Shunze 學園 - 《分享》Sophos Central集中控管防火牆

Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》Sophos Central集中控管防火牆

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

《分享》Sophos Central集中控管防火牆

Sophos多年前曾有一款SFM(Sophos Firewall Manager)用來集中控管多台防火牆，
幾年後Sophos將防火牆集中控管的功能移到Sophos Central上，SFM也於2021 July正式EoL。

最近客戶剛好有集中控管的需求，
趁這個機會來瞭解一下Sophos Central如何集中控管地端防火牆吧。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-07-31, 11:43

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

地端防火牆註冊到Sophos Central

地端的Sophos防火牆要能夠透過Sophos Central來集中控管，
第一個動作就把地端防火牆“註冊”到Sophos Central中。

這裡的“註冊”指的是將地端防火牆登記在Sophos Central中，並賦予Sophos Central管理功能，
跟地端防火牆的license管理沒有任何關係。

地端防火牆的license授權管理在2023年10月強制由原本的MySophos Portal移轉到Sophos Central後，
防火牆的license管理也同樣在Sophos Central中進行．
但由於“註冊(Register)”這個名詞已被拿來做為地端防火牆授權於Sophos Central管理所使用，
所以license於Sophos Central中的管理，被迫換了個名詞-宣告(Claim)來做為使用上的區分。

註冊(Register)指的是地端防火牆授權於Sophos Central中進行集中管理，
而宣告(Claim)指的是地端防火牆的License管理，
兩者不同，請不要搞錯！
(事實上順子覺得“宣告”更適合集中管理，“註冊”則適合license管理，但先搶先嬴，Sophos也沒有勇氣去做正名了...)

要將地端Sophos防火牆註冊於Sophos Central很簡單，
但首先您必需要有一個Sophos Central帳號，還沒有帳號可於以下連結申請一個帳號。
https://cloud.sophos.com/manage/login

有了Sophos Central帳號就可以在 SYSTEM/Sophos Central 中，將防火牆註冊到Sophos Central帳號中。

註冊後，回到Sophos Central檢視防火牆狀態，會發生此防火牆已加入，
但狀態是 Management Disconnect，還未能連線。

這時必需回到地端防火牆畫面，把Sophos Central Services啟用，才能放行Central的管理。

完成後，在Sophos Central中會變成 Approval Pending，等待核准。

請核准此防火牆。

核准後，其狀態會變成 Disconnected。

給它一點時間，幾分鐘後去看，會發現狀態變成 Connected，
防火牆已成功納管於Sophos Central了～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-07-31, 14:01

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

以群組來統一控管多台防火牆的政策

防火牆為何要集中控管？
當然是利用政策統一部署的優勢，簡化與同步多台防火牆的策略。

要實現此功能，第一步就是建立群組Group。
請在 Sophos Central 中的 Firewall Managment - Firewalls 建立一個Group。

然後把要加入此群組的防火牆個體加入。
(*一台防火牆只能加入一個Group)

加入後的防火牆，可以個體管理。

它會轉到該防火牆的管理頁面，直接在Sophos Central中管理防火牆，就如同地端一般。

若是透過Group管理，則會開啟一個新的Group管理頁面來管理Group規則。

在防火牆個體納入Sophos Central管理後，若於地端防火牆登入，
會發現最上方出現一個警示，通知您此防火牆已在Sophos Central中控管，請小心操作，以避免衝突發生。

我們試著在Group中建立一條新的test規則來測試。

回到地端，我們會發現此規則已同步寫入防火牆。

在Sophos Central 的 Firewall Managment - Tasks Queue 中也可以檢視同步的動作是否完成。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-07-31, 14:28

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

雲端與地端的衝突測試

在防火牆納入Sophos Central統一集中控管後，
我想最讓人擔心的是雲端Group與地端的規則或物件發生衝突時，會怎麼處理？

先來測試防火牆規則
我們先於地端建立一條名為test1的VPN to WAN，優先順序最低的防火牆規則。

地端規則建立後，我們在於Group中建立一條相同名稱，但內容不同的DMZ to WAN置頂規則。

查看Tasks Queue，我們會發現規則已同步成功的寫入地端。

但於地端查看，雖然地端規則內容被Group規則覆蓋過去，但優先順序則卻沒有跟著變更。
這部分有些怪怪的...

