مديريت فايروال سوفوس XG
ما در اینجا خواهیم گفت که چگونه با مديريت فايروال سوفوس XG می توانید دسترسی به فایروال سوفوس XG خود را ایمن کنید ، آن را تست و اعتبار سنجی کرده و در آخر اینکه چگونه با فایروال سوفوس XG احساس راحتی بکنید.
گزینه های استقرار مديريت فايروال سوفوس XG
این بخش اطلاعاتی را درباره گزینه های مختلف استقرار موجود برای فایروال سوفوس XG ارائه می دهد.
فایروال سوفوس XG در قالب های زیر موجود است:
- سخت افزار
- مجازی
- نرم افزار
سخت افزار
فایروال سوفوس XG در انواع تجهیزات سخت افزاری فیزیکی برای تأمین نیازهای همه مشاغل از جمله کاربران خانگی ، مشاغل کوچک و محیط های کاری در دسترس است.
برای اینکه بفهمید کدام دستگاه متناسب با نیاز شماست ، با تیم فروش یا شریک دلخواه خود(شریک های ما) تماس بگیرید.
محیط مجازی
می توانید تجهیزات مجازی را در محیط های میزبانی شده در VMware ، Hyper-V ، KVM و XenApp نصب کنید. لیست کامل نسخه های پشتیبانی شده را در راهنمای لوازم خانگی مجازی و نرم افزاری OS فایروال سوفوس XG پیدا کنید. برای نصب فایروال سوفوس XG در یک محیط مجازی ، حداقل شرایط زیر که شامل حداقل نیازهای سخت افزاری است باید رعایت شود:
نرم افزار
می توانید ابزار نرم افزاری فایروال سوفوس XG را روی سخت افزارهای سفارشی بر روی سیستم های Windows و macOS مستقر کنید.
برای نصب فایروال سوفوس XG بر روی سخت افزار خود حداقل شرایط زیر که شامل حداقل نیازهای سخت افزاری است را باید رعایت کنید:
دسترسی به فايروال سوفوس XG
با مديريت فايروال سوفوس XG، می توانید از طریق HTTPS ، telnet یا SSH به XG Firewall دسترسی پیدا کنید. نمایه ورود به سیستم مدیر مشخص می کند که از کدام رابط های مدیریتی می توانید برای دسترسی به فایروال سوفوس XG استفاده کنید.
تنظیمات کنسول مدیریت وب
با استفاده از HTTPS می توانید از یک مرورگر به کنسول مدیریتی دسترسی پیدا کنید. تنظیمات پیش فرض به شرح زیر است:
- سرویس: HTTPS
- اینترفیس: LAN
- پورت HTTPS کنسول ادمین: 4444
برای تغییر رابط دسترسی به کنسول سرور وب، به بخش Administration > Device access بروید.
برای آپدیت تنظیمات کنسول مدیریتی وب، مسیر: Administration > Admin settings
Reports
گزارش ها نمای واحدی از فعالیت شبکه به منظور تجزیه و تحلیل ترافیک و تهدیدها و مطابقت با نهادهای نظارتی ارائه می دهند. به عنوان مثال ، می توانید گزارشی را مشاهده کنید که شامل تمام فعالیت های محافظت از وب سرور است که توسط فایروال انجام می شود ، مانند درخواست های وب سرور مسدود شده و ویروس های شناسایی شده.
برای شناسایی تهدیدها ، مدیریت استفاده و افزایش امنیت از گزارشات استفاده کنید.
- برای مشاهده گزارش ، یک گروه را از لیست Show انتخاب کنید. برخی از گزینه ها به شما امکان می دهند داده های گزارش را بیشتر اصلاح کنید. همچنین می توانید محدوده تاریخ را برای گزارش تعیین کنید.
- برای refresh داده های گزارش ، روی Generate کلیک کنید.
- رای بارگیری داده های گزارش ، روی هر یک از قالب های بارگیری موجود کلیک کنید.
- برای ایجاد bookmark برای گزارش ، روی Bookmark کلیک کنید.
- برای برنامه ریزی گزارش برای ارسال ایمیل در فواصل زمانی مشخص ، روی Schedule کلیک کنید.
- برای فیلتر کردن نتایج ، روی فیلتر کلیک کنید و معیارها را مشخص کنید.
- برای مشخص کردن گزینه های پیکربندی گزارش ها ، روی Show report settings کلیک کنید.
انتخاب های زیر گزارشی را نشان می دهد که ترافیک برنامه را برای یک محدوده تاریخ مشخص نشان می دهد.
گزارش سفارشی :
- بهReports > Show report settings > Custom view بروید و روی Add کلیک کنید.
- نامی وارد کنید.
- گروه های گزارش را انتخاب کنید.
- روی ذخیره کلیک کنید.
نمای سفارشی در Reports> Custom موجود است.
گزارش زمانبندی شده:
- به قسمت Reports > Show report settings > Report scheduling رفته و Add را کلیک کنید.
- نوع گزارش را انتخاب کرده و تنظیمات را مشخص کنید.
- Save را کلیک کنید.
ارسال ایمیل آزمایشی:
پیکربندی سرور ایمیل را بررسی کنید.
- به قسمت Reports > Show report settings > Report scheduling بروید.
- گزارش را انتخاب کنید و روی Send test mail کلیک کنید.
- آدرس ایمیل را تایپ کنید.
- روی Send کلیک کنید
گراف های سیستم
صفحه System graphs نمودارهای مربوط به فعالیتهای مربوط به سیستم را برای بازه های زمانی مختلف نشان می دهد.
Diagnostics > System graphs
نمودارهای سیستم اطلاعات زیر را برای دوره انتخاب شده نمایش می دهد. این نمودارها همان است که در نمودارهای کاربردی نرم افزار نشان داده شده است. آنها براساس فاصله زمانی دوباره گروه بندی می شوند.
