新版，不需要進行其它動作了。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-08-07, 17:47

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2394
shunze 離線

SD-WAN Connection Groups

Sophos Central中的SD-WAN Connection Groups其實就是把多台防火牆以route base的site to site VPN串起來，
然後透過policy route去導通本地與遠端的分享網段。

以下順子以兩台防火牆為例，一步步操作，看看此功能如何透過精靈把route base site to site VPN建起來。
首先，我們建立一個Connection group。

然後把目標的兩台防火牆加入此group。

第二步，就是把site to site VPN中要分享給對端的資源加入。

兩台防火牆要分享的網段資源都加入後，按下一步。

到第三步Configure Networks，會提示還沒有本地資源。

展開後，逐一把兩台防火牆的本地資源加入。

本地資源包本地的網段與用來撥接的WAN Port。

兩台資源都加入後，按下完成。

完成後需要給它一點時間，將組態部署到兩台防火牆中。

部署完成，兩組的狀態會顯示綠燈。

到地端防火牆去看，會發現此精靈已成功建立一條tunnel base的Site to site VPN。

並在對應的WAN port上，建立一個VPN tunnel的介面IP。

同時以此IP建立了一個gateway。

並以設定的本地網毁與對端分享的網段透過policy route建立了指向規則。

透過這樣的示範，我們可以清楚看到SD-WAN Connection Groups確實就是把多台防火牆，
以route base的site to site VPN串起來的一個精靈～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-08-05, 18:07

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2394
shunze 離線

郵件警示機制

郵件警示機制是客戶很在意的一個功能，
畢竟都已經在Sophos Central集中控管了，所有防火牆的狀態也應該要主動通知。

在Firewall Management中有三個定義好的警示頻率組態，
可以依照需求把防火體個體拉到對應的組態中。

Default的預設每八小時發送一次．狀況若未排除，則會在八小時後再發一次。

Verbose則是較密集的，每一小時就發送一次。

而Silent則是一天只會發送一次。

郵件發送頻率定義好了，那哪些人又會收到郵件通知呢？
預設是所有Administrators成員都會收到信，
如果要調整，可以在 General Settings 中的 Configure email alerts 進行調整。

在 Adminstrators 頁面中，您可以調整Administrators成員的接收狀態。

若有外部信箱需要收到信，可以在Distribution lists中，將郵件信箱加入。

您可以在Frequency中依嚴重性、產品與類別來調整發送頻率。

特別說明一下，跟防火牆有關的類別為Security、System health、Connectivity與General這四個類別，
這四個類別對應的完整事件，請參考以下連結。
Firewall alerts

另外也可以自行設定條件，來決定哪些人要收到哪些類別的警示信件。
但一旦建立 Custom rules 後，預設“所有Administrators成員都會收到通知信”這個動作將會停用，
所有要收到信的Administrators都要有對應的 Custom rules 才會觸發警示通知機制！

建立 Custom rules 的第一步，就是選擇admin角色與成員。

Admin選好後，接著選需要收到通知的外部信箱(如果有的話)。

接著選擇要收到的警示信件類別條件。

↑這邊記得把跟防火牆有關的四個類別Security、System health、Connectivity與General都選起來喔～

完成後，按下Save儲存。

如果有對應的事件發生的話，收件人的信箱就會收到來自Sophos Central的通知信件。

如果在Custom rulen建立後，又把rule中的admin帳號停用，不收通知信。

則該Custom rule會因為收信帳號有問題而被強迫停用。

點開規則，可以查看其狀態，以本例來說，因為對應的帳號被停用，所以出現帳號不存在的錯誤。

這樣的錯誤必需去編輯此規則，直到修正錯誤後，規則才能再次運作。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-07-31, 16:01

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2394
shunze 離線

報表功能

Sophos Central上的報表資料內容與防火牆授權有直接關係。
Base license只有保留7天的資料量，
有Central Orchestration(協作) license則可保留30天的資料，
若要保留一年的資料，需要有Central Firewall Reporting Advanced獨立授權。

如何確認防火牆所擁有的報表授權？
可以在個別的防火牆中直接確認該防火牆擁有的授權種類。
以我們公司的防火牆為例，我們公司擁有的是Xstream Protection bundle授權，裏面包含了Central Orchestration授權，

因為有Central Orchestration授權，所以這台防火牆可以在Sophos Central中查詢近30天內的資料。

若只有一般免費授權的防火牆，就只能查詢7天內的報表資料．

另外有Central Orchestration授權的防火牆，在報表中就可以組合的方式，一次選擇多台防火牆。
透過多台防火牆的報表輸出，可以綜觀其間的差異。

但沒有Central Orchestration授權的防火牆，其序號前會有一個 i 符號，
提示您多台報表的輸出只提供給有進階授權的防火牆。
Multi-device reporting is only available with the Advanced license.

至於提供的報表內容，直接上Sophos Central杳看比較完整。

但比較有意思的是，Log viewer也出現在其中。

而且可以查詢過去期間的log記錄，
不像地端只能查現在時間往前推的一段時間資料(而地端的這個期間還不固定)...
這算是個讓人眼睛一亮的功能！

↑例如我可以查詢前30天的log記錄。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-07-31, 15:19

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2394
shunze 離線

雲端與地端的衝突測試

在防火牆納入Sophos Central統一集中控管後，
我想最讓人擔心的是雲端Group與地端的規則或物件發生衝突時，會怎麼處理？

先來測試防火牆規則
我們先於地端建立一條名為test1的VPN to WAN，優先順序最低的防火牆規則。

地端規則建立後，我們在於Group中建立一條相同名稱，但內容不同的DMZ to WAN置頂規則。

查看Tasks Queue，我們會發現規則已同步成功的寫入地端。

但於地端查看，雖然地端規則內容被Group規則覆蓋過去，但優先順序則卻沒有跟著變更。
這部分有些怪怪的...

接著測試主機物件
我們先於地端建立一個名為shunze的1.1.1.1/32 host物件。

再於Group中建立一個名稱相同，但內容不同的1.0.0.0/24網段物件。

測試發現，由於既有的名稱物件已存在，所以無法成功進行同步！
對於這樣的狀況，我們有兩個選擇，一個是再試一次，另一個是略過此動作。

如果不管這衝突的狀況，持續進行其它變更，會發現後續的動作都會卡住，無法進行！

要嘛略過此衝突動作，要嘛排除衝突的問題，後續的動作才有辦法繼續進行。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-07-31, 14:48

跳到:	顯示從 11 到 20 在所有的 2591 個結果中. «123456...»