XG-Firewall[001-120]

Prévia do material em texto

Olá, este é o curso Sophos Certified Engineer para XG Firewall. Este é o Módulo 1: Visão geral do XG Firewall.
Engenheiro Certificado Sophos
XG Firewall ET80 - Visão geral do ET801 XG Firewall
Março de 2019 Versão: 17.5v1 
Versão do produto: 17.5
© 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de 
qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.
Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste 
documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários.
Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou 
representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a 
qualquer momento sem aviso prévio.
A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon 
Science Park, Abingdon, Oxfordshire, OX14 3YP.
Engenheiro Certificado Sophos
Firewall XG
Módulo 1: Visão geral do firewall XG
Versão 17.5
Engenheiro de firewall XG - 1
Este curso foi desenvolvido para profissionais técnicos que demonstrarão o Sophos XG Firewall e fornece uma 
visão geral do produto, incluindo uma introdução aos principais recursos e conceitos principais de configuração. 
Este curso levará cerca de 3 dias para ser concluído e inclui aproximadamente 9 horas de laboratórios práticos.
Sobre este curso
Este curso foi desenvolvido para profissionais técnicos que demonstrarão o Sophos XG Firewall e 
fornece uma visão geral do produto, incluindo uma introdução aos principais recursos e conceitos 
principais de configuração.
• Este curso levará cerca de 3 dias completarEste curso levará cerca de 3 dias completarEste curso levará cerca de 3 dias completar
• Aproximadamente 9 horas deste curso consiste em laboratórios práticosAproximadamente 9 horas deste curso consiste em laboratórios práticosAproximadamente 9 horas deste curso consiste em laboratórios práticos
Duração do curso
Engenheiro de firewall XG - 3
Recomendamos que você tenha o seguinte conhecimento e experiência:
✓ Conhecimento prático de redes, incluindo sub-redes, roteamento, VLANs e VPNs✓ Conhecimento prático de redes, incluindo sub-redes, roteamento, VLANs e VPNs
✓ Experiência na configuração de dispositivos de segurança de rede✓ Experiência na configuração de dispositivos de segurança de rede
✓ Conhecimento de algoritmos e certificados fundamentais de criptografia e hash✓ Conhecimento de algoritmos e certificados fundamentais de criptografia e hash
Pré-requisitos
Recomendamos que os alunos tenham o seguinte conhecimento e experiência:
✓ Conhecimento prático de redes, incluindo sub-redes, roteamento, VLANs e VPNs✓ Conhecimento prático de redes, incluindo sub-redes, roteamento, VLANs e VPNs
✓ Experiência na configuração de dispositivos de segurança de rede✓ Experiência na configuração de dispositivos de segurança de rede
✓ Conhecimento de algoritmos e certificados fundamentais de criptografia e hash✓ Conhecimento de algoritmos e certificados fundamentais de criptografia e hash
Engenheiro de firewall XG - 4
Certificação
Para concluir o curso certificado Sophos Central Engineer:
Complete e passe o 
avaliação no portal de treinamentoavaliação no portal de treinamento
Você tem 2,5 horas completar Você tem 2,5 horas completar Você tem 2,5 horas completar 
a avaliação
Você tem 4 tentativas para Você tem 4 tentativas para Você tem 4 tentativas para 
passar na avaliação
A avaliação pode incluir perguntas sobre 
o teoria ou laboratórioso teoria ou laboratórioso teoria ou laboratórioso teoria ou laboratórios
Para concluir o curso certificado Sophos Central Engineer, você deve concluir e passar na avaliação on-line 
disponível no portal de treinamento. Voce terá 2,5 horas para concluir a avaliação e pode levar quatro tentativas para disponível no portal de treinamento. Voce terá 2,5 horas para concluir a avaliação e pode levar quatro tentativas para disponível no portal de treinamento. Voce terá 2,5 horas para concluir a avaliação e pode levar quatro tentativas para disponível no portal de treinamento. Voce terá 2,5 horas para concluir a avaliação e pode levar quatro tentativas para disponível no portal de treinamento. Voce terá 2,5 horas para concluir a avaliação e pode levar quatro tentativas para 
passar na avaliação. A avaliação pode incluir perguntas sobre ambos teoria e laboratório conteúdo.passar na avaliação. A avaliação pode incluir perguntas sobre ambos teoria e laboratório conteúdo.passar na avaliação. A avaliação pode incluir perguntas sobre ambos teoria e laboratório conteúdo.passar na avaliação. A avaliação pode incluir perguntas sobre ambos teoria e laboratório conteúdo.passar na avaliação. A avaliação pode incluir perguntas sobre ambos teoria e laboratório conteúdo.
Você deve concluir e passar na avaliação on-line se desejar se registrar para o Arquiteto de firewall XG curso.Você deve concluir e passar na avaliação on-line se desejar se registrar para o Arquiteto de firewall XG curso.Você deve concluir e passar na avaliação on-line se desejar se registrar para o Arquiteto de firewall XG curso.
Engenheiro de firewall XG - 5
Este curso é dividido em 11 módulos, com laboratórios práticos intercalados ao longo do curso para permitir a 
aplicação do conteúdo discutido nos módulos anteriores.
Agenda do Curso
Visão geral do firewall XG
Introdução ao XG Firewall
Proteção de rede
Conexões site a site
Autenticação
Proteção da Web e Controle de Aplicativos
Proteção de Email
Proteção sem fio
Acesso remoto
Registro, relatórios e solução de problemas
Gestão. Dimensionamento e avaliação
1
2
3
4
5
6
7
8
9
10
11
Engenheiro de firewall XG - 6
7
Objetivos do Curso
• Depois de concluir este curso, você será capaz de:
✓ Explique como o XG Firewall ajuda a proteger contra ameaças à segurança✓ Explique como o XG Firewall ajuda a proteger contra ameaças à segurança
✓ Configurar regras de firewall, políticas e autenticação de usuário✓ Configurar regras de firewall, políticas e autenticação de usuário
✓ Demonstrar proteção contra ameaças e recursos comumente usados✓ Demonstrar proteção contra ameaças e recursos comumente usados
✓ Execute a configuração inicial de um XG Firewall e defina as configurações de rede necessárias✓ Execute a configuração inicial de um XG Firewall e defina as configurações de rede necessárias
✓ Executar dimensionamento preliminar para um firewall XG✓ Executar dimensionamento preliminar para um firewall XG
Depois de concluir este curso, você será capaz de:
✓ Explique como o XG Firewall ajuda a proteger contra ameaças à segurança✓ Explique como o XG Firewall ajuda a proteger contra ameaças à segurança
✓ Configurar regras de firewall, políticas e autenticação de usuário✓ Configurar regras de firewall, políticas e autenticação de usuário
✓ Demonstrar proteção contra ameaças e recursos comumente usados✓ Demonstrar proteção contra ameaças e recursos comumente usados
✓ Execute a configuração inicial de um XG Firewall e defina as configurações de rede necessárias✓ Execute a configuração inicial de um XG Firewall e defina as configurações de rede necessárias
✓ Executar dimensionamento preliminar para um firewall XG✓ Executar dimensionamento preliminar para um firewall XG
Engenheiro de firewall XG - 7
informação adicional
Informações adicionais nas 
notas
Quando você vê isso no canto inferior direito 
canto, você pode encontrar informações 
adicionais nas notas do aluno 
folheto
Quando você vê isso no slide, pode encontrar informações adicionais nas notas do folheto do aluno.
Engenheiro de firewall XG - 8
Glossário de termos técnicos
Um glossário de termos técnicos usados ​​ao longo do curso pode ser encontrado no 
artigo da base de conhecimento 118500artigoda base de conhecimento 118500
https://community.sophos.com/kb/118500
Um glossário de termos técnicos usados ​​ao longo do curso pode ser encontrado no artigo 118500 da base de conhecimento.
Engenheiro de firewall XG - 9
Ambiente de laboratório
Ao longo deste curso, existem laboratórios práticos a serem concluídos. Este curso inclui acesso a um ambiente virtual 
hospedado como o mostrado aqui, que simula dois sites com várias sub-redes.
Engenheiro de firewall XG - 10
Ambiente de laboratório
O Manual do Laboratório deve ser baixado do conteúdo da lição, Introdução ao Curso 
módulo no portal de treinamento
Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em 
o portal de treinamento para acessar o ambiente de laboratório no CloudShare
Você tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessaVocê tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessaVocê tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessa
A pasta de trabalho do laboratório deve ser baixada do conteúdo da lição do módulo Introdução ao Curso no portal de 
treinamento.
Quando chegar a hora de iniciar os laboratórios, use o link Ambiente do laboratório de lançamento no conteúdo da lição do módulo Introdução 
ao curso no portal de treinamento para acessar o ambiente de laboratório no CloudShare.
Você tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessa.Você tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessa.Você tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessa.
Engenheiro de firewall XG - 11
Os comentários sobre nossos cursos são sempre bem-vindos - envie um email para globaltraining@sophos.com com seus comentários.
