Baixe o app para aproveitar ainda mais
Prévia do material em texto
Olá, este é o curso Sophos Certified Engineer para XG Firewall. Este é o Módulo 1: Visão geral do XG Firewall. Engenheiro Certificado Sophos XG Firewall ET80 - Visão geral do ET801 XG Firewall Março de 2019 Versão: 17.5v1 Versão do produto: 17.5 © 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos. Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários. Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a qualquer momento sem aviso prévio. A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP. Engenheiro Certificado Sophos Firewall XG Módulo 1: Visão geral do firewall XG Versão 17.5 Engenheiro de firewall XG - 1 Este curso foi desenvolvido para profissionais técnicos que demonstrarão o Sophos XG Firewall e fornece uma visão geral do produto, incluindo uma introdução aos principais recursos e conceitos principais de configuração. Este curso levará cerca de 3 dias para ser concluído e inclui aproximadamente 9 horas de laboratórios práticos. Sobre este curso Este curso foi desenvolvido para profissionais técnicos que demonstrarão o Sophos XG Firewall e fornece uma visão geral do produto, incluindo uma introdução aos principais recursos e conceitos principais de configuração. • Este curso levará cerca de 3 dias completarEste curso levará cerca de 3 dias completarEste curso levará cerca de 3 dias completar • Aproximadamente 9 horas deste curso consiste em laboratórios práticosAproximadamente 9 horas deste curso consiste em laboratórios práticosAproximadamente 9 horas deste curso consiste em laboratórios práticos Duração do curso Engenheiro de firewall XG - 3 Recomendamos que você tenha o seguinte conhecimento e experiência: ✓ Conhecimento prático de redes, incluindo sub-redes, roteamento, VLANs e VPNs✓ Conhecimento prático de redes, incluindo sub-redes, roteamento, VLANs e VPNs ✓ Experiência na configuração de dispositivos de segurança de rede✓ Experiência na configuração de dispositivos de segurança de rede ✓ Conhecimento de algoritmos e certificados fundamentais de criptografia e hash✓ Conhecimento de algoritmos e certificados fundamentais de criptografia e hash Pré-requisitos Recomendamos que os alunos tenham o seguinte conhecimento e experiência: ✓ Conhecimento prático de redes, incluindo sub-redes, roteamento, VLANs e VPNs✓ Conhecimento prático de redes, incluindo sub-redes, roteamento, VLANs e VPNs ✓ Experiência na configuração de dispositivos de segurança de rede✓ Experiência na configuração de dispositivos de segurança de rede ✓ Conhecimento de algoritmos e certificados fundamentais de criptografia e hash✓ Conhecimento de algoritmos e certificados fundamentais de criptografia e hash Engenheiro de firewall XG - 4 Certificação Para concluir o curso certificado Sophos Central Engineer: Complete e passe o avaliação no portal de treinamentoavaliação no portal de treinamento Você tem 2,5 horas completar Você tem 2,5 horas completar Você tem 2,5 horas completar a avaliação Você tem 4 tentativas para Você tem 4 tentativas para Você tem 4 tentativas para passar na avaliação A avaliação pode incluir perguntas sobre o teoria ou laboratórioso teoria ou laboratórioso teoria ou laboratórioso teoria ou laboratórios Para concluir o curso certificado Sophos Central Engineer, você deve concluir e passar na avaliação on-line disponível no portal de treinamento. Voce terá 2,5 horas para concluir a avaliação e pode levar quatro tentativas para disponível no portal de treinamento. Voce terá 2,5 horas para concluir a avaliação e pode levar quatro tentativas para disponível no portal de treinamento. Voce terá 2,5 horas para concluir a avaliação e pode levar quatro tentativas para disponível no portal de treinamento. Voce terá 2,5 horas para concluir a avaliação e pode levar quatro tentativas para disponível no portal de treinamento. Voce terá 2,5 horas para concluir a avaliação e pode levar quatro tentativas para passar na avaliação. A avaliação pode incluir perguntas sobre ambos teoria e laboratório conteúdo.passar na avaliação. A avaliação pode incluir perguntas sobre ambos teoria e laboratório conteúdo.passar na avaliação. A avaliação pode incluir perguntas sobre ambos teoria e laboratório conteúdo.passar na avaliação. A avaliação pode incluir perguntas sobre ambos teoria e laboratório conteúdo.passar na avaliação. A avaliação pode incluir perguntas sobre ambos teoria e laboratório conteúdo. Você deve concluir e passar na avaliação on-line se desejar se registrar para o Arquiteto de firewall XG curso.Você deve concluir e passar na avaliação on-line se desejar se registrar para o Arquiteto de firewall XG curso.Você deve concluir e passar na avaliação on-line se desejar se registrar para o Arquiteto de firewall XG curso. Engenheiro de firewall XG - 5 Este curso é dividido em 11 módulos, com laboratórios práticos intercalados ao longo do curso para permitir a aplicação do conteúdo discutido nos módulos anteriores. Agenda do Curso Visão geral do firewall XG Introdução ao XG Firewall Proteção de rede Conexões site a site Autenticação Proteção da Web e Controle de Aplicativos Proteção de Email Proteção sem fio Acesso remoto Registro, relatórios e solução de problemas Gestão. Dimensionamento e avaliação 1 2 3 4 5 6 7 8 9 10 11 Engenheiro de firewall XG - 6 7 Objetivos do Curso • Depois de concluir este curso, você será capaz de: ✓ Explique como o XG Firewall ajuda a proteger contra ameaças à segurança✓ Explique como o XG Firewall ajuda a proteger contra ameaças à segurança ✓ Configurar regras de firewall, políticas e autenticação de usuário✓ Configurar regras de firewall, políticas e autenticação de usuário ✓ Demonstrar proteção contra ameaças e recursos comumente usados✓ Demonstrar proteção contra ameaças e recursos comumente usados ✓ Execute a configuração inicial de um XG Firewall e defina as configurações de rede necessárias✓ Execute a configuração inicial de um XG Firewall e defina as configurações de rede necessárias ✓ Executar dimensionamento preliminar para um firewall XG✓ Executar dimensionamento preliminar para um firewall XG Depois de concluir este curso, você será capaz de: ✓ Explique como o XG Firewall ajuda a proteger contra ameaças à segurança✓ Explique como o XG Firewall ajuda a proteger contra ameaças à segurança ✓ Configurar regras de firewall, políticas e autenticação de usuário✓ Configurar regras de firewall, políticas e autenticação de usuário ✓ Demonstrar proteção contra ameaças e recursos comumente usados✓ Demonstrar proteção contra ameaças e recursos comumente usados ✓ Execute a configuração inicial de um XG Firewall e defina as configurações de rede necessárias✓ Execute a configuração inicial de um XG Firewall e defina as configurações de rede necessárias ✓ Executar dimensionamento preliminar