مديريت فايروال سوفوس XG، نمودارهای استفاده از CPU
نمودارهای استفاده از پردازنده ، مدیر را قادر می سازد تا میزان استفاده از پردازنده توسط کاربران و اجزای سیستم را کنترل کند. نمودارها درصد حداقل ، حداکثر ، متوسط و فعلی پردازنده را برای کاربر ، سیستم و زمان بیکار بودن پردازنده نشان می دهند.
- محور X – دقیقه / ساعت / روز / ماه (بسته به دوره انتخاب شده)
- محور Y -٪ استفاده
شرح:
- رنگ نارنجی – CPU مورد استفاده کاربر
- رنگ بنفش – CPU مورد استفاده سیستم
- رنگ سبز – زمان بیکاری CPU
مديريت فايروال سوفوس XG، نمودارهای استفاده از رم در فايروال سوفوس XG
نمودارهای استفاده از رم مدیر را قادر می سازد تا میزان استفاده از حافظه را در مگابایت (MB) کنترل کند. نمودار حداقل درصد ، حداکثر ، متوسط و حافظه فعلی استفاده شده. حافظه آزاد و حافظه کل موجود را نمایش می دهد.
- محور X – دقیقه / ساعت / روز / ماه (بسته به دوره انتخاب شده)
- محور Y – حافظه مورد استفاده در مگابایت
شرح:
- رنگ نارنجی – حافظه استفاده شده
- رنگ بنفش – حافظه آزاد
- رنگ سبز – حافظه کل
مديريت فايروال سوفوس XG، نمودار متوسط عملکرد
نمودارهای متوسط عملکرد، مدیر را قادر می سازد تا میزان عملکرد بر روی سیستم را کنترل کند. نمودارها حداقل ، حداکثر ، متوسط و بار فعلی سیستم را در فاصله یک دقیقه ، پنج دقیقه و پانزده دقیقه نشان می دهند.
- محور X – دقیقه / ساعت / روز / ماه (بسته به دوره انتخاب شده)
- محور Y – شاخص متوسط بارگیری
شرح:
- رنگ نارنجی – یک دقیقه
- رنگ بنفش – پنج دقیقه
- رنگ سبز – پانزده دقیقه
مديريت فايروال سوفوس XG، نمودارهای استفاده از دیسک
نمودارهای استفاده از دیسک مدیر را قادر می سازد تا میزان استفاده از دیسک را بر حسب درصد کنترل کند. نمودارها حداقل ، حداکثر ، متوسط و در حال حاضر فضای دیسک مورد استفاده را به تفکیک امضا ، پیکربندی ، گزارش ها و فایلهای موقت نشان می دهند.
- محور X – دقیقه / ساعت / روز / ماه (بسته به دوره انتخاب شده)
- محور Y -٪ استفاده
افسانه
- رنگ نارنجی – فضای دیسک مورد استفاده امضا
- رنگ بنفش – فضای دیسک مورد استفاده توسط فایلهای پیکربندی
- رنگ سبز – فضای دیسک مورد استفاده گزارش ها
- رنگ آبی – فضای دیسک مورد استفاده توسط فایلهای موقت
مديريت فايروال سوفوس XG، نمودارهای کاربران استفاده کننده
نمودارهای کاربران استفاده کننده مدیر را قادر می سازد تا تعداد این کاربران را برای مدت زمان انتخاب شده کنترل کند نمودارها تعداد کاربران در حال حاضر متصل به اینترنت را نشان می دهد. علاوه بر این ، حداقل ، حداکثر و متوسط تعداد کاربران متصل در دوره انتخاب شده را نشان می دهد.
این به مدیر کمک می کند تا ساعت اوج روز را تعیین کند
- محور X – دقیقه / ساعت / روز / ماه (بسته به دوره انتخاب شده)
- محور Y – تعداد کاربران
شرح:
- رنگ نارنجی – تعداد کاربران متصل زنده
مديريت فايروال سوفوس XG، نمودار جابجایی داده از طریق منطقه WAN
نمودار انتقال داده ها برای منطقه WAN به سه (3) نمودار تقسیم می شود که اطلاعات مختلفی در مورد انتقال داده ها از طریق منطقه WAN ارائه می دهد.
- کل آپلود/ دانلود جابجایی داده از دوره زمانی انتخاب شده -این نمودار اطلاعات ترکیبی آپلود و دانلود داده را نشان می دهد. رنگها ترافیک آپلود و دانلود داده را متمایز می کنند. علاوه بر این ، حداقل ، حداکثر و متوسط انتقال داده برای آپلود و دانلود ترافیک به صورت جداگانه را نشان می دهد.
- محور X – دقیقه / ساعت / روز / ماه (بسته به دوره انتخاب شده)
- محور Y – بارگذاری / بارگیری در KBits / ثانیه
شرح:
- رنگ نارنجی – بارگذاری ترافیک
- انتقال کل داده از دوره انتخاب شده – نمودار انتقال کل داده از منطقه WAN را نشان می دهد. علاوه بر این ، حداقل ، حداکثر و متوسط انتقال داده را نشان می دهد.
- محور X – دقیقه / ساعت / روز / ماه (بسته به دوره انتخاب شده)
- محور Y – بارگذاری / بارگیری در KBits / ثانیه
شرح:
- رنگ نارنجی – کل (بارگذاری + بارگیری) ترافیک
- رنگ بنفش – بارگیری ترافیک
- انتقال کل داده های gateway دوره انتخاب شده – این نمودار اطلاعات انتقال داده های gateway از منطقه WAN را نشان می دهد. علاوه بر این ، حداقل ، حداکثر و متوسط انتقال داده از هر gatewayرا نشان می دهد.