O feedback é sempre bem-vindo. Envie um email 
para globaltraining@sophos.com
TREINAMENTO COMENTÁRIOSTREINAMENTO COMENTÁRIOS
Engenheiro de firewall XG - 12
Visão geral do firewall XG
Proteção de rede
Proteção de servidor Web
Controle de Aplicação Segurança sincronizada
Proteção de Email Proteção sem fio 
Sandstorm
Proteção da Web
O Sophos XG Firewall é um dispositivo abrangente de segurança de rede, com um firewall baseado em zona e políticas baseadas em 
identidade em seu núcleo. O XG Firewall não protege apenas redes com fio, mas como um controlador sem fio para pontos de acesso 
Sophos, pode fornecer funcionalidade de rede sem fio segura.
Além de seus recursos antimalware, o XG Firewall fornece filtragem e controle de conteúdo em várias funções, 
incluindo filtragem da Web, controle de aplicativos e proteção de email.
Quando emparelhado com o Sophos Central, o XG Firewall pode se comunicar com o software de segurança de terminais da Sophos para 
aprimorar o reconhecimento da rede e aplicar políticas baseadas na integridade dos computadores de origem e de destino.
O XG Firewall inclui um mecanismo abrangente de geração de relatórios, que permite pesquisar facilmente relatórios para 
encontrar as informações necessárias.
Neste módulo, veremos mais de perto alguns desses recursos e como eles se protegem contra ameaças 
comuns.
Engenheiro de firewall XG - 13
Ameaças à segurança da rede
Rede da Empresa
Atacante
Dispositivo comprometido 
Servidores de 
Computadores
Vulnerabilidades
Os invasores podem usar software malicioso, vírus ou malware, para infectar e controlar os dispositivos dos usuários. Por exemplo, um invasor 
pode usar malware para instalar um registrador de pressionamento de tecla em um dispositivo que registra os detalhes confidenciais dos usuários, 
como nomes de usuário, senhas ou dados bancários. O malware também pode ser usado para permitir que o invasor controle um dispositivo sem 
o conhecimento do usuário para participar de uma 'botnet'. Isso permite que vários dispositivos infectados sejam usados ​​para atacar mais 
dispositivos.
As ameaças à segurança podem vir de dentro da sua organização. Um usuário pode, inadvertidamente, introduzir código 
malicioso na rede a partir de uma fonte que não seja a Internet, como uma unidade USB. O código malicioso tenta entrar em 
contato com um servidor de comando e controle fora da rede que comprometerá o dispositivo e a rede.
Vulnerabilidades de software são bugs em programas que hackers exploram para comprometer dispositivos. Uma exploração 
geralmente tira proveito de uma vulnerabilidade específica no sistema operacional ou em um aplicativo para acessar ou infectar um 
dispositivo.
Selecione o tipo de ameaça à segurança para saber como o XG Firewall protege contra eles.
Engenheiro de firewall XG - 16
Firewall
Bloquear portas
Bloqueio de país por 
IP geográfico
Aplicar Restritivo 
Políticas
Isolar zonas de proteção 
contra inundações
O recurso Firewall no XG Firewall fornece proteção contra vírus e malware, além de outras ameaças à segurança. Os 
seguintes recursos podem ser usados ​​para evitar ataques de rede comuns;
• Bloqueio de portas e bloqueio de país por IP geográfico, permitindo controlar exatamente qual tráfego de rede é permitido 
em sua rede
• Imponha políticas restritivas em diferentes zonas, redes ou por tipo de serviço. Isso permite que você controle os 
tipos de tráfego permitidos na sua rede
• Isole uma zona; portanto, se você tiver um surto de vírus, pode isolá-la para evitar que o vírus se 
espalhe pela sua rede enquanto você limpa o problema.
• Proteção contra inundações que evita ataques de DoS e DDoS na sua rede
Engenheiro de firewall XG - 18
VPN / VPN VERMELHO
Filial
VERMELHO 
Computadores
Trabalhador remoto
Atacante
XG FirewallXG Firewall
Escritório Central
O Sophos XG Firewall fornece várias maneiras de proteger conexões, para que você possa continuar a fornecer acesso 
flexível sem comprometer a segurança.
Para garantir a conectividade entre escritórios centrais e remotos, o XG Firewall suporta o RED (Remote Ethernet Device) da 
Sophos, que torna a implantação de links seguros tão simples quanto plug and play. Onde você precisa fazer conexões com 
dispositivos de gateway existentes em escritórios remotos, você pode configurar alternativamente VPNs site a site usando protocolos 
seguros padrão, como IPsec.
Para proteger o acesso remoto a seus usuários, o XG Firewall suporta o acesso VPN usando todos os protocolos comuns, incluindo 
SSL e IPsec, para a maioria dos dispositivos, incluindo Windows, Mac, Linux e dispositivos móveis. O XG Firewall inclui até um portal 
VPN sem cliente baseado em navegador que funcionará em qualquer navegador da Web moderno.
Engenheiro de firewall XG - 19
A Proteção Avançada contra Ameaças (ATP) monitora o tráfego de saída global. Ele bloqueia o tráfego de rede de saída tentando entrar em 
contato com os servidores de comando e controle. Isso impede que os cavalos de Troia de acesso remoto relatem seus servidores maliciosos.
Se o ATP detectar uma ameaça, um alerta será gravado e o número de detecções mostradas no centro de controle. O 
administrador pode verificar o alerta para obter informações adicionais sobre a ameaça, como;
• O endereço IP dos dispositivos afetados
• O nome do host dos dispositivos afetados
• A ameaça e o número de vezes que a regra foi acionada.
Esse processo permite ao administrador isolar o dispositivo e limpar a ameaça para proteger o restante da 
rede contra infecção. 
Proteção Avançada contra Ameaças (ATP)
Computadores
Firewall XG
Internet
Detecta e bloqueia saída 
maliciosa 
tráfego
Monitora globalmente todos 
tráfego de saída
Grava um alerta no Centro 
de Controle de 
o firewall XG
Permite o isolamento do dispositivo 
e ameaça de limpeza
Engenheiro de firewall XG - 21
Os kits de vulnerabilidades e exploração podem ser protegidos contra o IPS (Intrusion PreventionSystems). O IPS monitora o 
tráfego da rede à medida que passa pelo XG Firewall em busca de atividades maliciosas. Ele registra a atividade e tenta 
bloquear e prevenir a infecção e depois relata a atividade.
Observe que a prevenção contra intrusões não foi projetada para substituir a aplicação de patches de software para corrigir bugs e 
vulnerabilidades de segurança.
Sistema de prevenção de intrusões (IPS)
Computador
Firewall XG
Internet
Monitora o tráfego de rede para 
atividade maliciosa
Bloqueia e relata atividades para evitar 
infecções de rede
Engenheiro de firewall XG - 23
Ao introduzir ameaças à segurança, cobrimos vulnerabilidades de software. Muitas infecções por malware começam com um usuário 
visitando um site especificamente projetado que explora uma ou mais vulnerabilidades de software. Isso pode ser acionado por um 
usuário clicando em um link em um email ou navegando na Internet. Este tipo de infecção acontecerá silenciosamente.
Os sites originais podem ser comprometidos por invasores que colocam anúncios maliciosos no site. Em outros casos, o tráfego para 
o site pode ser redirecionado para o servidor do invasor. O site redirecionado foi projetado para parecer autêntico e geralmente 
solicita um nome de usuário e senha para fazer login.
Ameaça à segurança - infecções na Web
Um usuário clica em um link em um 
email de phishing
Um usuário visita um site legítimo 
e é redirecionado para um 
servidor atacante
Engenheiro de firewall XG - 25
O recurso de proteção da Web no XG Firewall pode ser usado para evitar infecções na Web. 
• O Filtro da Web fornece filtros predefinidos que bloqueiam automaticamente o acesso a sites categorizados, como jogos 
de azar ou pornografia
• O Live Protection fornece pesquisas em tempo real ao SophosLabs para verificar se há ameaças e impedi-las de 
infectar o dispositivo / rede
• O Pharming Protection impede que os usuários sejam redirecionados para sites falsos ou comprometidos
• A validação de certificado valida certificados de sites para garantir legitimidade
• A filtragem de tipo de arquivo filtra os arquivos com base no tipo MIME, extensão e tipos de conteúdo ativo. Isso pode ser usado para 
bloquear documentos habilitados para macro, por exemplo
• Aplicação do SafeSearch. O SafeSearch é um recurso da Pesquisa do Google que atua como um filtro automatizado de pornografia 
e conteúdo potencialmente ofensivo
O recurso de proteção da Web é personalizável, por exemplo, restringir a cota de navegação dos usuários e o tempo de acesso 
permite o controle sobre o que os usuários podem ter acesso e quando. Se você deseja impedir que seus usuários possam acessar 
sites que não são essenciais para os negócios, você pode colocar uma restrição na política da web que bloqueia o acesso a sites não 
comerciais, por exemplo, sites de redes sociais.
Proteção da Web
As políticas permitem configurar filtros para 
bloquear automaticamente 
sites categorizados
Se um usuário visitar um site bloqueado, 
ele não poderá acessar 
o site
Engenheiro de firewall XG - 26
Engenharia social é o ato de manipular as pessoas para que tomem uma ação específica em benefício de um invasor. Esse tipo de 
ataque é alcançado usando alguns dos seguintes métodos;
• Criando um senso de urgência, definindo um prazo para a ação