para um firewall XG✓ Executar dimensionamento preliminar para um firewall XG Engenheiro de firewall XG - 7 informação adicional Informações adicionais nas notas Quando você vê isso no canto inferior direito canto, você pode encontrar informações adicionais nas notas do aluno folheto Quando você vê isso no slide, pode encontrar informações adicionais nas notas do folheto do aluno. Engenheiro de firewall XG - 8 Glossário de termos técnicos Um glossário de termos técnicos usados ao longo do curso pode ser encontrado no artigo da base de conhecimento 118500artigoda base de conhecimento 118500 https://community.sophos.com/kb/118500 Um glossário de termos técnicos usados ao longo do curso pode ser encontrado no artigo 118500 da base de conhecimento. Engenheiro de firewall XG - 9 Ambiente de laboratório Ao longo deste curso, existem laboratórios práticos a serem concluídos. Este curso inclui acesso a um ambiente virtual hospedado como o mostrado aqui, que simula dois sites com várias sub-redes. Engenheiro de firewall XG - 10 Ambiente de laboratório O Manual do Laboratório deve ser baixado do conteúdo da lição, Introdução ao Curso módulo no portal de treinamento Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em o portal de treinamento para acessar o ambiente de laboratório no CloudShare Você tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessaVocê tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessaVocê tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessa A pasta de trabalho do laboratório deve ser baixada do conteúdo da lição do módulo Introdução ao Curso no portal de treinamento. Quando chegar a hora de iniciar os laboratórios, use o link Ambiente do laboratório de lançamento no conteúdo da lição do módulo Introdução ao curso no portal de treinamento para acessar o ambiente de laboratório no CloudShare. Você tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessa.Você tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessa.Você tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessa. Engenheiro de firewall XG - 11 Os comentários sobre nossos cursos são sempre bem-vindos - envie um email para globaltraining@sophos.com com seus comentários. O feedback é sempre bem-vindo. Envie um email para globaltraining@sophos.com TREINAMENTO COMENTÁRIOSTREINAMENTO COMENTÁRIOS Engenheiro de firewall XG - 12 Visão geral do firewall XG Proteção de rede Proteção de servidor Web Controle de Aplicação Segurança sincronizada Proteção de Email Proteção sem fio Sandstorm Proteção da Web O Sophos XG Firewall é um dispositivo abrangente de segurança de rede, com um firewall baseado em zona e políticas baseadas em identidade em seu núcleo. O XG Firewall não protege apenas redes com fio, mas como um controlador sem fio para pontos de acesso Sophos, pode fornecer funcionalidade de rede sem fio segura. Além de seus recursos antimalware, o XG Firewall fornece filtragem e controle de conteúdo em várias funções, incluindo filtragem da Web, controle de aplicativos e proteção de email. Quando emparelhado com o Sophos Central, o XG Firewall pode se comunicar com o software de segurança de terminais da Sophos para aprimorar o reconhecimento da rede e aplicar políticas baseadas na integridade dos computadores de origem e de destino. O XG Firewall inclui um mecanismo abrangente de geração de relatórios, que permite pesquisar facilmente relatórios para encontrar as informações necessárias. Neste módulo, veremos mais de perto alguns desses recursos e como eles se protegem contra ameaças comuns. Engenheiro de firewall XG - 13 Ameaças à segurança da rede Rede da Empresa Atacante Dispositivo comprometido Servidores de Computadores Vulnerabilidades Os invasores podem usar software malicioso, vírus ou malware, para infectar e controlar os dispositivos dos usuários. Por exemplo, um invasor pode usar malware para instalar um registrador de pressionamento de tecla em um dispositivo que registra os detalhes confidenciais dos usuários, como nomes de usuário, senhas ou dados bancários. O malware também pode ser usado para permitir que o invasor controle um dispositivo sem o conhecimento do usuário para participar de uma 'botnet'. Isso permite que vários dispositivos infectados sejam usados para atacar mais dispositivos. As ameaças à segurança podem vir de dentro da sua organização. Um usuário pode, inadvertidamente, introduzir código malicioso na rede a partir de uma fonte que não seja a Internet, como uma unidade USB. O código malicioso tenta entrar em contato com um servidor de comando e controle fora da rede que comprometerá o dispositivo e a rede. Vulnerabilidades de software são bugs em programas que hackers exploram para comprometer dispositivos. Uma exploração geralmente tira proveito de uma vulnerabilidade específica no sistema operacional ou em um aplicativo para acessar ou infectar um dispositivo. Selecione o tipo de ameaça à segurança para saber como o XG Firewall protege contra eles. Engenheiro de firewall XG - 16 Firewall Bloquear portas Bloqueio de país por IP geográfico Aplicar Restritivo Políticas Isolar zonas de proteção contra inundações O recurso Firewall no XG Firewall fornece proteção contra vírus e malware, além de outras ameaças à segurança. Os seguintes recursos podem ser usados para evitar ataques de rede comuns; • Bloqueio de portas e bloqueio de país por IP geográfico, permitindo controlar exatamente qual tráfego de rede é permitido em sua rede • Imponha políticas restritivas em diferentes zonas, redes ou por tipo de serviço. Isso permite que você controle os tipos de tráfego permitidos na sua rede • Isole uma zona; portanto, se você tiver um surto de vírus, pode isolá-la para evitar que o vírus se espalhe pela sua rede enquanto você limpa o problema. • Proteção contra inundações que evita ataques de DoS e DDoS na sua rede Engenheiro de firewall XG - 18 VPN / VPN VERMELHO Filial VERMELHO Computadores Trabalhador remoto Atacante XG FirewallXG Firewall Escritório Central O Sophos XG Firewall fornece várias maneiras de proteger conexões, para que você possa continuar a fornecer acesso flexível sem comprometer a segurança. Para garantir a conectividade entre escritórios centrais e remotos, o XG Firewall suporta o RED (Remote Ethernet Device) da Sophos, que torna a implantação de links seguros tão simples quanto plug and play. Onde você precisa fazer conexões com dispositivos de gateway existentes em escritórios remotos, você pode configurar alternativamente VPNs site a site usando protocolos seguros padrão, como IPsec. Para proteger o acesso remoto a seus usuários, o XG Firewall suporta o acesso VPN usando todos os protocolos comuns, incluindo SSL e IPsec, para a maioria dos dispositivos, incluindo Windows, Mac, Linux e dispositivos móveis. O XG Firewall inclui até