- محور X – دقیقه / ساعت / روز / ماه (بسته به دوره انتخاب شده)
- محور Y – بارگذاری / بارگیری در KBits / ثانیه
شرح:
- رنگ متفاوت برای هر gateway
مديريت فايروال سوفوس XG، نمودارهای اطلاعات interface
نمودار اطلاعات interface ، آمار ترافیک زیر را برای همه interface ها نشان می دهد – interface های فیزیکی ، interface های VLAN، interface های LAN بی سیم و WAN :
- بیت هایی که از طریق رابط دریافت و ارسال می شوند
- هنگام انتقال و دریافت بسته ها از طریق رابط ، خطاهایی روی داده است
- هنگام انتقال و دریافت بسته ها از طریق رابط ، بسته ها حذف شده اند
- هنگام انتقال و دریافت بسته ها از طریق رابط ، برخورد صورت گرفته است
نمودار نشان میدهد:
- محور X – دقیقه / ساعت / روز / ماه (بسته به دوره انتخاب شده)
- محور Y – کیلوبیت بر ثانیه
شرح:
- رنگ نارنجی – بیت های دریافت شده (کیلوبایت بر ثانیه)
- رنگ بنفش – بیت های منتقل شده (کیلوبایت بر ثانیه)
- رنگ سبز روشن – خطاهای دریافتی (کیلوبایت بر ثانیه)
- رنگ آبی – بیت منتقل شده اما حذف شده
- رنگ صورتی – برخورد
- رنگ قرمز – خطاهای منتقل شده
- رنگ سبز تیره – بیت های دریافت شده اما حذف شده
URL category lookup
برای جستجوی اینکه آیا URL طبقه بندی شده است یا خیر ، از URL category lookup استفاده کنید. این URL مشخص شده را جستجو می کند و نام دسته ای را که URL در آن دسته بندی شده است به همراه توضیحات دسته نمایش می دهد. اگر دامنه / URL در هر دو گروه دسته سفارشی و دسته بندی پیش فرض طبقه بندی شود ، نام دسته سفارشی در نتیجه جستجو نمایش داده می شود.
برای جستجوی URL:
- به بخش Diagnostics > URL category lookup بروید
- URL را وارد کنید تا در Search URL جستجو شود
- Search را کلیک کنید
Packet capture:
این صفحه جزئیات بسته ها را در رابط مشخص شده نمایش می دهد. این جزئیات اتصال و جزئیات بسته های پردازش شده توسط هر بسته ماژول به عنوان مثال فایروال ، IPS به همراه اطلاعاتی مانند شماره rule فایروال ، کاربر ، شماره پالیسی فیلتر وب و برنامه و غیره را فراهم می کند. این به مدیران کمک می کند تا قوانین فایروال اشتباه را عیب یابی کنند.
شما می توانید:
- تنظیمات فیلتر را برای ضبط بسته ها پیکربندی کنید
- اطلاعات بسته را مشاهده کنید
- شرایط فیلتر را برای بسته ها مشخص کنید
- شروع / توقف – شروع و توقف ضبط بسته ها
- تازه کردن – لیست را تازه کنید
- پاک کردن – پاک کردن جزئیات بسته های گرفته شده
پیکربندی capture filter:
صفحه Configuring capture filter برای پیکربندی ضبط تعداد بایت برای هر بسته اجازه میدهد
- به Diagnostics> Packet capture بروید و گزینه Configure را کلیک کنید
- جزئیات را برای پیکربندی فیلتر ضبط وارد کنید
Wrap capture buffer once full: فعال کردن ادامه ضبط بسته ها حتی پس از پر شدن بافر. وقتی کادر تأیید فعال است ، ضبط بسته از ابتدای بافر دوباره شروع می شود.
Enter BPF string: پارامترهای BPF (Berkeley Packet Filter)
- روی Save کلیک کنید.
نمایش فیلتر:
این صفحه ضبط بسته را به انواع خاصی از بسته ها فیلتر می کند. سایر شرایط فیلتر مانند نوع interface، آدرس IP منبع و آدرس IP مقصد و برخی فیلترهای دیگر هم وجود دارد.
- به Diagnostics > Packet capture بروید و روی Display filter کلیک کنید
- برای پیکربندی فیلتر نمایش ، جزئیات را وارد کنید
- روی Save کلیک کنید
لیست اتصالات
این صفحه عکس لحظه ای یا اتصال زنده دستگاه شما را به صورت لیست ارائه می دهد. جدا از جزئیات اتصال ، در این لیست اطلاعاتی مانند شناسه رول فایروال ، شناسه کاربر و شناسه اتصال نیز ارائه می شود.
در هر اتصال فیلترکردن لیست اتصال طبق نیاز ممکن است. برای مشاهده عکس فوری زنده از یک اتصال خاص در یک پنجره جدید ، روی پیوند connection ID کلیک کنید. مدیر می تواند فاصله رفرش را تنظیم کند تا به صورت خودکار لیست را در بازه زمانی پیکربندی شده رفرش کند یا با کلیک کردن روی دکمه Refresh، لیست را به صورت دستی تازه کند. برای فیلتر کردن لیست اتصال ، روی فیلتر نمایشگر کلیک کنید و پارامترها را مشخص کنید.
فیلتر نمایشگر
برای تنظیم معیارهای فیلتر کردن برای نمایش لیست اتصال ، از صفحه Display filter استفاده کنید.