• Representar alguém importante, como o CEO da empresa
• Mencionar eventos atuais para tornar a mensagem mais legítima
• Obscurecer URLs maliciosos para torná-los autênticos
• Oferecendo um incentivo para concluir a ação
A engenharia social pode acontecer em todas as redes sociais, e-mails, aplicativos, telefonemas e pessoalmente. Normalmente, o 
ataque é projetado para alguns dos seguintes propósitos;
• Números e senhas de contas de cartão de crédito de phishing
• Hackeando e-mails particulares e históricos de bate-papo
• Hackeando sites de empresas ou organizações e destruindo sua reputação
• Fraudes com vírus de computador
• Convencendo os usuários a executar código malicioso
Você pode descobrir mais sobre engenharia social e como isso pode ser evitado assistindo ao vídeo na página Naked 
Security da Sophos: https://nakedsecurity.sophos.com/tag/socialengineering/ 
Ameaça à segurança - Engenharia social
Atacante 
Envia ataque
Pessoa / Email / Aplicativos 
Comercial
Manipula o 
usuário
Engenheiro de firewall XG - 28
Para evitar ataques de engenharia social, você precisa garantir que seus usuários sejam informados sobre os perigos. Usuários 
instruídos reduzem o risco de um ataque de mídia social pessoalmente.
A proteção de email é usada para proteger contra ataques de phishing. Abordaremos isso mais adiante neste módulo. 
Para evitar ataques de engenheiros sociais por meio de aplicativos, o Sophos XG Firewall usa a função de Controle de Aplicativos. Isso 
pode ser usado para limitar ou restringir quais aplicativos seus usuários podem acessar na sua rede.
Se um ataque de engenharia social for iniciado solicitando que os usuários acessem sua conta do Facebook, por exemplo, para 
confirmar seu nome de usuário, o Filtro de aplicativos poderá ser configurado para bloquear o acesso ao aplicativo do Facebook, o que 
significa que o ataque não seria bem-sucedido, como o usuário saberia que eles não conseguem acessar o Facebook na rede. 
O controle de aplicativos pode ser usado para bloquear;
• Aplicativos indesejados
• Alguns aplicativos não são maliciosos e possivelmente úteis no contexto certo, mas não são adequados para as redes da 
empresa. Exemplos são adware, ferramentas para administrar PCs remotamente e scanners que identificam 
vulnerabilidades em sistemas de computadores
• Aplicativos de rede ponto a ponto
• Aplicativos P2P podem conter vulnerabilidades. Os aplicativos ponto a ponto atuam como servidores e clientes, o que 
significa que eles podem ser mais vulneráveis ​​a explorações remotas
• Aplicações de alto risco
• Sophos categoriza todos os aplicativos, isso significa que você pode aplicar o alto risco 
Controle de Aplicação
Configurar regras de aplicativo para 
restringir o acesso a 
formulários
Engenheiro de firewall XG - 29
política de controle de aplicativos e bloqueará todos (e todos os novos) aplicativos classificados como de 
alto risco
• Um exemplo disso seria o site de rádio da AOL, o site do Bebo e o streaming do Napster
• Aplicações de risco muito alto
• Da mesma forma que na categoria de alto risco, a categoria de rick muito alta permite bloquear todos os 
aplicativos classificados como de risco muito alto
• Um exemplo desses aplicativos seria o proxy TOR, SuperVPN e AppVPN
Engenheiro de firewall XG - 29
Controle de aplicativo sincronizado
Identificar desconhecido 
formulários
Em média, 60% do tráfego de aplicativos não é identificado. As assinaturas de aplicativos estáticos não funcionam para aplicativos 
personalizados, obscuros, evasivos ou que usem HTTP ou HTTPS genérico. O Controle de Aplicativo Sincronizado no XG Firewall identifica 
automaticamente todos os aplicativos desconhecidos, permitindo bloquear facilmente os aplicativos que você não deseja e priorizar os que você 
faz.
Engenheiro de firewall XG - 30
Sua rede pode ser atacada por email. Os invasores enviarão e-mails aos usuários solicitando que eles cliquem em um link ou 
acessem um site comprometido. Isso é conhecido como phishing.
Normalmente, em um esquema de email de phishing, você recebe um email que parece vir de uma organização respeitável, como:
• Bancos
• Mídias sociais (Facebook, Twitter)
• Jogos online
• Serviços online com acesso às suas informações financeiras (iTunes, empréstimos para estudantes, serviços de contabilidade)
• Departamentos da sua própria organização (equipe de suporte técnico, administrador do sistema, suporte técnico)
Os golpes de email de phishing enviam o mesmo email para vários destinatários e às vezes incluem anexos que, se 
abertos, podem infectar seu dispositivo.
O spear phishing é direcionado ao phishing usandoemails falsos para convencer as pessoas de uma organização a revelar 
informações ou credenciais confidenciais. Diferentemente do phishing, que envolve envio em massa, o Spear phishing é em pequena 
escala e bem direcionado.
O invasor envia e-mails aos usuários em uma única organização. Os e-mails podem parecer provenientes de outro membro da equipe da 
mesma organização, solicitando que você confirme um nome de usuário e uma senha. Às vezes, os e-mails parecem vir de um 
departamento confiável que pode precisar de detalhes plausíveis, como TI ou recursos humanos. Os links nos e-mails serão 
redirecionados para uma versão falsa do
Ameaça à segurança - Ataques por email
Spear Phishing
• Ataque direcionado
• Small Scale
Phishing
• Mass Attack
Engenheiro de firewall XG - 32
site da empresa ou intranet para roubar credenciais.
Engenheiro de firewall XG - 32
Para se proteger contra ataques de email à sua rede, pode ser usado o Controle e Criptografia de Email. 
O mecanismo de verificação de email verificará todos os emails de entrada em busca de conteúdo malicioso. Você controla quais emails podem 
ser recebidos em sua rede;
• A Reputação de IP está ativada, permitindo que você determine se aceita, rejeita ou descarta e-mails enviados por 
remetentes de spam conhecidos
• A detecção de tipo de arquivo está configurada para verificar e bloquear tipos de arquivos específicos. Por exemplo, você pode bloquear 
ou colocar em quarentena qualquer documentação habilitada para macro de ser recebida por qualquer remetente
O mecanismo de verificação de e-mail também detecta URLs de phishing nos e-mails e bloqueia esses e-mails de acordo. Além de 
verificar e-mails de entrada e saída em busca de conteúdo malicioso, a proteção de e-mail permite criptografar e-mails para que você 
possa enviar dados confidenciais com segurança para fora da sua rede.
Ele usa criptografia SPX para criptografia unidirecional de mensagens e gerenciamento de senha SPX de auto-registro de destinatários. 
Essa criptografia é simples e segura e não requer certificados ou chaves. Ele também permite que os usuários adicionem anexos às 
respostas seguras do SPX para permitir que eles enviem documentação com segurança.
A proteção de email também usa um mecanismo de proteção contra perda de dados (DLP) que verifica automaticamente emails e anexos em 
busca de dados confidenciais. 
Criptografia e controle de email
Quarentena
Engenheiro de firewall XG - 33
Ameaça à segurança - pontos de acesso não autorizados
Ponto de acesso não autorizado
Computador portátil
Ponto de acesso 
da empresa
Computadores
Servidores
Um ponto de acesso não autorizado (AP) é qualquer ponto de acesso Wi-Fi conectado à sua rede sem autorização. Pode ser uma 
configuração usada por um invasor com o objetivo de capturar o tráfego da rede sem fio e pode ser usada para realizar um ataque de 
intermediário. Ele permite que qualquer pessoa com um dispositivo equipado com Wi-Fi se conecte à sua rede corporativa, deixando seus 
ativos de TI abertos para o hacker bisbilhoteiro ou criminoso casual.
Engenheiro de firewall XG - 35
Ponto de acesso não autorizado
Computador portátil
Ponto de 
Acesso Sophos
Computadores
Servidores
Proteção sem fio
Firewall XG
Ponto de acesso não autorizado 
Detectou!
O Sophos XG Firewall pode funcionar como um controlador de acesso sem fio para fornecer rede sem fio segura. A proteção sem fio também 
pode ser combinada com o gerenciamento RED para gerenciar centralmente o acesso sem fio em escritórios remotos. Os Pontos de Acesso 
Sophos fornecem implantação plug and play e podem transmitir vários SSIDs que podem separar com segurança o tráfego usando VLANs ou 
uma VPN de volta ao XG Firewall.
Para redes de convidados, a Proteção sem fio também permite configurar portais cativos de hotspot.
Os modelos XG Firewall que possuem adaptadores sem fio integrados fornecem varredura de pontos de acesso não autorizados para verificar 
pontos de acesso potencialmente indesejados na sua rede.
Engenheiro de firewall XG - 36
Ameaça à segurança - explorações 
Firewall
Atacante
XSS Violações de protocolo
Injeção SQL Ataques genéricos
Por sua própria natureza, os servidores da Web precisam estar acessíveis na Internet, mas isso os torna alvos para atacantes que 
podem estar tentando extrair dados ou instalar malware para comprometer outros usuários que visitam o site.
Os ataques podem assumir várias formas, incluindo ataques de script de site cruzado (XSS), usando violações e anomalias de 
protocolo, injeção de SQL ou outros ataques genéricos.
Engenheiro de firewall XG - 38
S
e
r
v
i
d
o
r
e
s
 