um portal VPN sem cliente baseado em navegador que funcionará em qualquer navegador da Web moderno. Engenheiro de firewall XG - 19 A Proteção Avançada contra Ameaças (ATP) monitora o tráfego de saída global. Ele bloqueia o tráfego de rede de saída tentando entrar em contato com os servidores de comando e controle. Isso impede que os cavalos de Troia de acesso remoto relatem seus servidores maliciosos. Se o ATP detectar uma ameaça, um alerta será gravado e o número de detecções mostradas no centro de controle. O administrador pode verificar o alerta para obter informações adicionais sobre a ameaça, como; • O endereço IP dos dispositivos afetados • O nome do host dos dispositivos afetados • A ameaça e o número de vezes que a regra foi acionada. Esse processo permite ao administrador isolar o dispositivo e limpar a ameaça para proteger o restante da rede contra infecção. Proteção Avançada contra Ameaças (ATP) Computadores Firewall XG Internet Detecta e bloqueia saída maliciosa tráfego Monitora globalmente todos tráfego de saída Grava um alerta no Centro de Controle de o firewall XG Permite o isolamento do dispositivo e ameaça de limpeza Engenheiro de firewall XG - 21 Os kits de vulnerabilidades e exploração podem ser protegidos contra o IPS (Intrusion PreventionSystems). O IPS monitora o tráfego da rede à medida que passa pelo XG Firewall em busca de atividades maliciosas. Ele registra a atividade e tenta bloquear e prevenir a infecção e depois relata a atividade. Observe que a prevenção contra intrusões não foi projetada para substituir a aplicação de patches de software para corrigir bugs e vulnerabilidades de segurança. Sistema de prevenção de intrusões (IPS) Computador Firewall XG Internet Monitora o tráfego de rede para atividade maliciosa Bloqueia e relata atividades para evitar infecções de rede Engenheiro de firewall XG - 23 Ao introduzir ameaças à segurança, cobrimos vulnerabilidades de software. Muitas infecções por malware começam com um usuário visitando um site especificamente projetado que explora uma ou mais vulnerabilidades de software. Isso pode ser acionado por um usuário clicando em um link em um email ou navegando na Internet. Este tipo de infecção acontecerá silenciosamente. Os sites originais podem ser comprometidos por invasores que colocam anúncios maliciosos no site. Em outros casos, o tráfego para o site pode ser redirecionado para o servidor do invasor. O site redirecionado foi projetado para parecer autêntico e geralmente solicita um nome de usuário e senha para fazer login. Ameaça à segurança - infecções na Web Um usuário clica em um link em um email de phishing Um usuário visita um site legítimo e é redirecionado para um servidor atacante Engenheiro de firewall XG - 25 O recurso de proteção da Web no XG Firewall pode ser usado para evitar infecções na Web. • O Filtro da Web fornece filtros predefinidos que bloqueiam automaticamente o acesso a sites categorizados, como jogos de azar ou pornografia • O Live Protection fornece pesquisas em tempo real ao SophosLabs para verificar se há ameaças e impedi-las de infectar o dispositivo / rede • O Pharming Protection impede que os usuários sejam redirecionados para sites falsos ou comprometidos • A validação de certificado valida certificados de sites para garantir legitimidade • A filtragem de tipo de arquivo filtra os arquivos com base no tipo MIME, extensão e tipos de conteúdo ativo. Isso pode ser usado para bloquear documentos habilitados para macro, por exemplo • Aplicação do SafeSearch. O SafeSearch é um recurso da Pesquisa do Google que atua como um filtro automatizado de pornografia e conteúdo potencialmente ofensivo O recurso de proteção da Web é personalizável, por exemplo, restringir a cota de navegação dos usuários e o tempo de acesso permite o controle sobre o que os usuários podem ter acesso e quando. Se você deseja impedir que seus usuários possam acessar sites que não são essenciais para os negócios, você pode colocar uma restrição na política da web que bloqueia o acesso a sites não comerciais, por exemplo, sites de redes sociais. Proteção da Web As políticas permitem configurar filtros para bloquear automaticamente sites categorizados Se um usuário visitar um site bloqueado, ele não poderá acessar o site Engenheiro de firewall XG - 26 Engenharia social é o ato de manipular as pessoas para que tomem uma ação específica em benefício de um invasor. Esse tipo de ataque é alcançado usando alguns dos seguintes métodos; • Criando um senso de urgência, definindo um prazo para a ação • Representar alguém importante, como o CEO da empresa • Mencionar eventos atuais para tornar a mensagem mais legítima • Obscurecer URLs maliciosos para torná-los autênticos • Oferecendo um incentivo para concluir a ação A engenharia social pode acontecer em todas as redes sociais, e-mails, aplicativos, telefonemas e pessoalmente. Normalmente, o ataque é projetado para alguns dos seguintes propósitos; • Números e senhas de contas de cartão de crédito de phishing • Hackeando e-mails particulares e históricos de bate-papo • Hackeando sites de empresas ou organizações e destruindo sua reputação • Fraudes com vírus de computador • Convencendo os usuários a executar código malicioso Você pode descobrir mais sobre engenharia social e como isso pode ser evitado assistindo ao vídeo na página Naked Security da Sophos: https://nakedsecurity.sophos.com/tag/socialengineering/ Ameaça à segurança - Engenharia social Atacante Envia ataque Pessoa / Email / Aplicativos Comercial Manipula o usuário Engenheiro de firewall XG - 28 Para evitar ataques de engenharia social, você precisa garantir que seus usuários sejam informados sobre os perigos. Usuários instruídos reduzem o risco de um ataque de mídia social pessoalmente. A proteção de email é usada para proteger contra ataques de phishing. Abordaremos isso mais adiante neste módulo. Para evitar ataques de engenheiros sociais por meio de aplicativos, o Sophos XG Firewall usa a função de Controle de Aplicativos. Isso pode ser usado para limitar ou restringir quais aplicativos seus usuários podem acessar na sua rede. Se um ataque de engenharia social for iniciado solicitando que os usuários acessem sua conta do Facebook, por exemplo, para confirmar seu nome de usuário, o Filtro de aplicativos poderá ser configurado para bloquear o acesso ao aplicativo do Facebook, o que significa que o ataque não seria bem-sucedido, como o usuário saberia que eles não conseguem acessar o Facebook na rede. O controle de aplicativos pode ser usado para bloquear; • Aplicativos indesejados • Alguns aplicativos não são maliciosos e possivelmente úteis no contexto certo, mas não são adequados para as redes da empresa. Exemplos são adware, ferramentas para administrar PCs remotamente e scanners que