- به بخش Diagnostics> Connection رفته و Display filter را کلیک کنید
- پارامترهای فیلتر را وارد کنید
اتصالات مرتبط
این صفحه عکس مستقیم اتصال انتخاب شده را نشان می دهد. جدا از جزئیات اتصال ، این لیست همچنین اطلاعاتی مانند شناسه رول فایروال ، شناسه کاربر ، شناسه اتصال ، شناسه فیلتر وب و غیره را برای اتصال انتخاب شده ارائه می دهد.
دسترسی پشتیبانی
می توانید به پشتیبانی فنی Sophos اجازه دهید تا برای اهداف عیب یابی به طور موقت به فايروال سوفوس XG شما دسترسی پیدا کند.
Support access پشتیبانی Sophos را قادر می سازد تا به کنسول وب فايروال سوفوس XG شما بدون نیاز به اعتبار مدیر ، متصل شود.
وقتی دسترسی به پشتیبانی فعال باشد ، پشتیبانی فنی Sophos می تواند به کنسول وب و پوسته XG Firewall شما دسترسی پیدا کند. فايروال سوفوس XG تمام ارتباطات را با پشتیبانی فنی Sophos از طریق پورت 22 TCP برای HTTPS و SSH آغاز می کند. فايروال سوفوس XG بعد از 15 دقیقه جلسات بیکار SSH را می بندد.
برای تنظیم دسترسی پشتیبانی ، موارد زیر را انجام دهید:
- به Diagnostics> Access access بروید و دسترسی Support را روشن کنید
- OK را کلیک کنید
- مدت دسترسی دسترسی را انتخاب کنید
- برای به روزرسانی تنظیمات روی گزینه Apply کلیک کنید
- OK را کلیک کنید
فايروال سوفوس XG یک اتصال کنترل ایمن به APU (پروکسی دسترسی برای UTM ) برقرار می کند و با یک شناسه دسترسی منحصر به فرد مذاکره می کند. - شناسه دسترسی را با پشتیبانی فنی Sophos به اشتراک بگذارید پشتیبانی فنی Sophos از این شناسه دسترسی برای ورود به سیستم XG Firewall شما استفاده می کند، اتصال تا زمان مشخص شده زنده است
در هر زمان می توانید دسترسی پشتیبانی را خاموش کنید.
رول ها و پالیسی ها
رول ها و سیاست ها ضمن اعمال کنترل های امنیتی ، ترجمه آدرس و رمزگشایی و اسکن ، جریان ترافیک بین مناطق و شبکه ها را فعال می کنند. شما می توانید فایروال ، محافظت از سرور وب ، NAT و قوانین بازرسی SSL / TLS ایجاد کنید.
رول های فایروال
با استفاده از قوانین فایروال ، می توانید جریان ترافیک بین مناطق و شبکه ها را مجاز یا رد کنید. می توانید سیاست ها و اقداماتی را برای اجرای کنترل های امنیتی و اولویت بندی ترافیک اجرا کنید. می توانید قوانین فایروال را برای شبکه های IPv4 و IPv6 ایجاد کنید. اقدامات زیر را می توانید از طریق قوانین فایروال اجرا کنید:
دسترسی و ورود به سیستم
- ترافیک را براساس معیارهای مطابقت ، که شامل منبع ، مقصد ، خدمات و کاربران در بازه زمانی مشخص شده شما مجاز ، مجاز یا رد می کنند.
- قوانین NAT پیوند یافته (منبع) را برای ترجمه آدرس ایجاد کنید.
- ترافیکی را وارد کنید که مطابق با معیارهای رول باشد
خط مشی ها و اسکن ها
- سیاست های مربوط به ترافیک وب ، کنترل برنامه و IPS را اعمال کنید.
- فیلتر کردن پروکسی وب را با رمزگشایی و اسکن اجرا کنید.
- ارسال محتوا برای تجزیه و تحلیل Sandstorm
- اسکن بدافزار را برای ترافیک وب ، ایمیل و FTP اعمال کنید.
- با Heartbeat همگام سازی امنیت ، که اطلاعات مربوط به وضعیت سلامتی آنها را به XG Firewall ارسال می کند ، اقدامات مربوط به دستگاهها و سرورهای نقاط پایانی را اجرا کنید.
اولویت بندی ترافیک
- کنترل های پهنای باند را اعمال کنید.
- با علامت گذاری DSCP ترافیک را در اولویت قرار دهید.
برای ترافیک ایجاد شده در سیستم یا اجازه دسترسی به خدمات سیستم به قانون فایروال نیازی ندارید. برای مشخص کردن دسترسی به خدمات سیستم از مناطق خاص ، به مسیر Administration > Device access بروید.
- برای افزودن قانون فایروال به صورت دستی ، Add firewall rule را انتخاب کرده و سپس New firewall rule را انتخاب کنید.
- برای ایجاد قوانین NAT مقصد به همراه قوانین فایروال به طور خودکار ، Add firewall rule را انتخاب کنید و سپس Server access assistant (DNAT) را انتخاب کنید.
رول ها و گروه های رول مديريت فايروال سوفوس xg
می توانید رول فایروال ایجاد کنید و آنها را به گروه های رول اضافه کنید. دیواره آتش sophos XG، رولهاي فايروال را ارزیابی می کند نه گروه های حاکم را برای مطابقت معیارها با ترافیک. این کار از معیارهای تطابق گروه های رول فقط برای گروه بندی رولهای فایروال استفاده می کند.
قوانین پیش فرض
دیواره آتش sophos XG گروه های پیش فرض حاوی رول فایروال را ایجاد می کند تا میزان بازدید به WAN ، DMZ و مناطق داخلی ( LAN، WIFI، VPN، DMZ) را کاهش دهد. این رول ها به طور پیش فرض خاموش هستند. هنگام روشن کردن حالت MTA ، یک رول فایروال برای ایمیل MTA به طور خودکار همراه با یک رول NAT مرتبط ایجاد می شود. حالت MTA به طور پیش فرض روشن است.