d
a
 
W
e
b
Proteção de servidor Web
Firewall
Atacante
XSS Violações de protocolo
Injeção SQL Ataques genéricos
• •
• •
O Sophos XG Firewall inclui a abrangente Proteção de servidor da Web, que é fornecida com modelos pré-configurados para facilitar 
ao máximo a proteção de servidores voltados para a Web comumente usados, como o Microsoft Exchange. 
O Web Server Protection atua como um proxy reverso, protegendo os servidores Web na rede interna ou DMZ do tráfego de entrada. O 
Web Server Protection usa um firewall de aplicativo da web para filtrar o tráfego, proteger formulários, assinar cookies e verificar se há 
malware.
O Web Server Protection também pode autenticar conexões de entrada com um nome de usuário e senha antes mesmo de 
chegarem ao servidor da web.
Engenheiro de firewall XG - 39
S
e
r
v
i
d
o
r
e
s
 
d
a
 
W
e
b
Os kits de exploração vêm com código de exploração pré-escrito e direcionam usuários que executam aplicativos de software inseguros e 
desatualizados.
No diagrama, o usuário visita um site que foi comprometido. Como resultado, o usuário é redirecionado (sem o 
conhecimento deles) para o Exploit Kit Server.
Os kits de exploração são projetados pelo invasor para executar pelo menos duas ações principais:
• Analise o sistema em busca de vulnerabilidades
• Explorar as vulnerabilidades para baixar o código malicioso das explorações no sistema Se a exploração for 
bem-sucedida, ele baixa e instala malware (como o Ransomware).
Os kits de exploração podem ser usados ​​on-line por atacantes com conhecimento técnico limitado. Aqueles que não são especialistas em TI 
ou segurança podem comprar o kit de exploração online. Às vezes, os kits de exploração vêm com uma interface amigável e suporte técnico.
Ameaça à segurança - kits de exploração
Computador
Servidor da Web 
comprometido
Exploit Kit Server
Verificar vulnerabilidades
Explorar vulnerabilidades
Baixe e instale malware
Visitas de usuário comprometidas 
Local
Reencaminhado para o Exploit Kit 
Servidor
Site vulnerável a 
compromisso
Internet
Engenheiro de firewall XG - 41
O Sophos Security Heartbeat impede que os ataques se espalhem pela sua rede. 
O Sophos Security Heartbeat se reporta ao Firewall XG em tempo real usando o Sophos Central. Se um dispositivo tiver 
atividade maliciosa, o Security Heartbeat envia o status do dispositivo para o XG Firewall, que isola automaticamente o 
dispositivo comprometido, limpa o dispositivo e o permite novamente online. Isso significa que sua rede não está comprometida, 
pois o ataque é interrompido no dispositivo.
Se olharmos para um exemplo, um dispositivo é gerenciado pelo Sophos Central.
Ele compartilha seu status de segurança atual com o Sophos XG Firewall usando o Security Heartbeat.
O dispositivo é comprometido quando um usuário é redirecionado para um site mal-intencionado. O componente antivírus 
Sophos na máquina detecta a atividade maliciosa. O status do dispositivo é retornado ao XG Firewall como em risco 
(vermelho).
O XG Firewall controla o acesso à rede para restringir e isolar o dispositivo infectado. Isso impede que o dispositivo se 
conecte a outros dispositivos da rede.
A ameaça é limpa no dispositivo. O dispositivo envia um status de pulsação atualizado de íntegro (verde) ao XG Firewall, o 
que permite queo dispositivo entre novamente na rede.
Batimento cardíaco de segurança
Firewall XG
Computador gerenciado por 
Sophos Central
Engenheiro de firewall XG - 42
tempestade de areia
Suspeito Ao controle Relatório
Determinar o comportamento
Tempestade de areia de Sophos
CERQUILHA
Firewall XG
O Sophos Sandstorm usa a tecnologia sandbox da próxima geração com aprendizado de máquina integrado, oferecendo à sua 
organização uma camada extra de segurança contra ransomware e ataques direcionados. Ele se integra ao seu XG Firewall e é entregue 
na nuvem, portanto não é necessário hardware adicional. É a melhor defesa contra os mais recentes malwares baseados em carga útil 
ocultos em ataques de phishing, spam e downloads de arquivos.
Vamos dar uma olhada em como o Sophos Sandstorm testa e identifica possíveis malwares.
O Sophos XG Firewall pré-filtra com precisão o tráfego usando todas as verificações de segurança convencionais, incluindo assinaturas 
anti-malware, URLs ruins conhecidas etc.…, para que apenas arquivos suspeitos anteriormente não vistos sejam enviados ao Sandstorm, 
garantindo latência mínima e impacto no usuário final.
Se o arquivo for executável ou tiver conteúdo executável, o arquivo será tratado como suspeito. O XG Firewall envia o hash 
do arquivo ao Sophos Sandstorm, para determinar se ele foi analisado anteriormente.
Se o arquivo foi analisado anteriormente, o Sophos Sandstorm passa a inteligência de ameaças ao XG Firewall. Aqui, o arquivo 
será entregue ao dispositivo do usuário ou bloqueado, dependendo das informações fornecidas pelo Sophos Sandstorm.
O XG Firewall mantém um cache local de hashes de arquivo e os resultados em um banco de dados local para evitar pesquisas desnecessárias.
Por fim, o XG Firewall usa a inteligência detalhada fornecida pela Sophos Sandstorm para criar relatórios profundos e forenses sobre 
cada incidente de ameaça.
Engenheiro de firewall XG - 44
tempestade de areia
Suspeito Ao controle Relatório
Determinar o comportamento
Tempestade de areia de Sophos
Firewall XG
Se o hash não tiver sido visto antes, uma cópia do arquivo suspeito será enviada ao Sophos Sandstorm. 
Aqui, o arquivo é executado e seu comportamento é monitorado. Uma vez totalmente analisado, o Sophos Sandstorm passa a 
inteligência de ameaças ao XG Firewall, que determinará se o arquivo é permitido ou bloqueado.
Como nas ameaças anteriores, um relatório é criado para o incidente da ameaça.
Engenheiro de firewall XG - 45
O Sophos XG Firewall pode ser implantado de quatro maneiras:
Como um dispositivo de hardware. Os dispositivos Sophos XG vêm pré-carregados e prontos para uso. Como 
software instalado no hardware compatível com Intel.
Como um dispositivo virtual em execução nos hipervisores mais comuns, incluindo VMware, Hyper-V, Xen e KVM.
E, finalmente, o XG Firewall pode ser implantado na nuvem no Azure.
Opções de implantação
Hardware
Sophos XG Devices
Programas
Hardware compatível com Intel
Virtual
Servidor 
Hyper-V 
VMWare Xen
KVM
Nuvem
Azure
Engenheiro de firewall XG - 46
O XG Firewall está disponível como uma máquina virtual pré-configurada no Azure Marketplace. Você pode usar os modelos do 
Azure Resource Manager para acelerar a implantação ou personalizar a configuração para atender às necessidades específicas do 
seu ambiente.
A Sophos oferece duas opções de preço para o XG Firewall no Azure. Você pode escolher entre PAYG (pay as you go) ou BYOL 
(traga sua própria licença). O PAYG permite que você pague apenas pelo que usar, para que você não precise adivinhar a 
capacidade. Não há compromisso mínimo e você pode parar a qualquer momento. O BYOL permite que você use seu investimento 
existente no XG Firewall. Ao comprar uma licença do XG Firewall de 1, 2 ou 3 anos, você pode usar essa licença em conjunto com o 
Azure.
A nuvem do Azure permite que você dimensione conforme necessário. Não há como adivinhar a capacidade e você pode usar os modelos de 
gerenciamento de Recursos do Azure para aumentar e diminuir com base na demanda dos usuários por aplicativos.
Com o modelo de responsabilidade compartilhada do Azure, o Azure protege a nuvem e você é responsável por proteger seus 
aplicativos e dados. O XG Firewall pode ajudá-lo com isso e, no Azure, você ainda recebe o XG Firewall completo, que é o mesmo 
produto que você pode executar no local.
Azure
• Implantar em minutos do Azure Marketplace
• Preços flexíveis - PAYG ou BYOL
• Escalável
• Modelo de responsabilidade compartilhada
• Firewall XG completo
Engenheiro de firewall XG - 47
Laboratório 1: Preparação
• Conclua as seguintes tarefas em Laboratório 1Conclua as seguintes tarefas em Laboratório 1
▪ Tarefa 1.1: Registre-se para uma avaliação do Sophos Central
Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. 
como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria
Não use seu endereço de email principal. Recomendamos o uso de um
conta de email temporária para criar esta avaliação
Conclua as seguintes tarefas em Laboratório 1Conclua as seguintes tarefas em Laboratório 1
• Tarefa 1.1: Registre-se para uma avaliação do Sophos Central
Não use seu endereço de email principal. Recomendamos o uso de uma conta de email temporária para criar esta 
avaliação.
Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório, para poder testar tudo o que estiver nos 
laboratórios, bem como a teoria
Engenheiro de firewall XG - 48
Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento 
para analisá-las.
Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo.
Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.
Revisão do módulo
• Na conclusão deste módulo, você deve agora ser capaz de:
✓ Identifique os recursos do XG Firewall e como proteger contra ameaças comuns✓ Identifique os recursos do XG Firewall e como proteger contra ameaças comuns
✓ Listar as opções de implantação disponíveis para o XG Firewall✓ Listar as opções de implantação disponíveis para o XG Firewall
Engenheiro de firewall XG - 49
Olá, este é o curso Sophos Certified Engineer para XG Firewall. Este é o Módulo 2: Introdução ao XG 
Firewall.
Engenheiro Certificado Sophos
XG Firewall ET80 - ET802 Introdução ao XG Firewall
Março de 2019 Versão: 17.5v1 
Versão do produto: 17.5
© 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de 
qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.
Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste 
documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários.
Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou 
representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a 
qualquer momento sem aviso prévio.
A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon 
Science Park, Abingdon, Oxfordshire, OX14 3YP.
Engenheiro Certificado Sophos
Firewall XG
Módulo 2: Introdução ao XG Firewall
Versão: 17.5
Engenheiro de firewall XG - 52
Introdução ao XG Firewall
Navegação e Gerenciamento
• Navegue pelo WebAdmin
• Gerenciar objetos
Acesso a dispositivos e certificados
• Gerenciar acesso ao dispositivo
• Gerenciar certificados
Rede básica
• Zonas
• Configurar rede básica
Implantação e instalação
• Modos de implantação
• Assistente de Configuração Inicial
Encaminhamento
• Opções de roteamento suportadas
• Configurar roteamento estáticoNeste módulo, abordaremos o que você precisa saber para começar a operar com um XG Firewall. Desde a configuração 
de um firewall XG usando o Assistente de configuração inicial, abordaremos a navegação e o gerenciamento do firewall XG 
usando o WebAdmin, até a configuração básica de rede e roteamento necessária para integrar o firewall XG à rede.
Engenheiro de firewall XG - 53
Implantação e instalação
Engenheiro de firewall XG - 55
I
m
p
l
a
n
t
a
ç
ã
o
 
e
 
i
n
s
t
a
l
a
ç
ã
o
O modo de ponte, também conhecido como modo transparente, coloca o Sophos XG Firewall em linha para que ele possa monitorar e 
verificar todo o tráfego e proteger a rede, fazendo isso passando o tráfego de forma transparente.
Observe que algumas funções não podem ser usadas no modo de ponte e requerem modo de gateway ou modo misto; isso 
inclui o uso do XG Firewall como um concentrador de VPN e o suporte a vários links WAN.
Modos de implantação
Modo Bridge / Transparente 
Monitoramento e varredura transparentes
Modo Gateway
Modo misto
Modo Descobrir
Firewall XG
192.168.0.250
Computador
Internet
Computador Firewall do 
computador
192.168.0.1
Rede: 192.168.0.0/24 Gateway Padrão: 
192.168.0.1
Engenheiro de firewall XG - 57
I
m
p
l
a
n
t
a
ç
ã
o
 