identificam vulnerabilidades em sistemas de computadores • Aplicativos de rede ponto a ponto • Aplicativos P2P podem conter vulnerabilidades. Os aplicativos ponto a ponto atuam como servidores e clientes, o que significa que eles podem ser mais vulneráveis a explorações remotas • Aplicações de alto risco • Sophos categoriza todos os aplicativos, isso significa que você pode aplicar o alto risco Controle de Aplicação Configurar regras de aplicativo para restringir o acesso a formulários Engenheiro de firewall XG - 29 política de controle de aplicativos e bloqueará todos (e todos os novos) aplicativos classificados como de alto risco • Um exemplo disso seria o site de rádio da AOL, o site do Bebo e o streaming do Napster • Aplicações de risco muito alto • Da mesma forma que na categoria de alto risco, a categoria de rick muito alta permite bloquear todos os aplicativos classificados como de risco muito alto • Um exemplo desses aplicativos seria o proxy TOR, SuperVPN e AppVPN Engenheiro de firewall XG - 29 Controle de aplicativo sincronizado Identificar desconhecido formulários Em média, 60% do tráfego de aplicativos não é identificado. As assinaturas de aplicativos estáticos não funcionam para aplicativos personalizados, obscuros, evasivos ou que usem HTTP ou HTTPS genérico. O Controle de Aplicativo Sincronizado no XG Firewall identifica automaticamente todos os aplicativos desconhecidos, permitindo bloquear facilmente os aplicativos que você não deseja e priorizar os que você faz. Engenheiro de firewall XG - 30 Sua rede pode ser atacada por email. Os invasores enviarão e-mails aos usuários solicitando que eles cliquem em um link ou acessem um site comprometido. Isso é conhecido como phishing. Normalmente, em um esquema de email de phishing, você recebe um email que parece vir de uma organização respeitável, como: • Bancos • Mídias sociais (Facebook, Twitter) • Jogos online • Serviços online com acesso às suas informações financeiras (iTunes, empréstimos para estudantes, serviços de contabilidade) • Departamentos da sua própria organização (equipe de suporte técnico, administrador do sistema, suporte técnico) Os golpes de email de phishing enviam o mesmo email para vários destinatários e às vezes incluem anexos que, se abertos, podem infectar seu dispositivo. O spear phishing é direcionado ao phishing usandoemails falsos para convencer as pessoas de uma organização a revelar informações ou credenciais confidenciais. Diferentemente do phishing, que envolve envio em massa, o Spear phishing é em pequena escala e bem direcionado. O invasor envia e-mails aos usuários em uma única organização. Os e-mails podem parecer provenientes de outro membro da equipe da mesma organização, solicitando que você confirme um nome de usuário e uma senha. Às vezes, os e-mails parecem vir de um departamento confiável que pode precisar de detalhes plausíveis, como TI ou recursos humanos. Os links nos e-mails serão redirecionados para uma versão falsa do Ameaça à segurança - Ataques por email Spear Phishing • Ataque direcionado • Small Scale Phishing • Mass Attack Engenheiro de firewall XG - 32 site da empresa ou intranet para roubar credenciais. Engenheiro de firewall XG - 32 Para se proteger contra ataques de email à sua rede, pode ser usado o Controle e Criptografia de Email. O mecanismo de verificação de email verificará todos os emails de entrada em busca de conteúdo malicioso. Você controla quais emails podem ser recebidos em sua rede; • A Reputação de IP está ativada, permitindo que você determine se aceita, rejeita ou descarta e-mails enviados por remetentes de spam conhecidos • A detecção de tipo de arquivo está configurada para verificar e bloquear tipos de arquivos específicos. Por exemplo, você pode bloquear ou colocar em quarentena qualquer documentação habilitada para macro de ser recebida por qualquer remetente O mecanismo de verificação de e-mail também detecta URLs de phishing nos e-mails e bloqueia esses e-mails de acordo. Além de verificar e-mails de entrada e saída em busca de conteúdo malicioso, a proteção de e-mail permite criptografar e-mails para que você possa enviar dados confidenciais com segurança para fora da sua rede. Ele usa criptografia SPX para criptografia unidirecional de mensagens e gerenciamento de senha SPX de auto-registro de destinatários. Essa criptografia é simples e segura e não requer certificados ou chaves. Ele também permite que os usuários adicionem anexos às respostas seguras do SPX para permitir que eles enviem documentação com segurança. A proteção de email também usa um mecanismo de proteção contra perda de dados (DLP) que verifica automaticamente emails e anexos em busca de dados confidenciais. Criptografia e controle de email Quarentena Engenheiro de firewall XG - 33 Ameaça à segurança - pontos de acesso não autorizados Ponto de acesso não autorizado Computador portátil Ponto de acesso da empresa Computadores Servidores Um ponto de acesso não autorizado (AP) é qualquer ponto de acesso Wi-Fi conectado à sua rede sem autorização. Pode ser uma configuração usada por um invasor com o objetivo de capturar o tráfego da rede sem fio e pode ser usada para realizar um ataque de intermediário. Ele permite que qualquer pessoa com um dispositivo equipado com Wi-Fi se conecte à sua rede corporativa, deixando seus ativos de TI abertos para o hacker bisbilhoteiro ou criminoso casual. Engenheiro de firewall XG - 35 Ponto de acesso não autorizado Computador portátil Ponto de Acesso Sophos Computadores Servidores Proteção sem fio Firewall XG Ponto de acesso não autorizado Detectou! O Sophos XG Firewall pode funcionar como um controlador de acesso sem fio para fornecer rede sem fio segura. A proteção sem fio também pode ser combinada com o gerenciamento RED para gerenciar centralmente o acesso sem fio em escritórios remotos. Os Pontos de Acesso Sophos fornecem implantação plug and play e podem transmitir vários SSIDs que podem separar com segurança o tráfego usando VLANs ou uma VPN de volta ao XG Firewall. Para redes de convidados, a Proteção sem fio também permite configurar portais cativos de hotspot. Os modelos XG Firewall que possuem adaptadores sem fio integrados fornecem varredura de pontos de acesso não autorizados para verificar pontos de acesso potencialmente indesejados na sua rede. Engenheiro de firewall XG - 36 Ameaça à segurança - explorações Firewall Atacante XSS Violações de protocolo Injeção SQL Ataques genéricos Por sua própria natureza, os servidores da Web precisam estar acessíveis na Internet, mas isso os torna alvos para atacantes que podem estar tentando extrair dados ou instalar malware para comprometer outros usuários que visitam o site. Os ataques podem assumir várias formas, incluindo ataques de script de site cruzado (XSS), usando violações