رول پیش فرض Drop all ID 0 اختصاص داده شده است. این رول ترافیکی را کاهش می دهد که با معیارهای هیچ رول فایروال مطابقت ندارد. در پایین جدول رول قرار گرفته است. نمی توانید این رول را ویرایش ، حذف یا انتقال دهید. این تعداد استفاده را نشان نمی دهد. فیلترها به آن اعمال نمی شوند.
گروه های رول
بدون رول فایروال نمی توانید گروه های رول ایجاد کنید. بنابراین ، وقتی یک رول را از الگوی رول یا یک رول موجود را از جدول رول ایجاد می کنید ، یک گروه رول ایجاد کنید. می توانید یک رول فایروال را به یک گروه رول اضافه کنید یا آن را از گروه جدا کنید. گروه های رول خالی نمی توانند وجود داشته باشند. وقتی آخرین رول را از یک گروه رول حذف می کنید ، گروه رول حذف می شود.
اقدامات جدول رول
- برای دیدن رول های IPv4 یا IPv6 در جدول رول ، IPv4 یا IPv6 را انتخاب کنید.
- برای پنهان کردن یا نشان دادن فیلتر رول ، Disable filter یا Enable filter را انتخاب کنید.
- برای روشن یا خاموش کردن رول ها یا گروه های رول ، آنها را انتخاب کرده و Enable یا Disable را انتخاب کنید. اگر ترکیبی از رولهای روشن و خاموش را انتخاب کنید ، نمی توانید از این دکمه ها استفاده کنید.
- برای حذف رولها یا گروه های رول ، آنها را انتخاب کرده و Delete را انتخاب کنید.
- برای فیلتر کردن رولها توسط هر پارامتر رول ، Add filter را انتخاب کرده و سپس یک نام فیلد و گزینه آن را انتخاب کنید.
هنگام استفاده از فیلتر ، نمی توانید یک گروه رول را انتخاب کنید زیرا گروه ها ممکن است ترکیبی از قوانین روشن و خاموش را داشته باشند. با این حال ، می توانید رولهای فردی را انتخاب کنید. - برای تنظیم مجدد فیلتر رول ، Reset filter را انتخاب کنید.
- برای مشاهده جزئیات رول در جدول رول ، روی نمادهای موجود در Feature and service مکث کنید.
- برای خاموش کردن رول ها یا گروه های رول ، آنها را انتخاب کنید و Disable را انتخاب کنید.
- برای ویرایش یک گروه رول ، روی Editکلیک کنید
- هش (#) موقعیت رول را نشان می دهد. برای تغییر موقعیت یک رول یا گروه رول ، دسته Rule را بکشید و رها کنید.
دیواره آتش sophos XG رول ها را از بالا به پایین ارزیابی می کند تا زمانی که مطابقت پیدا کند. به محض اینکه مطابقت بسته را پیدا کرد ، رول های بعدی را ارزیابی نمی کند. بنابراین ، رول های خاص را بالاتر از رولهای کم اهمیت تر قرار دهید.
می توانید موقعیت یک رول را در گروه رول تغییر دهید. برای تغییر موقعیت خود در خارج از گروه ، رول را از گروه جدا کنید یا موقعیت گروه را تغییر دهید. - More options را کلیک کنید
برای تعیین اقدامات رول زیر:
- برای روشن یا خاموش کردن یک قانون ، سوییچ را انتخاب کنید.
- برای تنظیم مجدد داده های منتقل شده ، Reset data transfer count را انتخاب کنید. این برای عیب یابی مفید است.
برای مشاهده داده های منتقل شده با استفاده از یک رول ، به Reports> Dashboards بروید. Traffic Dashboard را انتخاب کرده و به Allowed policies بروید.
- برای ویرایش یا حذف یک رول ، action را انتخاب کنید.
- برای افزودن یا شبیه سازی یک رول در کنار یک رول موجود ، action را انتخاب کنید.
- برای جدا کردن رول فایروال از یک گروه ، Detach را انتخاب کنید.
اقدامات گروه رول: More options را کلیک کنید
در کنار یک رول برای تعیین اقدامات گروه رول.
- می توانید برای رولهایی که به یک گروه رول پیوست نشده اند ، یک گروه رول ایجاد کنید. New group را در زیر انتخاب کنید
Add to group در کنار رول. نام گروه را وارد کنید و Rule type و منبع و مناطق مقصد را مشخص کنید - برای افزودن یک رول به یک گروه رول ، یک گروه را انتخاب کنید یا یک گروه جدید اضافه کنید.
- برای حذف یک گروه رول ، روی حذف کلیک کنید
رول های NAT لینک داده شده
اینها قوانین NAT منبع هستند و در جدول رول NAT ذکر شده اند. می توانید آنها را با شناسه و نام رول فایروال شناسایی کنید. فایروال سوفوس XG قبل از اینکه رولهای NAT منبع را اعمال کند ، رولهای فایروال را اعمال می کند. اگر یک رول NAT بالاتر از رول لینک شده با معیارهای مطابقت مواجه شود ، فایروال سوفوس XG آن رول را اعمال می کند و بیشتر به دنبال رول پیوندی نمی رود. با این حال ، رولهای مرتبط NAT فقط در مورد ترافیکی که با رول فایروال که به آن پیوند دارند مطابقت دارد.
می توانید یک رول NAT لینک شده را از جدول رول NAT لینک دهید. پس از قطع ارتباط رول با رول اصلی فایروال ، می توانید قانون NAT را ویرایش کنید. اکنون مستقل از رول اصلی فایروال براساس معیارهای آن ارزیابی می شود و نه معیارهای اصلی رول فایروال.