e
 
i
n
s
t
a
l
a
ç
ã
o
No modo de gateway, o Sophos XG Firewall fornece filtragem e varredura com base em zona e atua como ponto de entrada e 
saída para outras redes e sub-redes. Na maioria dos casos, o Sophos XG Firewall é o gateway padrão para os computadores nas 
redes internas que está protegendo.
Modos de implantação
Filtragem e varredura com base em zona
Modo Bridge / Transparente
Modo Gateway
Modo misto
Modo Descobrir
IP da LAN do firewall XG: 
192.168.0.1 IP da DMZ: 172.20.56.1 
IP da WAN: 31.222.172.174
Computador
Internet
Computador
Rede: 192.168.0.0/24 Gateway: 
192.168.0.1
ServidorServidor
Rede: 172.20.56.0/24
Gateway: 172.20.56.1
Zona LAN Zona DMZ
Engenheiro de firewall XG - 58
I
m
p
l
a
n
t
a
ç
ã
o
 
e
 
i
n
s
t
a
l
a
ç
ã
o
O modo misto é uma combinação de modo de ponte e modo de gateway em que duas ou mais interfaces são unidas de forma 
transparente, mas o Sophos XG Firewall ainda atua como o gateway usando portas que não fazem parte de uma ponte.
Neste diagrama, a LAN e a rede sem fio são conectadas em ponte para criar a porta de ponte br0.
Modos de implantação
Combinação de ponte e gateway
Modo Bridge / Transparente
Modo Gateway
Modo misto
Modo Descobrir
IP da LAN do firewall XG: 
192.168.0.1 IP da DMZ: 172.20.56.1 
IP da WAN: 31.222.172.174
Computador
Internet
Computador
Rede: 192.168.0.0/24 Gateway: 
192.168.0.1
Servidor
Rede: 172.20.56.0/24
Gateway: 172.20.56.1
Zona LAN
Zona DMZ
Dispositivo wireless
Ponto de 
acesso
Engenheiro de firewall XG - 59
b
r
0
I
m
p
l
a
n
t
a
ç
ã
o
 
e
 
i
n
s
t
a
l
a
ç
ã
o
O modo de implantação final é o modo de descoberta. Nesse modo, o Sophos XG Firewall obtém uma cópia de todo o 
tráfego de rede que está passando por um comutador na rede. Isso pode ser usado para criar um relatório detalhado para 
mostrar como o Sophos XG Firewall lidaria com o tráfego e é útil para demonstrar e avaliar o Sophos XG Firewall.
Para poder incluir nomes de usuários nos relatórios, o XG Firewall precisa ser integrado a um servidor de autenticação 
como o Active Directory.
Uma porta no XG Firewall pode ser atribuída como uma porta TAP após ser configurada no modo Gateway.
Neste curso, focaremos no modo de gateway, pois é o modo mais comum de implantação.
Modos de implantação
Monitoramento não invasivo do tráfego
Modo Bridge / Transparente
Modo Gateway
Modo misto
Modo Descobrir 
Firewall XG
Computador
Internet
Computador Computador
Firewall
Switch gerenciado
Engenheiro de firewall XG - 60
I
m
p
l
a
n
t
a
ç
ã
o
 
e
 
i
n
s
t
a
l
a
ç
ã
o
Antes de começarmos, precisamos entender como é que nos conectamos à interface WebAdmin dos firewalls XG para obter 
acesso ao dispositivo. Por padrão, o endereço IP dos dispositivos será 172.16.16.16 e o ​​WebAdmin em um firewall Sophos XG 
será executado na porta 4444. Portanto, para conectar-se à interface WebAdmin, você deverá conectar-se ao 
HTTPS://172.16.16.16:4444 em um novo dispositivo. Há também um portal do usuário que está disponível no XG que é executado 
na porta
443
Nota: Você receberá um erro de certificado ao se conectar ao XG Firewall, pois está usando um certificado autoassinado não Nota: Você receberá um erro de certificado ao se conectar ao XG Firewall, pois está usando um certificado autoassinado não 
confiável.
WebAdmin
Endereço IP padrão: 172.16.16.16 (/ 24) URL do Endereço IP padrão: 172.16.16.16 (/ 24) URL do Endereço IP padrão: 172.16.16.16 (/ 24) URL do Endereço IP padrão: 172.16.16.16 (/ 24) URL do 
WebAdmin: https: // DeviceIP: 4444WebAdmin: https: // DeviceIP: 4444
Engenheiro de firewall XG - 61
I
m
p
l
a
n
t
a
ç
ã
o
 
e
 
i
n
s
t
a
l
a
ç
ã
o
Console
• Console de linha de comando acessível através de:
o SSHo SSH
o Conexão do consoleo Conexão do console
Parâmetros de conexão serial
• Taxa de transmissão: 38.400
• Bits de dados: 8
• Bits de parada: 1
• Controle de paridade e fluxo: 0 ou nenhum
O Sophos XG Firewall também possui uma interface de linha de comando (CLI) acessível por SSH ou uma conexão de console. Você 
pode usar a CLI para alterar o endereço IP da porta de gerenciamento para estar no seu intervalo de IPs da LAN. Para efetuar login 
na CLI, use a senha do usuário administrador interno.
Estes são os parâmetros para serial / console ou conexão ao dispositivo via porta COM:
• Defina a taxa ou velocidade de transmissão como 38.400
• Bits de dados para 8
• Stop Bits para 1
• e o controle de paridade e fluxo deve ser Nenhum ou 0
Você pode selecionar quais zonas podem usar esses métodos de acesso nas configurações de 'Acesso ao dispositivo'.
Engenheiro de firewall XG - 62
I
m
p
l
a
n
t
a
ç
ã
o
 
e
 
i
n
s
t
a
l
a
ç
ã
o
Assistente de Configuração Inicial
• Configuração rápida e fácil pronta para uso
• Processo simplificado de registro
• Diferimento de registro
O assistente de configuração inicial permite uma instalação rápida e fácil. Além de um novo assistente amigável ao usuário, o novo 
processo também permite que o processo inicial de registro de licença seja ignorado durante a configuração inicial para simplificar o 
processo.
Engenheiro de firewall XG - 63
I
m
p
l
a
n
t
a
ç
ã
o
 
e
 
i
n
s
t
a
l
a
ç
ã
o
Demonstração: Assistente de Configuração Inicial
Engenheiro de firewall XG - 64
I
m
p
l
a
n
t
a
ç
ã
o
 