e anomalias de protocolo, injeção de SQL ou outros ataques genéricos. Engenheiro de firewall XG - 38 S e r v i d o r e s d a W e b Proteção de servidor Web Firewall Atacante XSS Violações de protocolo Injeção SQL Ataques genéricos • • • • O Sophos XG Firewall inclui a abrangente Proteção de servidor da Web, que é fornecida com modelos pré-configurados para facilitar ao máximo a proteção de servidores voltados para a Web comumente usados, como o Microsoft Exchange. O Web Server Protection atua como um proxy reverso, protegendo os servidores Web na rede interna ou DMZ do tráfego de entrada. O Web Server Protection usa um firewall de aplicativo da web para filtrar o tráfego, proteger formulários, assinar cookies e verificar se há malware. O Web Server Protection também pode autenticar conexões de entrada com um nome de usuário e senha antes mesmo de chegarem ao servidor da web. Engenheiro de firewall XG - 39 S e r v i d o r e s d a W e b Os kits de exploração vêm com código de exploração pré-escrito e direcionam usuários que executam aplicativos de software inseguros e desatualizados. No diagrama, o usuário visita um site que foi comprometido. Como resultado, o usuário é redirecionado (sem o conhecimento deles) para o Exploit Kit Server. Os kits de exploração são projetados pelo invasor para executar pelo menos duas ações principais: • Analise o sistema em busca de vulnerabilidades • Explorar as vulnerabilidades para baixar o código malicioso das explorações no sistema Se a exploração for bem-sucedida, ele baixa e instala malware (como o Ransomware). Os kits de exploração podem ser usados on-line por atacantes com conhecimento técnico limitado. Aqueles que não são especialistas em TI ou segurança podem comprar o kit de exploração online. Às vezes, os kits de exploração vêm com uma interface amigável e suporte técnico. Ameaça à segurança - kits de exploração Computador Servidor da Web comprometido Exploit Kit Server Verificar vulnerabilidades Explorar vulnerabilidades Baixe e instale malware Visitas de usuário comprometidas Local Reencaminhado para o Exploit Kit Servidor Site vulnerável a compromisso Internet Engenheiro de firewall XG - 41 O Sophos Security Heartbeat impede que os ataques se espalhem pela sua rede. O Sophos Security Heartbeat se reporta ao Firewall XG em tempo real usando o Sophos Central. Se um dispositivo tiver atividade maliciosa, o Security Heartbeat envia o status do dispositivo para o XG Firewall, que isola automaticamente o dispositivo comprometido, limpa o dispositivo e o permite novamente online. Isso significa que sua rede não está comprometida, pois o ataque é interrompido no dispositivo. Se olharmos para um exemplo, um dispositivo é gerenciado pelo Sophos Central. Ele compartilha seu status de segurança atual com o Sophos XG Firewall usando o Security Heartbeat. O dispositivo é comprometido quando um usuário é redirecionado para um site mal-intencionado. O componente antivírus Sophos na máquina detecta a atividade maliciosa. O status do dispositivo é retornado ao XG Firewall como em risco (vermelho). O XG Firewall controla o acesso à rede para restringir e isolar o dispositivo infectado. Isso impede que o dispositivo se conecte a outros dispositivos da rede. A ameaça é limpa no dispositivo. O dispositivo envia um status de pulsação atualizado de íntegro (verde) ao XG Firewall, o que permite queo dispositivo entre novamente na rede. Batimento cardíaco de segurança Firewall XG Computador gerenciado por Sophos Central Engenheiro de firewall XG - 42 tempestade de areia Suspeito Ao controle Relatório Determinar o comportamento Tempestade de areia de Sophos CERQUILHA Firewall XG O Sophos Sandstorm usa a tecnologia sandbox da próxima geração com aprendizado de máquina integrado, oferecendo à sua organização uma camada extra de segurança contra ransomware e ataques direcionados. Ele se integra ao seu XG Firewall e é entregue na nuvem, portanto não é necessário hardware adicional. É a melhor defesa contra os mais recentes malwares baseados em carga útil ocultos em ataques de phishing, spam e downloads de arquivos. Vamos dar uma olhada em como o Sophos Sandstorm testa e identifica possíveis malwares. O Sophos XG Firewall pré-filtra com precisão o tráfego usando todas as verificações de segurança convencionais, incluindo assinaturas anti-malware, URLs ruins conhecidas etc.…, para que apenas arquivos suspeitos anteriormente não vistos sejam enviados ao Sandstorm, garantindo latência mínima e impacto no usuário final. Se o arquivo for executável ou tiver conteúdo executável, o arquivo será tratado como suspeito. O XG Firewall envia o hash do arquivo ao Sophos Sandstorm, para determinar se ele foi analisado anteriormente. Se o arquivo foi analisado anteriormente, o Sophos Sandstorm passa a inteligência de ameaças ao XG Firewall. Aqui, o arquivo será entregue ao dispositivo do usuário ou bloqueado, dependendo das informações fornecidas pelo Sophos Sandstorm. O XG Firewall mantém um cache local de hashes de arquivo e os resultados em um banco de dados local para evitar pesquisas desnecessárias. Por fim, o XG Firewall usa a inteligência detalhada fornecida pela Sophos Sandstorm para criar relatórios profundos e forenses sobre cada incidente de ameaça. Engenheiro de firewall XG - 44 tempestade de areia Suspeito Ao controle Relatório Determinar o comportamento Tempestade de areia de Sophos Firewall XG Se o hash não tiver sido visto antes, uma cópia do arquivo suspeito será enviada ao Sophos Sandstorm. Aqui, o arquivo é executado e seu comportamento é monitorado. Uma vez totalmente analisado, o Sophos Sandstorm passa a inteligência de ameaças ao XG Firewall, que determinará se o arquivo é permitido ou bloqueado. Como nas ameaças anteriores, um relatório é criado para o incidente da ameaça. Engenheiro de firewall XG - 45 O Sophos XG Firewall pode ser implantado de quatro maneiras: Como um dispositivo de hardware. Os dispositivos Sophos XG vêm pré-carregados e prontos para uso. Como software instalado no hardware compatível com Intel. Como um dispositivo virtual em execução nos hipervisores mais comuns, incluindo VMware, Hyper-V, Xen e KVM. E, finalmente, o XG Firewall pode ser implantado na nuvem no Azure. Opções de implantação Hardware Sophos XG Devices Programas Hardware compatível com Intel Virtual Servidor Hyper-V VMWare Xen KVM Nuvem Azure Engenheiro de firewall XG - 46 O XG Firewall está disponível como uma máquina virtual pré-configurada no Azure Marketplace. Você pode usar os modelos do Azure Resource Manager para acelerar a implantação ou personalizar a configuração para atender às necessidades específicas do seu ambiente. A Sophos oferece duas opções de preço para o XG Firewall no Azure. Você pode escolher entre PAYG (pay as you go) ou BYOL (traga sua