接著測試主機物件
我們先於地端建立一個名為shunze的1.1.1.1/32 host物件。

再於Group中建立一個名稱相同，但內容不同的1.0.0.0/24網段物件。

測試發現，由於既有的名稱物件已存在，所以無法成功進行同步！
對於這樣的狀況，我們有兩個選擇，一個是再試一次，另一個是略過此動作。

如果不管這衝突的狀況，持續進行其它變更，會發現後續的動作都會卡住，無法進行！

要嘛略過此衝突動作，要嘛排除衝突的問題，後續的動作才有辦法繼續進行。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-07-31, 14:48

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

報表功能

Sophos Central上的報表資料內容與防火牆授權有直接關係。
Base license只有保留7天的資料量，
有Central Orchestration(協作) license則可保留30天的資料，
若要保留一年的資料，需要有Central Firewall Reporting Advanced獨立授權。

如何確認防火牆所擁有的報表授權？
可以在個別的防火牆中直接確認該防火牆擁有的授權種類。
以我們公司的防火牆為例，我們公司擁有的是Xstream Protection bundle授權，裏面包含了Central Orchestration授權，

因為有Central Orchestration授權，所以這台防火牆可以在Sophos Central中查詢近30天內的資料。

若只有一般免費授權的防火牆，就只能查詢7天內的報表資料．

另外有Central Orchestration授權的防火牆，在報表中就可以組合的方式，一次選擇多台防火牆。
透過多台防火牆的報表輸出，可以綜觀其間的差異。

但沒有Central Orchestration授權的防火牆，其序號前會有一個 i 符號，
提示您多台報表的輸出只提供給有進階授權的防火牆。
Multi-device reporting is only available with the Advanced license.

至於提供的報表內容，直接上Sophos Central杳看比較完整。

但比較有意思的是，Log viewer也出現在其中。

而且可以查詢過去期間的log記錄，
不像地端只能查現在時間往前推的一段時間資料(而地端的這個期間還不固定)...
這算是個讓人眼睛一亮的功能！

↑例如我可以查詢前30天的log記錄。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-07-31, 15:19

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

郵件警示機制

郵件警示機制是客戶很在意的一個功能，
畢竟都已經在Sophos Central集中控管了，所有防火牆的狀態也應該要主動通知。

在Firewall Management中有三個定義好的警示頻率組態，
可以依照需求把防火體個體拉到對應的組態中。

Default的預設每八小時發送一次．狀況若未排除，則會在八小時後再發一次。

Verbose則是較密集的，每一小時就發送一次。

而Silent則是一天只會發送一次。

郵件發送頻率定義好了，那哪些人又會收到郵件通知呢？
預設是所有Administrators成員都會收到信，
如果要調整，可以在 General Settings 中的 Configure email alerts 進行調整。

在 Adminstrators 頁面中，您可以調整Administrators成員的接收狀態。

若有外部信箱需要收到信，可以在Distribution lists中，將郵件信箱加入。

您可以在Frequency中依嚴重性、產品與類別來調整發送頻率。

特別說明一下，跟防火牆有關的類別為Security、System health、Connectivity與General這四個類別，
這四個類別對應的完整事件，請參考以下連結。
Firewall alerts

另外也可以自行設定條件，來決定哪些人要收到哪些類別的警示信件。
但一旦建立 Custom rules 後，預設“所有Administrators成員都會收到通知信”這個動作將會停用，
所有要收到信的Administrators都要有對應的 Custom rules 才會觸發警示通知機制！

建立 Custom rules 的第一步，就是選擇admin角色與成員。

Admin選好後，接著選需要收到通知的外部信箱(如果有的話)。

接著選擇要收到的警示信件類別條件。

↑這邊記得把跟防火牆有關的四個類別Security、System health、Connectivity與General都選起來喔～

完成後，按下Save儲存。

如果有對應的事件發生的話，收件人的信箱就會收到來自Sophos Central的通知信件。

如果在Custom rulen建立後，又把rule中的admin帳號停用，不收通知信。

則該Custom rule會因為收信帳號有問題而被強迫停用。

點開規則，可以查看其狀態，以本例來說，因為對應的帳號被停用，所以出現帳號不存在的錯誤。

這樣的錯誤必需去編輯此規則，直到修正錯誤後，規則才能再次運作。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-07-31, 16:01

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2387
shunze 離線

SD-WAN Connection Groups

Sophos Central中的SD-WAN Connection Groups其實就是把多台防火牆以route base的site to site VPN串起來，
然後透過policy route去導通本地與遠端的分享網段。

以下順子以兩台防火牆為例，一步步操作，看看此功能如何透過精靈把route base site to site VPN建起來。
首先，我們建立一個Connection group。

然後把目標的兩台防火牆加入此group。

第二步，就是把site to site VPN中要分享給對端的資源加入。

兩台防火牆要分享的網段資源都加入後，按下一步。

到第三步Configure Networks，會提示還沒有本地資源。

展開後，逐一把兩台防火牆的本地資源加入。

本地資源包本地的網段與用來撥接的WAN Port。

兩台資源都加入後，按下完成。

完成後需要給它一點時間，將組態部署到兩台防火牆中。

部署完成，兩組的狀態會顯示綠燈。

到地端防火牆去看，會發現此精靈已成功建立一條tunnel base的Site to site VPN。

並在對應的WAN port上，建立一個VPN tunnel的介面IP。

同時以此IP建立了一個gateway。

並以設定的本地網毁與對端分享的網段透過policy route建立了指向規則。

透過這樣的示範，我們可以清楚看到SD-WAN Connection Groups確實就是把多台防火牆，
以route base的site to site VPN串起來的一個精靈～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2024-08-05, 18:07