e
 
i
n
s
t
a
l
a
ç
ã
o
Conecte-se ao XG Firewall no seu navegador em https://172.16.16.16:4444Conecte-se ao XG Firewall no seu navegador em https://172.16.16.16:4444
Clique no link Clique para começarClique no link Clique para começar
Engenheiro de firewall XG - 66
O primeiro passo é definir uma nova senha de administrador. Como alternativa, você pode optar por restaurar um backup ou conectar o dispositivo a um par de 
HA ativo-passivo existente como dispositivo auxiliar. Digite a senha Sophos1985HA ativo-passivo existente como dispositivo auxiliar. Digite a senha Sophos1985
Engenheiro de firewall XG - 67
Repita a senha para confirmar
Engenheiro de firewall XG - 68
Você deve concordar com o Contrato de licença do usuário final da Sophos e com a seleção de licença de terceiros Eu concordo Você deve concordar com o Contrato de licença do usuário final da Sophos e com a seleção de licença de terceiros Eu concordo 
com o Contrato de Licença
Engenheiro de firewall XG - 69
Clique Continuar prosseguirClique Continuar prosseguirClique Continuar prosseguir
Engenheiro de firewall XG - 70
O XG Firewall testará sua conectividade com a Internet. Como você pode ver aqui, o XG Firewall não recebeu um endereço IP do DHCP, portanto, precisamos 
modificar a configuração da interface WAN e definir um endereço IP estático Clique em Configuraçãomanual para editar as configurações da interface WANmodificar a configuração da interface WAN e definir um endereço IP estático Clique em Configuração manual para editar as configurações da interface WANmodificar a configuração da interface WAN e definir um endereço IP estático Clique em Configuração manual para editar as configurações da interface WAN
Engenheiro de firewall XG - 71
Nesta tela, defina as configurações da interface WAN. Nós preenchemos 
esses campos para você. Clique Apliqueesses campos para você. Clique Aplique
Engenheiro de firewall XG - 72
Clique Está bemClique Está bem
Engenheiro de firewall XG - 73
O XG Firewall testará sua conectividade com a Internet novamente com as novas configurações. Como você pode ver aqui, todos os testes foram aprovados Clique em Continuar O XG Firewall testará sua conectividade com a Internet novamente com as novas configurações. Como você pode ver aqui, todos os testes foram aprovados Clique em Continuar 
prosseguir
Engenheiro de firewall XG - 74
Digite um nome de host para o firewall
Para dispositivos XG físicos, este será pré-preenchido com o número de série do dispositivo
Engenheiro de firewall XG - 75
Você também pode modificar as configurações de fuso horário nesta tela usando o menu suspenso ou selecionando um local no mapa Clique em Continuar prosseguirVocê também pode modificar as configurações de fuso horário nesta tela usando o menu suspenso ou selecionando um local no mapa Clique em Continuar prosseguirVocê também pode modificar as configurações de fuso horário nesta tela usando o menu suspenso ou selecionando um local no mapa Clique em Continuar prosseguir
Engenheiro de firewall XG - 76
Se você tiver um número de série, poderá inseri-lo nesta tela para registrar seu firewall, este será pré-preenchido em dispositivos físicos XG. Também 
existem opções que permitem migrar uma licença UTM existente ou adiar o registro por 30 dias, o que é útil se você estiver preparando um dispositivo antes 
de levá-lo ao local. Neste exemplo, iniciaremos um teste
Nota: se você adiar o registro, há vários recursos que você não poderá usar porque eles exigem um número Nota: se você adiar o registro, há vários recursos que você não poderá usar porque eles exigem um número 
de série; isso inclui segurança sincronizada e alta disponibilidade.
Engenheiro de firewall XG - 77
Clique Continuar prosseguirClique Continuar prosseguirClique Continuar prosseguir
Engenheiro de firewall XG - 78
Você precisa fazer login no seu Sophos ID para registrar o XG Firewall. Conecte-seVocê precisa fazer login no seu Sophos ID para registrar o XG Firewall. Conecte-se
Engenheiro de firewall XG - 79
Digite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar emDigite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar emDigite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar emDigite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar emDigite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar emDigite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar em
Engenheiro de firewall XG - 80
Clique eu não sou um robôClique eu não sou um robô
Engenheiro de firewall XG - 81
Clique Continuar prosseguirClique Continuar prosseguirClique Continuar prosseguir
Engenheiro de firewall XG - 82
Depois que o XG Firewall for registrado na Sophos, os detalhes da licença atualizada precisarão ser baixados pelo XG Firewall Clique em Iniciar Depois que o XG Firewall for registrado na Sophos, os detalhes da licença atualizada precisarão ser baixados pelo XG Firewall Clique em Iniciar 
sincronização de licença
Engenheiro de firewall XG - 83
Nesta tela, você pode revisar os detalhes da sua licença Clique em Continuar Nesta tela, você pode revisar os detalhes da sua licença Clique em Continuar 
prosseguir
Engenheiro de firewall XG - 84
Você pode definir as configurações da interface LAN no XG Firewall pela porta na lista suspensa. Você também pode ativar 
servidores DHCP ou configurar o modo Discover nesta página. Continuar prosseguirservidores DHCP ou configurar o modo Discover nesta página. Continuar prosseguirservidores DHCP ou configurar o modo Discover nesta página. Continuar prosseguir
Nota: você não pode habilitar um servidor DHCP se outro servidor DHCP for detectado na rede. O modo Discover é Nota: você não pode habilitar um servidor DHCP se outro servidor DHCP for detectado na rede. O modo Discover é 
abordado no curso Architect.
Engenheiro de firewall XG - 85
Para colocar você em funcionamento rapidamente, você pode ativar algumas configurações de proteção padrão. Todos podem ser modificados quando a instalação estiver 
concluída Clique em Proteger usuários de ameaças à rede habilitar uma política IPS na regra de firewall de saída padrão concluída Clique em Proteger usuários de ameaças à rede habilitar uma política IPS na regra de firewall de saída padrão concluída Clique em Proteger usuários de ameaças à rede habilitar uma política IPS na regra de firewall de saída padrão 
Engenheiro de firewall XG - 86
Clique Proteger os usuários contra sites suspeitos e maliciosos habilitar a verificação de malware na regra de firewall de saída padrãoClique Proteger os usuários contra sites suspeitos e maliciosos habilitar a verificação de malware na regra de firewall de saída padrãoClique Proteger os usuários contra sites suspeitos e maliciosos habilitar a verificação de malware na regra de firewall de saída padrão
Engenheiro de firewall XG - 87
Clique Verificar arquivos baixados da Web em busca de malware habilitar uma política da web na regra de firewall de saída padrãoClique Verificar arquivos baixados da Web em busca de malware habilitar uma política da web na regra de firewall de saída padrãoClique Verificar arquivos baixados da Web em busca de malware habilitar uma política da web na regra de firewall de saída padrão
Engenheiro de firewall XG - 88
Clique Enviar arquivos suspeitos para Sophos Sandstorm habilitar a verificação Sandstorm na regra de firewall de saída padrão Isso requer que Clique Enviar arquivos suspeitos para Sophos Sandstorm habilitar a verificação Sandstorm na regra de firewall de saída padrão Isso requer que Clique Enviar arquivos suspeitos para Sophos Sandstorm habilitar a verificação Sandstorm na regra de firewall de saída padrão Isso requer que 
'Proteger usuários de sites suspeitos e maliciosos' esteja ativado
Engenheiro de firewall XG - 89
Clique Continuar prosseguirClique Continuar prosseguirClique Continuar prosseguir
Engenheiro de firewall XG - 90
Digite o endereço de e-mail que você deseja receber notificações e backups de configuração automática
Engenheiro de firewall XG - 91
Digite o endereço de email para o qual você deseja enviar os emails de notificação e backup. Nesta tela, você também 
pode configurar um servidor de email para o envio das notificações.
Engenheiro de firewall XG - 92
Clique Continuar prosseguirClique Continuar prosseguirClique Continuar prosseguir
Engenheiro de firewall XG - 93
Você pode revisar um resumo de suas opções de configuração antes de serem aplicadas. Clique em Continuar para Você pode revisar um resumo de suas opções de configuração antes de serem aplicadas. Clique em Continuar para Você pode revisar um resumo de suas opções de configuração antes de serem aplicadas. Clique em Continuar para 
concluir o assistente
Engenheiro de firewall XG - 94
As configurações serão aplicadas e o XG Firewall reiniciado
Engenheiro de firewall XG - 95
Depois que o XG Firewall for reiniciado, você verá a tela de login
Engenheiro de firewall XG - 96
Depois que o XG Firewall for reiniciado, você verá a tela de login
Engenheiro de firewall XG - 97
Configuração de rede em um dispositivo de hardware
Selecione quais portas serão 
unidas para oLAN
Esta explicação foi feita em um XG Firewall virtual, a configuração de rede é um pouco diferente em um dispositivo de 
hardware.
Em um dispositivo de hardware, a porta 1 será padronizada para a WAN e todas as outras portas serão conectadas em ponte para formar a 
LAN. Você pode clicar nas portas para adicioná-las e removê-las da ponte da LAN.
Engenheiro de firewall XG - 98
I
m
p
l
a
n
t
a
ç
ã
o
 