própria licença). O PAYG permite que você pague apenas pelo que usar, para que você não precise adivinhar a capacidade. Não há compromisso mínimo e você pode parar a qualquer momento. O BYOL permite que você use seu investimento existente no XG Firewall. Ao comprar uma licença do XG Firewall de 1, 2 ou 3 anos, você pode usar essa licença em conjunto com o Azure. A nuvem do Azure permite que você dimensione conforme necessário. Não há como adivinhar a capacidade e você pode usar os modelos de gerenciamento de Recursos do Azure para aumentar e diminuir com base na demanda dos usuários por aplicativos. Com o modelo de responsabilidade compartilhada do Azure, o Azure protege a nuvem e você é responsável por proteger seus aplicativos e dados. O XG Firewall pode ajudá-lo com isso e, no Azure, você ainda recebe o XG Firewall completo, que é o mesmo produto que você pode executar no local. Azure • Implantar em minutos do Azure Marketplace • Preços flexíveis - PAYG ou BYOL • Escalável • Modelo de responsabilidade compartilhada • Firewall XG completo Engenheiro de firewall XG - 47 Laboratório 1: Preparação • Conclua as seguintes tarefas em Laboratório 1Conclua as seguintes tarefas em Laboratório 1 ▪ Tarefa 1.1: Registre-se para uma avaliação do Sophos Central Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria Não use seu endereço de email principal. Recomendamos o uso de um conta de email temporária para criar esta avaliação Conclua as seguintes tarefas em Laboratório 1Conclua as seguintes tarefas em Laboratório 1 • Tarefa 1.1: Registre-se para uma avaliação do Sophos Central Não use seu endereço de email principal. Recomendamos o uso de uma conta de email temporária para criar esta avaliação. Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório, para poder testar tudo o que estiver nos laboratórios, bem como a teoria Engenheiro de firewall XG - 48 Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento para analisá-las. Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo. Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir. Revisão do módulo • Na conclusão deste módulo, você deve agora ser capaz de: ✓ Identifique os recursos do XG Firewall e como proteger contra ameaças comuns✓ Identifique os recursos do XG Firewall e como proteger contra ameaças comuns ✓ Listar as opções de implantação disponíveis para o XG Firewall✓ Listar as opções de implantação disponíveis para o XG Firewall Engenheiro de firewall XG - 49 Olá, este é o curso Sophos Certified Engineer para XG Firewall. Este é o Módulo 2: Introdução ao XG Firewall. Engenheiro Certificado Sophos XG Firewall ET80 - ET802 Introdução ao XG Firewall Março de 2019 Versão: 17.5v1 Versão do produto: 17.5 © 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos. Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários. Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a qualquer momento sem aviso prévio. A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP. Engenheiro Certificado Sophos Firewall XG Módulo 2: Introdução ao XG Firewall Versão: 17.5 Engenheiro de firewall XG - 52 Introdução ao XG Firewall Navegação e Gerenciamento • Navegue pelo WebAdmin • Gerenciar objetos Acesso a dispositivos e certificados • Gerenciar acesso ao dispositivo • Gerenciar certificados Rede básica • Zonas • Configurar rede básica Implantação e instalação • Modos de implantação • Assistente de Configuração Inicial Encaminhamento • Opções de roteamento suportadas • Configurar roteamento estáticoNeste módulo, abordaremos o que você precisa saber para começar a operar com um XG Firewall. Desde a configuração de um firewall XG usando o Assistente de configuração inicial, abordaremos a navegação e o gerenciamento do firewall XG usando o WebAdmin, até a configuração básica de rede e roteamento necessária para integrar o firewall XG à rede. Engenheiro de firewall XG - 53 Implantação e instalação Engenheiro de firewall XG - 55 I m p l a n t a ç ã o e i n s t a l a ç ã o O modo de ponte, também conhecido como modo transparente, coloca o Sophos XG Firewall em linha para que ele possa monitorar e verificar todo o tráfego e proteger a rede, fazendo isso passando o tráfego de forma transparente. Observe que algumas funções não podem ser usadas no modo de ponte e requerem modo de gateway ou modo misto; isso inclui o uso do XG Firewall como um concentrador de VPN e o suporte a vários links WAN. Modos de implantação Modo Bridge / Transparente Monitoramento e varredura transparentes Modo Gateway Modo misto Modo Descobrir Firewall XG 192.168.0.250 Computador Internet Computador Firewall do computador 192.168.0.1 Rede: 192.168.0.0/24 Gateway Padrão: 192.168.0.1 Engenheiro de firewall XG - 57 I m p l a n t a ç ã o e i n s t a l a ç ã o No modo de gateway, o Sophos XG Firewall fornece filtragem e varredura com base em zona e atua como ponto de entrada e saída para outras redes e sub-redes. Na maioria dos casos, o Sophos XG Firewall é o gateway padrão para os computadores nas redes internas que está protegendo. Modos de implantação Filtragem e varredura com base em zona Modo Bridge / Transparente Modo Gateway Modo misto Modo Descobrir IP da LAN do firewall XG: 192.168.0.1 IP da DMZ: 172.20.56.1 IP da WAN: 31.222.172.174 Computador Internet Computador Rede: 192.168.0.0/24 Gateway: 192.168.0.1 ServidorServidor Rede: 172.20.56.0/24 Gateway: 172.20.56.1 Zona LAN Zona DMZ Engenheiro de firewall XG - 58 I m p l a n t a ç ã o e i n s t a l a ç ã o O modo misto é uma combinação de modo de ponte e modo de gateway em que duas ou mais interfaces são unidas de forma transparente, mas o Sophos XG Firewall ainda atua como o gateway usando portas que não fazem parte de uma ponte. Neste diagrama, a LAN e a rede sem fio são conectadas em ponte para criar a porta de ponte br0. Modos de implantação Combinação de ponte e gateway Modo Bridge / Transparente Modo Gateway Modo misto Modo Descobrir IP da LAN do firewall XG: 192.168.0.1 IP da DMZ: 172.20.56.1 IP da WAN: 31.222.172.174 Computador Internet Computador Rede: 192.168.0.0/24 Gateway: 192.168.0.1 Servidor Rede: 172.20.56.0/24 Gateway: 172.20.56.1 Zona LAN Zona DMZ Dispositivo wireless Ponto de acesso Engenheiro de firewall XG - 59 b r 0 I m p l a n t a ç ã o e i n s t a l a ç ã o O modo de implantação final é o modo de descoberta. Nesse modo, o Sophos XG Firewall obtém uma cópia de todo o tráfego de rede que está passando por um comutador na rede. Isso pode ser usado para criar um relatório detalhado para mostrar como o Sophos XG Firewall lidaria com o tráfego e é útil para demonstrar e avaliar o Sophos XG Firewall. Para poder incluir nomes de usuários nos relatórios, o XG Firewall precisa ser integrado a um servidor de autenticação como o Active Directory. Uma porta no XG Firewall pode ser atribuída como uma porta