مديريت فايروال سوفوس XG و ایجاد یک رول فایروال با تعیین گروه های میزبان FQDN و فیلتر کردن پروکسی وب :
- به مسیر Rules and policies > Firewall rules بروید. پروتکل IPv4 یا IPv6 و سپس Add firewall rule و در انتها New firewall rule را انتخاب کنید
- نام و موقعیت رول را مشخص کنید.
- تنظیمات زیر را مشخص کنید:
- تنظیمات زیر را برای فیلتر کردن وب انتخاب کنید:
- HTTP و HTTPS رمزگشایی شده را اسکن کنید
- پروتکل QUIC را مسدود کنید
- از پروکسی وب به جای موتور DPI استفاده کنید
- رمزگشایی HTTPS در حین فیلتر کردن پروکسی وب
5. روی save کلیک کنید.
نکته: رولی را بالاتر از رولهای فایروال قرار دهید که موتور DPI را به جای پروکسی وب اعمال می کند
ایجاد یک رول فایروال مبتنی بر ترافیک کشور خاص:
رولهایی برای مدیریت ترافیک به یک کشور یا گروهی از کشورها ایجاد کنید.
برای مسدود کردن ترافیک از یک کشور ، به شرح زیر عمل کنید:
- به مسیر Rules and policies > Firewall rules بروید. پروتکل IPv4 یا IPv6 و سپس Add firewall rule و در انتها New firewall rule را انتخاب کنید.
- با استفاده از پارامترهای زیر یک رول ایجاد کنید:
تصویر زیر نمونه ای از رول مسدود کردن یک کشور را نشان می دهد:
برای استفاده موثر از بلاک یک کشور به صورت موثر، Source zones و Destination zones را به Any تنظیم کنید.
- Save را کلیک کنید.
ایجاد یک رول جعبه سیاه DNAT :
برای حذف بسته ها از منابع ناخواسته از اینترنت ، یک رول جعبه سیاه ایجاد کنید
برای ایجاد رول جعبه سیاه ، به صورت زیر عمل کنید:
- به مسیر Rules and policies بروید و روی NAT rules کلیک کنید.
- روی Add NAT rule و سپس New NAT rule کلیک کنید.
- رول را به صورت زیر پیکربندی کنید:
تصویر زیر نمونه ای از رول جعبه سیاه را نشان می دهد:
- Save را کلیک کنید.
اضافه کردن رول فایروال
رولهای فایروال ایجاد کنید تا جریان ترافیک بین زون ها و شبکه ها مجاز یا ممنوع باشد و سیاست ها و اقدامات امنیتی را اعمال کنید.
رولهایی برای شبکه های IPv4 یا IPv6 ایجاد کنید. معیارهای مطابقت مانند منبع ، مقصد ، خدمات و کاربران را در یک بازه زمانی مشخص کنید. خط مشی ها و عملکرد اسکن را برای اعمال انتخاب کنید. اقدامی را برای اجرا در نقاط انتهایی و سرورهای امنیت همگام سازی انتخاب کنید.
- به مسیر Rules and policies > Firewall rules بروید. پروتکل IPv4 یا IPv6 و سپس Add firewall rule و در انتها New firewall rule را انتخاب کنید.
- رولها به طور پیش فرض روشن می شوند. اگر نمی خواهید ضوابط مطابقت آن را اعمال کنید ، می توانید یک رول را خاموش کنید.
- جزئیات کلی را شامل: نام رول، موقعیت، گروه رول ها، عمل رول(قبول کردن ترافیک، رد ترافیک، حذف و حفاظت وب سرور)، الگوی از پیش پیکربندی شده و لاگ کردن ترافیک فایروال را وارد کنید.
- معیارهای تطبیق منبع شامل: زون ها، تجهیزات و شبکه های منبع و اجرا در زمان برنامه ریزی شده را انتخاب کنید
- معیارهای مطابقت مقصد و خدمات شامل: زون ها و شبکه های مقصد و خدمات را وارد کنید
- معیارهای هویت کاربر را مشخص کنید که شامل: کاربران شناخته شده، استفاده از احراز هویت تحت وب کاربران شناخته نشده ((برای تعیین تنظیمات احراز هویت وب ، به Authentication > Web authentication بروید. می توانید AD SSO (Active Directory Single Sign On) (Kerberos و NTLM ) یا احراز هویت پورتال captive را مشخص کنید. برای فعال کردن دسترسی به AD SSO و پورتال captive از زون های مورد نیاز، به بخش Administration > Device access بروید.))، یوزرها یا گروه ها، استثناء کردن فعالیتهای یوزر خاصی از بررسی داده می باشد
- Add exclusion را برای افزودن موارد استثنا به رول انتخاب کنید. XG Firewall با معیارهای مشخص شده برای موارد زیر مطابقت ندارد:
- مناطق منبع
- شبکه ها و دستگاه های منبع
- مناطق مقصد
- شبکه های مقصد
- خدمات
- اگر می خواهید ترجمه آدرس(NAT) را برای شبکه ها و دستگاه های منبع این رول ایجاد کنید ، ایجاد رول مرتبط NAT را انتخاب کنید.
رول های NAT پیوندی رولهای NAT منبع هستند و در جدول رول NAT ذکر شده اند. می توانید آنها را با شناسه و نام رول فایروال شناسایی کنید.
شما فقط می توانید منبع NAT شده و NAT منبع خاص interface خروجی را در یک رول NAT پیوندی تغییر دهید. برای بقیه ، معیارهای مطابقت رول فایروال را که به آن پیوند داده شده است ، از جمله کاربران و گروه ها اعمال می کند.