e
 
i
n
s
t
a
l
a
ç
ã
o
Navegação e Gerenciamento
Engenheiro de firewall XG - 99
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
A interface do XG Firewall foi projetada para ser amigável e funcional. Muita reflexão e planejamento foram 
direcionados ao design e posicionamento de todos os menus e itens de tela que residem no console WebAdmin do XG. 
Quando entramos no WebAdmin, somos apresentados a uma visão do Centro de Controle. Nesta visão, temos uma 
visão geral interativa do firewall XG e devemos poder identificar rapidamente qualquer coisa que possa estar fora do 
comum.
Como podemos ver neste exemplo, existe uma exibição do sistema que mostra vários ícones de status rápidos para o XG 
relacionados a desempenho, serviços, interfaces e status da VPN, além de mostrar informações em tempo real sobre CPU, 
memória, largura de banda, e o número de sessões sendo manipuladas pelo dispositivo. É possível clicar em cada um desses itens 
para exibir um cartão com informações mais detalhadas sem precisar sair do Centro de Controle.
Em seguida, podemos ver a seção Traffic Insight, com informações relacionadas à navegação na web e controle de aplicativos. Uma 
rápida olhada dará ao administrador uma visão geral do que os usuários da rede estão navegando.
Nas Informações do usuário e do dispositivo, informações relacionadas à pulsação de segurança, controle sincronizado de aplicativos, 
tempestade de areia, proteção avançada contra ameaças e quociente de ameaça ao usuário. A linha inferior do Centro de Controle contém a 
seção Regras do Firewall Ativo, que fornece uma visão geral de quais tipos de regras estão transmitindo tráfego, além de um gráfico mostrando a 
quantidade de dados que estão sendo processados ​​por essas regras. Ele também fornece algumas informações abaixo do gráfico relacionadas a 
regras não usadas, desativadas, alteradas ou recém-criadas nas últimas 24 horas.
A seção Relatórios possui vários relatórios acessados ​​com frequência que podem ser abertos clicando no nome do 
relatório ou baixados clicando na seta à direita de cada relatório. Mostra quando o relatório foi atualizado pela última vez e 
o tamanho do arquivo.
WebAdmin - Centro de Controle
Engenheiro de firewall XG - 100
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
E finalmente chegamos à seção de mensagens que contém alertas ou informações que devem ser úteis para um 
administrador. Como pode ser visto no exemplo, itens como avisos de segurança ou novas mensagens de 
disponibilidade de firmware serão exibidos e clicáveis ​​para ajudar o administrador a garantir que o XG esteja 
operando da melhor maneira possível.
Engenheiro de firewall XG - 100
Além de ter vários itens que podem ser clicados no centro de controle, o principal método de navegação na interface 
WebAdmin do firewall XG é o menu principal no lado esquerdo da tela. Aqui encontramos vários links que nos 
permitem navegar muito rapidamente entre os diferentes módulos do XG Firewall. Um rápido resumo dos principais 
tópicos inclui:
A seção MONITOR & ANALYZE, que abriga o link para obter informações e descobertas relacionadas aos usuários e ao dispositivo. 
Podemos monitorar o comportamento do usuário e os recursos do sistema nessa área.
O grupo PROTECT inclui links que permitem configurar muitas das políticas e módulos que serão usados ​​para proteger a rede. 
Desde políticas básicas de firewall até proteção avançada contra ameaças e filtragem de aplicativos e da Web, todos os 
módulos de proteção podem ser encontrados nele.
Na seção CONFIGURAR, encontramos vários links para serviços fornecidos pelo XG relacionados à rede, 
autenticação e conectividade. VPNs e roteamento são encontrados aqui, bem como opções de autenticação e log de 
serviço de diretório.
O grupo final, a seção SYSTEM, contém várias definições e opções de sistema operacional. Coisas como definições de 
programação e cotas de tráfego, bem como definições de host e rede, podem ser encontradas dentro, mas também a Autoridade de 
Certificação XGs e o banco de dados são acessíveis a partir desse grupo. Para completar, opções administrativas importantes, 
como licença e opções para fazer backup da configuração e atualizar o firmware, também são encontradas aqui.
WebAdmin - Menu Principal
Informações sobre o 
XG e segurança
Configuração de 
características
Configuração de 
sistema e 
rede
Administração de 
dispositivos e configurações 
globais
Engenheiro de firewall XG - 101
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Depois de selecionar um tópico na área do menu principal, como a Web, encontrada em PROTEGER, 
você pode achar que existem itens de menu adicionais na forma de um layout com guias na parte superior da tela. Esses links de 
navegação com guias podem ser usados ​​para alternar entre as diferentes seções do tópico principal selecionado.
WebAdmin - Navegação com guias
Engenheiro de firewall XG - 102
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Encontradas nas telas Relatórios e VPN, há opções adicionais Mostrar configurações de VPN ou Mostrar configurações de relatórios que permitem 
ao administrador acessar algumas opções usadas com menos frequência relacionadas à configuração de relatórios ou VPN. Como pode ser visto 
aqui, quando a opção de menu no canto superior direito é clicada, a tela alterna para as opções adicionais e essa tela de configurações especiais 
pode ser identificada pela barra de título amarela na parte superior da página.
WebAdmin - Configurações avançadas
Engenheiro de firewall XG - 103
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Encontrado em qualquer tela do WebAdmin para o firewall XG, existe um link de ajuda que pode ser clicado para abrir o arquivo de ajuda 
sensível ao contexto em uma janela separada. Esta versão online da ajuda do XG é totalmente interativa e pode ser navegada 
selecionando os vários itens de menu no menu do lado esquerdo. Também pode ser pesquisado por palavras-chave e, quando um 
resultado de pesquisa é selecionado, ele carrega a seção apropriada no arquivo de ajuda.
http://docs.sophos.com/nsg/sophos-firewall/17.5/Help/en-us/webhelp/onlinehelp/index.html
WebAdmin - Ajuda
Engenheiro de firewall XG - 104
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Encontrado ao lado do item do menu de ajuda está o menu de administrador. Este menu contém uma lista de opções muito úteis, 
incluindo um link para o site de suporte técnico da Sophos, janelas de console para inserir comandos da CLI no firewall XG, opções 
para reinicializar, desligar, bloquear ou sair do firewall XG. Há também um link para a página Administração na forma de uma opção de 
menu Sobre o produto.
WebAdmin - menu suspenso Admin
Engenheiro de firewall XG - 105
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Guias de instruções
A parte superior de todas as telas fornece acesso com um clique à Biblioteca de Instruções do XG Firewall, com vídeos e guias sobre 
como executar tarefas comuns no XG Firewall.
Engenheiro de firewall XG - 106
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
O Sophos XG Firewall é um sistema orientado a objetos que permite aos administradores criar objetos reutilizáveis ​​que podem 
representar hosts, serviços, redes ou até países inteiros. Esses objetos podem ser usados ​​em várias regras em todo o XG 
Firewall e fornecem uma visão visual das várias regras e políticas criadas. Esses mesmos objetos também facilitam a 
implementação de alteraçõesna configuração da rede. Se um objeto for modificado, todas as regras que usam esse objeto 
também serão atualizadas com a nova configuração.
Os objetos são criados nos hosts e serviços, encontrados no cabeçalho SYSTEM. Muitos administradores passam pelo 
processo de criação de vários objetos ao configurar o firewall do Sophos XG. Muitas vezes, existem vários hosts e serviços 
que eles sabem que precisarão criar regras, bem como redes como VLANs que não estão diretamente conectadas ao 
dispositivo. Se esses itens forem conhecidos antecipadamente, eles poderão ser criados antes da adição de quaisquer 
regras ou políticas, economizando tempo e confusão. Vamos dar uma olhada nos vários tipos de objetos e suas opções.
Objetos
• Pode definir:
o Hosts por endereço IPo Hosts por endereço IP
o Anfitriões por FQDNo Anfitriões por FQDN
o Hosts por endereço MACo Hosts por endereço MAC
o Países por faixas de endereços IPo Países por faixas de endereços IP
o Serviços por vários identificadoreso Serviços por vários identificadores
Engenheiro de firewall XG - 107
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Em Hosts and Services, existem várias opções para criar diferentes tipos de objetos, cada um dos quais pode ser 
encontrado nas guias na barra de menus superior do grupo de menus Hosts and Services.
Tipos de Objetos
Engenheiro de firewall XG - 108
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Hosts IP são objetos que podem representar um único host de rede, um grupo de hosts ou uma rede inteira. 
Eles são criados na seção Host IP.
Ao clicar no botão Adicionar no canto superior direito da tela. Na próxima tela, atribua um nome ao novo objeto, selecione 
se é um objeto IPv4 ou IPv6 e o ​​tipo de objeto de rede que será. Um objeto IP é para um único endereço, um objeto Rede 
nos permite usar uma máscara de sub-rede para definir o intervalo de rede, a opção Intervalo de IP permite a entrada de 
um endereço IP inicial e final e a Lista de IP permite a entrada individual Endereços IP separados por vírgulas.
Ao criar qualquer um dos tipos de objetos que não sejam uma Lista de IPs, também existe a opção de adicioná-lo a um Grupo de hosts 
IP. Essa é uma maneira conveniente de agrupar vários objetos IP para facilitar a criação de regras e políticas.
Objetos de host IP
Engenheiro de firewall XG - 109
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Um host FQDN nos permite criar objetos de nome de domínio totalmente qualificados que podem ser agrupados em um grupo de 
hosts FQDN. Semelhante aos hosts IP, clique no botão Adicionar na guia Host FQDN e preencha as informações necessárias.
Dê ao objeto um nome que o ajude a identificá-lo ao ser adicionado a uma política.
Digite o Nome de domínio totalmente qualificado para o objeto e, opcionalmente, adicione o host FQDN a um ou mais grupos para que ele 
possa ser usado mais facilmente em políticas grandes.
Nota: Os objetos de host Nome de domínio totalmente qualificado (FQDN) também oferecem suporte a caracteres curinga com um prefixo *.Nota: Os objetos de host Nome de domínio totalmente qualificado (FQDN) também oferecem suporte a caracteres curinga com um prefixo *.
Objetos de host FQDN
Nome do objeto
O nome de domínio totalmente qualificado
Suporta domínios curinga
Por exemplo, * .sophos.com
Um ou mais grupos para adicionar o 
FQDN para
Engenheiro de firewall XG - 110
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Um grupo de países é uma lista de intervalos de IP categorizados pelo que é atribuído a países específicos por um grupo 
conhecido como ICANN. Essas listas são mantidas pela Sophos e vários grupos maiores predefinidos estão prontos e 
aguardando o uso no XG Firewall. Obviamente, um administrador pode criar seus próprios grupos personalizados ou 
modificar os supergrupos existentes que acompanham o dispositivo.
Para criar um grupo, clique no botão Adicionar no canto superior direito da tela ou para modificar um grupo existente, clique 
no ícone de lápis à direita do nome do grupo ou no nome do próprio grupo.
Objetos de grupo de países
Engenheiro de firewall XG - 111
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Ao adicionar um grupo de países, primeiro devemos atribuir um nome significativo ao grupo para que possamos identificá-lo em nossas 
políticas e, opcionalmente, uma descrição para ajudar outras pessoas com a finalidade do grupo.
Em seguida, usando a lista suspensa Selecionar país, selecione um ou mais países que você gostaria de incluir no grupo. 
Certifique-se de salvar suas escolhas depois de terminar.
Objetos de grupo de países
Nome e descrição para 
identificar o grupo
Selecione um ou mais 
países
Engenheiro de firewall XG - 112
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Existem muitos objetos de serviço pré-criados no XG Firewall para protocolos comuns, como DHCP, HTTPS, SMTP e 
muitos outros. Obviamente, não podemos incluir todas as definições de serviço para todos os aplicativos existentes, para 
que os administradores possam criar suas próprias definições.
Os serviços são criados clicando no botão Adicionar no canto superior direito ou os objetos de serviço que foram criados por um administrador 
podem ser editados clicando no nome ou no ícone de lápis, no entanto, os serviços preexistentes fornecidos com o dispositivo não podem ser 
modificados. Os objetos criados pelo usuário aparecerão acima de qualquer objeto de serviço preexistente.
Serviços
Engenheiro de firewall XG - 113
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Ao criar um novo objeto de serviço, começamos atribuindo um nome ao objeto que ajudará a identificar qual 
serviço o objeto representa. 
Em seguida, selecionamos que tipo de objeto de serviço criar. Pode ser um objeto TCP / UDP básico em que definimos portas 
de origem e destino para o objeto ou um serviço IP, onde temos a opção de selecionar serviços predefinidos em uma lista 
suspensa.
Também podemos selecionar vários tipos de mensagens ICMP para criar definições de objetos.
Serviços
Engenheiro de firewall XG - 114
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Assim como outros objetos, os serviços também podem ser agrupados para facilitar o gerenciamento ao criar regras e 
políticas no firewall XG. Como com outros grupos, a criação de um grupo de serviços é simples. Depois de selecionar 
Adicionar um novo grupo, digite um nome e uma descrição para o grupo para ajudar a identificar a finalidade dos 
serviços, selecione os objetos de serviço na lista de serviços disponíveis e salve o grupo quando terminar.
Grupos de Serviço
Nome e descrição 
do objeto
Serviços selecionados de 
lista de objetos
Engenheiro de firewall XG - 115
N
a
v
e
g
a
ç
ã
o
 