TAP após ser configurada no modo Gateway. Neste curso, focaremos no modo de gateway, pois é o modo mais comum de implantação. Modos de implantação Monitoramento não invasivo do tráfego Modo Bridge / Transparente Modo Gateway Modo misto Modo Descobrir Firewall XG Computador Internet Computador Computador Firewall Switch gerenciado Engenheiro de firewall XG - 60 I m p l a n t a ç ã o e i n s t a l a ç ã o Antes de começarmos, precisamos entender como é que nos conectamos à interface WebAdmin dos firewalls XG para obter acesso ao dispositivo. Por padrão, o endereço IP dos dispositivos será 172.16.16.16 e o WebAdmin em um firewall Sophos XG será executado na porta 4444. Portanto, para conectar-se à interface WebAdmin, você deverá conectar-se ao HTTPS://172.16.16.16:4444 em um novo dispositivo. Há também um portal do usuário que está disponível no XG que é executado na porta 443 Nota: Você receberá um erro de certificado ao se conectar ao XG Firewall, pois está usando um certificado autoassinado não Nota: Você receberá um erro de certificado ao se conectar ao XG Firewall, pois está usando um certificado autoassinado não confiável. WebAdmin Endereço IP padrão: 172.16.16.16 (/ 24) URL do Endereço IP padrão: 172.16.16.16 (/ 24) URL do Endereço IP padrão: 172.16.16.16 (/ 24) URL do Endereço IP padrão: 172.16.16.16 (/ 24) URL do WebAdmin: https: // DeviceIP: 4444WebAdmin: https: // DeviceIP: 4444 Engenheiro de firewall XG - 61 I m p l a n t a ç ã o e i n s t a l a ç ã o Console • Console de linha de comando acessível através de: o SSHo SSH o Conexão do consoleo Conexão do console Parâmetros de conexão serial • Taxa de transmissão: 38.400 • Bits de dados: 8 • Bits de parada: 1 • Controle de paridade e fluxo: 0 ou nenhum O Sophos XG Firewall também possui uma interface de linha de comando (CLI) acessível por SSH ou uma conexão de console. Você pode usar a CLI para alterar o endereço IP da porta de gerenciamento para estar no seu intervalo de IPs da LAN. Para efetuar login na CLI, use a senha do usuário administrador interno. Estes são os parâmetros para serial / console ou conexão ao dispositivo via porta COM: • Defina a taxa ou velocidade de transmissão como 38.400 • Bits de dados para 8 • Stop Bits para 1 • e o controle de paridade e fluxo deve ser Nenhum ou 0 Você pode selecionar quais zonas podem usar esses métodos de acesso nas configurações de 'Acesso ao dispositivo'. Engenheiro de firewall XG - 62 I m p l a n t a ç ã o e i n s t a l a ç ã o Assistente de Configuração Inicial • Configuração rápida e fácil pronta para uso • Processo simplificado de registro • Diferimento de registro O assistente de configuração inicial permite uma instalação rápida e fácil. Além de um novo assistente amigável ao usuário, o novo processo também permite que o processo inicial de registro de licença seja ignorado durante a configuração inicial para simplificar o processo. Engenheiro de firewall XG - 63 I m p l a n t a ç ã o e i n s t a l a ç ã o Demonstração: Assistente de Configuração Inicial Engenheiro de firewall XG - 64 I m p l a n t a ç ã o e i n s t a l a ç ã o Conecte-se ao XG Firewall no seu navegador em https://172.16.16.16:4444Conecte-se ao XG Firewall no seu navegador em https://172.16.16.16:4444 Clique no link Clique para começarClique no link Clique para começar Engenheiro de firewall XG - 66 O primeiro passo é definir uma nova senha de administrador. Como alternativa, você pode optar por restaurar um backup ou conectar o dispositivo a um par de HA ativo-passivo existente como dispositivo auxiliar. Digite a senha Sophos1985HA ativo-passivo existente como dispositivo auxiliar. Digite a senha Sophos1985 Engenheiro de firewall XG - 67 Repita a senha para confirmar Engenheiro de firewall XG - 68 Você deve concordar com o Contrato de licença do usuário final da Sophos e com a seleção de licença de terceiros Eu concordo Você deve concordar com o Contrato de licença do usuário final da Sophos e com a seleção de licença de terceiros Eu concordo com o Contrato de Licença Engenheiro de firewall XG - 69 Clique Continuar prosseguirClique Continuar prosseguirClique Continuar prosseguir Engenheiro de firewall XG - 70 O XG Firewall testará sua conectividade com a Internet. Como você pode ver aqui, o XG Firewall não recebeu um endereço IP do DHCP, portanto, precisamos modificar a configuração da interface WAN e definir um endereço IP estático Clique em Configuraçãomanual para editar as configurações da interface WANmodificar a configuração da interface WAN e definir um endereço IP estático Clique em Configuração manual para editar as configurações da interface WANmodificar a configuração da interface WAN e definir um endereço IP estático Clique em Configuração manual para editar as configurações da interface WAN Engenheiro de firewall XG - 71 Nesta tela, defina as configurações da interface WAN. Nós preenchemos esses campos para você. Clique Apliqueesses campos para você. Clique Aplique Engenheiro de firewall XG - 72 Clique Está bemClique Está bem Engenheiro de firewall XG - 73 O XG Firewall testará sua conectividade com a Internet novamente com as novas configurações. Como você pode ver aqui, todos os testes foram aprovados Clique em Continuar O XG Firewall testará sua conectividade com a Internet novamente com as novas configurações. Como você pode ver aqui, todos os testes foram aprovados Clique em Continuar prosseguir Engenheiro de firewall XG - 74 Digite um nome de host para o firewall Para dispositivos XG físicos, este será pré-preenchido com o número de série do dispositivo Engenheiro de firewall XG - 75 Você também pode modificar as configurações de fuso horário nesta tela usando o menu suspenso ou selecionando um local no mapa Clique em Continuar prosseguirVocê também pode modificar as configurações de fuso horário nesta tela usando o menu suspenso ou selecionando um local no mapa Clique em Continuar prosseguirVocê também pode modificar as configurações de fuso horário nesta tela usando o menu suspenso ou selecionando um local no mapa Clique em Continuar prosseguir Engenheiro de firewall XG - 76 Se você tiver um número de série, poderá inseri-lo nesta tela para registrar seu firewall, este será pré-preenchido em dispositivos físicos XG. Também existem opções que permitem migrar uma licença UTM existente ou adiar o registro por 30 dias, o que é útil se você estiver preparando um dispositivo antes de levá-lo ao local. Neste exemplo, iniciaremos um teste Nota: se você adiar o registro, há vários recursos que você não poderá usar porque eles exigem um número Nota: se você adiar o registro, há vários recursos que você não poderá usar porque eles exigem um número de série; isso inclui segurança sincronizada e alta disponibilidade. Engenheiro de firewall XG - 77 Clique Continuar prosseguirClique