توجه: قوانین پیوندیNAT فقط در مورد ترافیکی تعریف شده توسط رول فایروال که به آنها متصل است اعمال می شود. اگرچه معیارهای یک رول NAT که بالای رول NAT پیوندی قرار دارد با ترافیک مطابقت دارد، رول قبلی اعمال می شود. XG Firewall به محض اینکه منطبق باشد رولهای بعدی را ارزیابی نمی کند.
- برای مشخص کردن تنظیمات ، Web filtering را انتخاب کنید. خط مشی وب ، بدافزار و اسکن محتوا و تنظیمات فیلتر را انتخاب کنید.
بدافزار و اسکن محتوا: تنظیمات مشخص شده در Web > General settings اعمال می شود.
فیلترکردن: تنظیمات را برای فیلتر کردن ترافیک وب بر روی پورتهای وب معمول انتخاب کنید. اگر می خواهید فیلتر پراکسی وب را انتخاب کنید ، ابتدا باید یک خط مشی وب یا بدافزار و اسکن محتوا برای HTTP و HTTPS رمزگشایی شده را انتخاب کنید.
XG Firewall برنامه های کوچک، مانند بارگذاری و بارگیری پیوست Dropbox و Gmail را براساس URL های آنها شناسایی می کند. وقتی در این رول می توانید سیاست فیلتر برنامه را برای این برنامه های کوچک تعیین کنید و قانون بازرسی SSL / TLS را برای رمزگشایی تنظیم کنید، موتور DPI برنامه های خرد را براساس URL رمزگشایی شده شناسایی می کند. این امر حتی اگر تنظیمات وب را روی None تنظیم کرده و اسکن نرم افزارهای مخرب و محافظت از تهدیدات پیشرفته را خاموش کنید ، اعمال می شود. XG Firewall اقدام مشخص شده در سیاست فیلتر برنامه را انجام می دهد.
اگر فیلتر پراکسی وب را روی رابط های Bridge بدون آدرس IP تنظیم کنید، ترافیک حذف می شود.
نکته: برای اطلاعات در مورد استفاده از XG Firewall به عنوان پروکسی مستقیم وب ، به پیکربندی پراکسی وب در Web > General settings بروید.
نکته: XG Firewall از رمزگشایی ، بدافزار و اسکن محتوا ، تجزیه و تحلیل طوفانی و بررسی سیاست ها برای موارد استثنایی مربوطه که در Web > Exceptions تعیین کرده اید، عبور می کند. موارد استثنا هم در حالت DPI و هم در پروکسی اعمال می شود.
- Configure Synchronized Security Heartbeat را برای تعیین تنظیمات Heartbeat انتخاب کنید. مشخص کردن این کنترل ها به شما امکان می دهد از طریق XG Firewall از دستگاه ها و سرورهای نقطه پایانی در شبکه خود محافظت کنید.
دستگاه ها و سرویس های Endpoint که با Synchronized Security پیکربندی شده اند، Heartbeat را ارسال می کنند، این اطلاعات مربوط به وضعیت سلامتی آنها در فواصل از پیش تعیین شده به XG Firewall است.
- تنظیمات سایر ویژگی های امنیتی را انتخاب کنید. می توانید سیاست های جدید کنترل برنامه ،IPS و شکل گیری ترافیک را انتخاب یا ایجاد کنید.
- برای اسکن محتوای ایمیل ، پروتکل های IMAP ، IMAPS ، POP3 ، POP3S ، SMTP و SMTPS را انتخاب کنید.
اگر یک پروتکل را در اینجا انتخاب کردید و در این استاندارد پورت استاندارد آن را به Services اضافه نکرده اید، Add ports را انتخاب کنید. پورت های استاندارد برای پروتکل های انتخاب شده به سرویس ها اضافه می شوند.
- Save را کلیک کنید.
اضافه کردن یک رول DNAT برای کمک به دسترسی سرور
کمک کردن به دسترسی سرور به شما این امکان را فراهم می کند که رولهای مقصدNAT (DNAT) را برای ترافیک ورودی به سرورهای داخلی ایجاد کنید.
برای ایجاد رولهای DNAT برای ترجمه ترافیک ورودی به سرورها ، مانند وب ، ایمیل،SSH یا سایر سرورها و دسترسی به دسک تاپ های از راه دور ، از این موارد استفاده کنید. دستیار همچنین یک رول SNAT انعکاسی (برای ترافیک خروجی از سرورها) ، یک رول loopback (برای کاربران داخلی که به سرورها دسترسی پیدا می کنند) و یک رول فایروال (برای ایجاد ترافیک ورودی به سرورها) به صورت خودکار ایجاد می کند.
ایجاد رولهای NAT و فایروال که نیازهای اساسی را با استفاده از دستیار دسترسی سرور برآورده می کند ، روندی ساده است. برای افزودن سایر تنظیمات رول ، می توانید بعداً این رولها را ویرایش کنید.
- دستیار دسترسی سرور را از گزینه های زیر انتخاب کنید:
به مسیر Rules and policies > NAT rules بروید. سپس IPv4 یا IPv6، بعد از آن Add NAT rule و در انتها Server access assistant (DNAT) را انتخاب کنید.
این بار به مسیر Rules and policies > Firewall rules رفته و سپس IPv4 یا IPv6، بعد از آن Add firewall rule ، بعد New firewall rule و در انتها Server access assistant (DNAT) را انتخاب کنید.
- تنظیمات را مشخص کنید:
آدرس IP سرور داخلی، آدرس IP بیرونی (public)، خدمات، شبکه ها و دستگاه های منبع بیرونی، ذخیره و پایان.
VoIP
XG Firewall از VoIP با استفاده از هر دو استاندارد Session Initiation Protocol (SIP) و H.323 پشتیبانی می کند.