e
 
G
e
r
e
n
c
i
a
m
e
n
t
o
Rede básica
Engenheiro de firewall XG - 116
N
e
t
o
w
r
k
i
n
g
 
b
á
s
i
c
o
Agora vamos analisar as zonas. A primeira pergunta que queremos fazer é o que é uma zona de rede?
Existem várias maneiras de definir uma zona de rede, alguns dizem que é uma área de administração para a qual você 
pode exercer controle. Outra definição é um grupo lógico ou físico de redes e hosts em um ambiente.
Para o firewall XG, uma zona é uma área da qual o tráfego se origina ou se destina a, em outras palavras, são as 
portas físicas ou as interfaces virtuais pelas quais o tráfego entra e sai do firewall.
Zona de 
servidores 
hospedados
Zona WAN
Zona LAN
O que é uma zona?
Lan 2 
Lan 1
Firewall XG
Internet
DMZ
Engenheiro de firewall XG - 117
R
e
d
e
 
b
á
s
i
c
a
Zonas de rede
Zonas do sistema
Zona personalizada
O XG também é um firewall baseado em zona. Isso significa que as interfaces podem ser atribuídas a zonas no firewall e, em 
seguida, a segurança e as políticas podem ser gerenciadas controlando o tráfego que se move entre as zonas, em vez de entrar 
ou sair de uma interface específica. Isso permite um controlemais flexível sobre o tráfego, reduzindo a sobrecarga 
administrativa para configuração. Há várias zonas predefinidas criadas na instalação. Esses incluem:
• Zona LAN - Essa é a zona mais segura por padrão
• Zona WAN - Essa zona é usada para interfaces externas que fornecem acesso à Internet
• Zona DMZ - Esta zona foi criada com a ideia de hospedar servidores publicamente acessíveis
• Zona VPN - Essa é a única zona que não possui uma porta ou interface física atribuída a ela. Quando uma VPN é 
estabelecida, a porta ou interface usada pela conexão é adicionada dinamicamente à zona e removida quando 
desconectada
• Zona WiFi - Essa zona existe para fornecer segurança aos serviços de internet sem fio
Um administrador também pode criar zonas adicionais para personalizar ainda mais o fluxo e a segurança do tráfego. 
Engenheiro de firewall XG - 118
R
e
d
e
 
b
á
s
i
c
a
Atividade
Combine a zona com sua descrição
Essa zona existe para fornecer segurança aos serviços 
de internet sem fio
Esta é a zona mais segura por padrão
Essa zona é usada para interfaces externas que fornecem 
acesso à Internet
WAN
Essa zona foi criada com a idéia de hospedar 
servidores publicamente acessíveis. Essa é a única 
zona que não possui uma porta ou interface física 
atribuída a ela.
Wi-fi
VPN
DMZ 
LAN
Engenheiro de firewall XG - 119
R
e
d
e
 
b
á
s
i
c
a
Junio Souza
Seta
Junio Souza
Seta
Junio Souza
Seta
Junio Souza
Seta
Junio Souza
Seta
Ao criar uma zona para uso com interfaces, há várias opções que podem ajudar a proteger ou abrir a zona para tráfego 
específico. Como na maioria dos itens, começamos atribuindo um nome à nova zona e, opcionalmente, uma descrição.
Em seguida, atribuímos a zona a um tipo. Os tipos de zonas podem ser LAN ou DMZ e seguem as regras das zonas do tipo LAN e 
DMZ pré-configuradas.
Se desejar o acesso administrativo ao firewall XG nessa nova zona, selecione os protocolos que serão permitidos 
no XG para administração.
O mesmo vale para autenticação. Se você deseja autenticar usuários provenientes da nova zona, selecione o 
tipo de autenticação que estará disponível na zona.
A seção de serviços de rede permite que você decida se o XG responderá a solicitações de DNS ou a solicitações de ping de 
clientes na nova zona.
E, finalmente, na outra categoria de serviços, marque a caixa ao lado de qualquer serviço que você gostaria de permitir que 
passasse por essa zona.
Criando uma zona
Tipo de Zona
Serviços de administração ativados
Serviços de autenticação 
permitido a partir da zona
Serviços de rede 
XG responderá
Outros serviços permitidos 
através da zona
Engenheiro de firewall XG - 121
R
e
d
e
 
b
á
s
i
c
a
O XG Firewall suporta vários tipos de interface diferentes, além das interfaces físicas integradas. Isso inclui 
interfaces Bridge, VLAN, Alias, LAG e RED.
Uma interface de ponte permite a fusão de duas ou mais interfaces em uma ponte de camada 2 ou 3 transparente para permitir 
a comunicação perfeita entre interfaces. Uma interface VLAN permite ao administrador criar uma interface LAN virtual em uma 
das interfaces XG existentes e é usada quando o dispositivo XG é necessário para executar roteamento ou marcação entre 
VLANs '
Um alias permite adicionar endereços IP adicionais a uma interface existente. Um LAG é um grupo de interfaces que atua 
como uma única conexão que pode fornecer redundância e aumentar a velocidade entre dois dispositivos.
E a interface RED é usada para configurar e conectar dispositivos de hardware RED de volta ao firewall XG.
Tipos de interface
Ponte - Configurar comunicação de sub-rede transparente VLAN - Criar uma 
LAN virtual que seja um domínio de broadcast Alias ​​- Permite vincular vários 
endereços IP a uma única interface física
O LAG - Link Aggregation Group permite que várias conexões de rede sejam combinadas em 
uma única conexão. Também é conhecido como entroncamento, formação de equipes da NIC, 
ligação da NIC ou canal Ether
RED - O dispositivo Ethernet remoto (RED) é usado para conectar 
filiais remotas à sua matriz como se a filial fizesse parte da sua rede 
local
Engenheiro de firewall XG - 122
R
e
d
e
 
b
á
s
i
c
a
Interfaces ou portas são adicionadas às zonas de CONFIGURAR> Rede> Interfaces. Ao criar ou editar uma porta ou Interfaces ou portas são adicionadas às zonas de CONFIGURAR> Rede> Interfaces. Ao criar ou editar uma porta ou Interfaces ou portas são adicionadas às zonas de CONFIGURAR> Rede> Interfaces. Ao criar ou editar uma porta ou 
interface, na lista suspensa da Zona de Rede, basta selecionar a zona que deseja usar. Você pode usar suas novas zonas 
nas regras ou políticas de firewall.
Adicionando uma interface a uma região
Engenheiro de firewall XG - 123
R
e
d
e
 
b
á
s
i
c
a
O WAN Link Manager permite que os administradores modifiquem quaisquer gateways existentes no firewall XG, bem como 
configurem políticas de failover se houver mais de um gateway configurado no dispositivo. No WAN Link Manager, você poderá 
ver uma lista de quaisquer interfaces de gateway IPv4 ou IPv6 configuradas. Essas interfaces são adicionadas automaticamente 
ao WAN Link Manager quando uma interface é criada no firewall na zona WAN.
Ao clicar no nome do gateway, os detalhes do gateway serão mostrados. A partir daqui, o endereço IP do gateway pode ser 
modificado e o gateway pode ser definido como um gateway de backup em vez de um gateway ativo. O peso pode ser definido para 
a rota e a política NAT padrão também pode ser alterada aqui.
Gerenciador de links WAN
• CONFIGURAR> Rede> WAN Link Manager
Engenheiro de firewall XG - 124
R
e
d
e
 
b
á
s
i
c
a
Gerenciador de links WAN
Na configuração do WAN Gateway Manager para gateways de backup, 
As regras de failover ajudarão a definir quando mover uma conexão para outro gateway.
Você pode selecionar a ação que será executada quando o gateway ativo for restaurado e o XG Firewall voltar a usá-lo. 
Você pode escolher entre atender novas conexões através do gateway restaurado, esta é a opção padrão ou atender 
todas as conexões através do gateway restaurado, o que causará interrupções nas conexões de rede estabelecidas.
Engenheiro de firewall XG - 125
R
e
d
e
 
b
á
s
i
c
a
Na configuração do DNS, os servidores DNS usados ​​pelo firewall para resolução de nomes podem ser configurados. Esses mesmos 
servidores também são usados ​​pelos clientes quando eles executam uma consulta recursiva no XG Firewall.
Para servidores DNS IPv4, eles podem ser obtidos no DHCP ou PPPoE se existir uma conexão WAN do tipo 
correspondente. Caso contrário, eles deverão ser inseridos manualmente no sistema. Até três IPs de servidor DNS podem 
ser inseridos.
O IPv6 possui configurações semelhantes às do IPv4. A única diferença é a falta de suporte para conexões PPPoE. Com o 
IPv6, os endereços do servidor DNS podem ser obtidos através do DHCP ou inseridos manualmente.
Por fim, você pode definir qual tipo de servidor consultar primeiro, IPv4 ou IPv6. Há também um botão para levá-lo a uma página de teste 
para resolução de nomes.
DNS
Obtenha servidores DNS IPv4 de:
Conexão DHCP da WAN
Conexão PPPoE
Entradas estáticas
Obtenha servidores DNS IPv6 de:
Conexão DHCP da WAN
Entradas estáticas
Quais servidores DNS devem consultar primeiro
Engenheiro de firewall XG - 126
R
e
d
e
 
b
á
s
i
c
a
Uma rota de solicitação de DNS pode ser usada para enviar solicitações de pesquisa de nomes de domínio específicas a servidores específicos 
para resolução de nomes. Isso pode ser muito útil se você desejar usar servidores externos para resolução pública de nomes da Internet, mas 
ainda conseguir resolver nomes de recursos internos do domínio.
Para começar, na seção Rota de Solicitação de DNS, clique no botão Adicionar.
Nas configurações da nova rota de solicitação, digite o nome de domínio para o qual você deseja redirecionar a resolução DNS e 
selecione os servidores de destino que serão usados ​​para resolver