ارائه دهنده VoIP شما جزئیات پیکربندی سیستم VoIP شما را ارائه می دهد. سپس باید یک رول فایروال را پیکربندی کنید تا سرویس SIP یا H.323 مجاز باشد.
استانداردهای H.323 و SIP بنیادی را برای ارتباطات صوتی ، تصویری و داده در شبکه های مبتنی بر IP فراهم می کند. این کار کاربران را قادر می سازد تا در کنفرانس های ویدیویی و صوتی شرکت کنند ، حتی اگر از برنامه های مختلفی استفاده می کنند. H.323 و SIP از جریانهای مختلفی برای سیگنالینگ و انتقال داده استفاده می کنند. سیگنالینگ جریان برای مذاکره در مورد پارامترهای پیکربندی ، آدرس IP و پورت استفاده می شود که برای ایجاد جریان داده استفاده می شود. فیلتر کردن این پروتکل ها توسط فایروال سخت تر است زیرا با معرفی پارامترهای لایه 3 و 4 در لایه 7 مدل OSI لایه بندی را نقض می کند.
برای غلبه بر این وضعیت در iptables ،Netfilter راهنماهای ردیابی اتصال را ارائه می دهد که ماژول هایی هستند که می توانند به فایروال در ردیابی این پروتکل ها کمک کنند. رایج ترین موضوعاتی که با VoIP روبرو می شود کیفیت پایین تماس ، صدای یک طرفه یا کاهش تماس است.
مقدار وقفه زمانی UDP باعث افت یا بی کیفیت شدن تماس های VoIP می شود.
اگر تماس های VoIP افت کند یا کیفیت پایین داشته باشد چه باید کرد.
علت
اگر در پیکربندی SIP خطایی رخ ندهد ، مشکلات VoIP معمولاً به دلیل مقدار زمان UDP است.
XG Firewall دارای زمان UDP پیش فرض 60 ثانیه ای است که معمولاً برای ارتباط VoIP قابل اعتماد کم است. معمولاً ارائه دهنده VoIP مقدار وقفه UDP ، معمولاً 150 ثانیه را توصیه می کند.
برای تغییر مقدار زمان پایان UDP از رابط خط فرمان (CLI) ، گزینه 4 را انتخاب کنید.
Device Console و به شرح زیر عمل کنید:
راه حل:
- تایپ کنید: show advanced-firewall
مقدار زمان پایان UDP در کنار UDP Timeout Stream نشان داده می شود. - تایپ کنید: set advanced-firewall udp-timeout-stream 150
دستور فوق تایم اوت UDP را به 150 ثانیه افزایش می دهد. اگر ارائه دهنده اینترنت شما مقدار متفاوتی را پیشنهاد می کند، از آن استفاده کنید.
مشکلات تماس VoIP از طریق VPN سایت به سایت یا با IPS پیکربندی شده
در صورت وجود VPN یا IPS سایت به سایت دیگر که در XG Firewall پیکربندی شده است، مشکلات مربوط به کیفیت تماس VoIP را برطرف کنید.
علت
وقتی VPN یا IPS از یک سایت به سایت دیگر وجود دارد یا هر دو در XG Firewall پیکربندی شده اند ، برای حل مشکلات مربوط به افت تماس های VoIP یا تماس های بی کیفیت به شرح زیر عمل کنید:
راه حل:
- تایپ کنید : set ips sip_preproc disable
با این کار الگوهای IPS از قبل بارگیری شده برای SIP غیرفعال می شوند.
- تایپ کنید: set vpn conn-remove-tunnel-up disable
در صورت غیرفعال شدن ، XG Firewall با بالا آمدن تونل های IPsec اتصالات را پاک نمیکند.
وقتی ماژول کمکی H.323 بارگیری می شود تماس های صوتی و تصویری کاهش می یابد یا فقط به یک صورت کار می کنند
هنگام بارگیری ماژول H.323 ، مشکلات صوتی و تصویری را برطرف کنید.
علت
اگر ماژول کمکی H.323 همراه با قوانین فایروال مناسب یا قوانین DNAT بارگیری شود و صدا یا فیلم همچنان ادامه داشته باشد یا فقط به یک طریق کار کند ، ممکن است NAT در سطح برنامه وجود نداشته باشد.
راه حل
- از کنسول CLI، تایپ کنید: system system_modules h323 unload
- از طریق راهنمایی این صفحه، transparent subnet gateway را کانفیگ کنید
- از طریق یک دستگاه Polycom که پشت XG Firewall است ، تماس ویدیویی را شروع کرده و عملکرد صحیح آن را بررسی کنید.
نحوه فعال یا غیرفعال کردن ماژول SIP
ماژول SIP به طور پیش فرض فعال است و توابع زیر را برای ترافیک SIP فراهم می کند:
- از پورت UDP 5060 استفاده می کند.
- NAT آدرس های IP محلی را به آدرس های IP عمومی اداره می کند.
- با تنظیم اتصال صوتی مورد انتظار در فایروال ، یک کانال صوتی پویا را فعال می کند.
علت
برای روشن یا خاموش کردن ماژول SIP از رابط خط فرمان (CLI) ، گزینه 4 ، Device Console را انتخاب کنید و به شرح زیر عمل کنید:
راه حل:
- برای فعال کردن ماژولSIP، تایپ کنید: system system_modules sip load
- برای غیرفعال کردن ماژول SIP، تایپ کنید: system system_modules sip unload
لینکهای مربوطه:
فروش لایسنس سوفوس با آپدیت سرور ایرانی
مهاجرت فایروال های سوفوس از سری SG به سری XG
مدل لایسنس و ماژولهای لایسنس سوفوس
ارتقاي فایروالهای Cyberoam به Sophos XG
چه مدلهایی از Cyberoam قابلیت نصب Firmwareهای سوفوس را دارند؟