Continuar prosseguirClique Continuar prosseguir Engenheiro de firewall XG - 78 Você precisa fazer login no seu Sophos ID para registrar o XG Firewall. Conecte-seVocê precisa fazer login no seu Sophos ID para registrar o XG Firewall. Conecte-se Engenheiro de firewall XG - 79 Digite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar emDigite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar emDigite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar emDigite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar emDigite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar emDigite o endereço de email lfox@sophostraining.xyz e a senha Sophos1985 então clique Assinar em Engenheiro de firewall XG - 80 Clique eu não sou um robôClique eu não sou um robô Engenheiro de firewall XG - 81 Clique Continuar prosseguirClique Continuar prosseguirClique Continuar prosseguir Engenheiro de firewall XG - 82 Depois que o XG Firewall for registrado na Sophos, os detalhes da licença atualizada precisarão ser baixados pelo XG Firewall Clique em Iniciar Depois que o XG Firewall for registrado na Sophos, os detalhes da licença atualizada precisarão ser baixados pelo XG Firewall Clique em Iniciar sincronização de licença Engenheiro de firewall XG - 83 Nesta tela, você pode revisar os detalhes da sua licença Clique em Continuar Nesta tela, você pode revisar os detalhes da sua licença Clique em Continuar prosseguir Engenheiro de firewall XG - 84 Você pode definir as configurações da interface LAN no XG Firewall pela porta na lista suspensa. Você também pode ativar servidores DHCP ou configurar o modo Discover nesta página. Continuar prosseguirservidores DHCP ou configurar o modo Discover nesta página. Continuar prosseguirservidores DHCP ou configurar o modo Discover nesta página. Continuar prosseguir Nota: você não pode habilitar um servidor DHCP se outro servidor DHCP for detectado na rede. O modo Discover é Nota: você não pode habilitar um servidor DHCP se outro servidor DHCP for detectado na rede. O modo Discover é abordado no curso Architect. Engenheiro de firewall XG - 85 Para colocar você em funcionamento rapidamente, você pode ativar algumas configurações de proteção padrão. Todos podem ser modificados quando a instalação estiver concluída Clique em Proteger usuários de ameaças à rede habilitar uma política IPS na regra de firewall de saída padrão concluída Clique em Proteger usuários de ameaças à rede habilitar uma política IPS na regra de firewall de saída padrão concluída Clique em Proteger usuários de ameaças à rede habilitar uma política IPS na regra de firewall de saída padrão Engenheiro de firewall XG - 86 Clique Proteger os usuários contra sites suspeitos e maliciosos habilitar a verificação de malware na regra de firewall de saída padrãoClique Proteger os usuários contra sites suspeitos e maliciosos habilitar a verificação de malware na regra de firewall de saída padrãoClique Proteger os usuários contra sites suspeitos e maliciosos habilitar a verificação de malware na regra de firewall de saída padrão Engenheiro de firewall XG - 87 Clique Verificar arquivos baixados da Web em busca de malware habilitar uma política da web na regra de firewall de saída padrãoClique Verificar arquivos baixados da Web em busca de malware habilitar uma política da web na regra de firewall de saída padrãoClique Verificar arquivos baixados da Web em busca de malware habilitar uma política da web na regra de firewall de saída padrão Engenheiro de firewall XG - 88 Clique Enviar arquivos suspeitos para Sophos Sandstorm habilitar a verificação Sandstorm na regra de firewall de saída padrão Isso requer que Clique Enviar arquivos suspeitos para Sophos Sandstorm habilitar a verificação Sandstorm na regra de firewall de saída padrão Isso requer que Clique Enviar arquivos suspeitos para Sophos Sandstorm habilitar a verificação Sandstorm na regra de firewall de saída padrão Isso requer que 'Proteger usuários de sites suspeitos e maliciosos' esteja ativado Engenheiro de firewall XG - 89 Clique Continuar prosseguirClique Continuar prosseguirClique Continuar prosseguir Engenheiro de firewall XG - 90 Digite o endereço de e-mail que você deseja receber notificações e backups de configuração automática Engenheiro de firewall XG - 91 Digite o endereço de email para o qual você deseja enviar os emails de notificação e backup. Nesta tela, você também pode configurar um servidor de email para o envio das notificações. Engenheiro de firewall XG - 92 Clique Continuar prosseguirClique Continuar prosseguirClique Continuar prosseguir Engenheiro de firewall XG - 93 Você pode revisar um resumo de suas opções de configuração antes de serem aplicadas. Clique em Continuar para Você pode revisar um resumo de suas opções de configuração antes de serem aplicadas. Clique em Continuar para Você pode revisar um resumo de suas opções de configuração antes de serem aplicadas. Clique em Continuar para concluir o assistente Engenheiro de firewall XG - 94 As configurações serão aplicadas e o XG Firewall reiniciado Engenheiro de firewall XG - 95 Depois que o XG Firewall for reiniciado, você verá a tela de login Engenheiro de firewall XG - 96 Depois que o XG Firewall for reiniciado, você verá a tela de login Engenheiro de firewall XG - 97 Configuração de rede em um dispositivo de hardware Selecione quais portas serão unidas para oLAN Esta explicação foi feita em um XG Firewall virtual, a configuração de rede é um pouco diferente em um dispositivo de hardware. Em um dispositivo de hardware, a porta 1 será padronizada para a WAN e todas as outras portas serão conectadas em ponte para formar a LAN. Você pode clicar nas portas para adicioná-las e removê-las da ponte da LAN. Engenheiro de firewall XG - 98 I m p l a n t a ç ã o e i n s t a l a ç ã o Navegação e Gerenciamento Engenheiro de firewall XG - 99 N a v e g a ç ã o e G e r e n c i a m e n t o A interface do XG Firewall foi projetada para ser amigável e funcional. Muita reflexão e planejamento foram direcionados ao design e posicionamento de todos os menus e itens de tela que residem no console WebAdmin do XG. Quando entramos no WebAdmin, somos apresentados a uma visão do Centro de Controle. Nesta visão, temos uma visão geral interativa do firewall XG e devemos poder identificar rapidamente qualquer coisa que possa estar fora do comum. Como podemos ver neste exemplo, existe uma exibição do sistema que mostra vários ícones de status rápidos para o XG relacionados a desempenho, serviços, interfaces e status da VPN, além de mostrar informações em tempo real sobre CPU, memória, largura de banda, e o número de sessões sendo manipuladas pelo dispositivo. É possível clicar em cada um desses itens para exibir um cartão com informações mais detalhadas sem precisar sair do Centro de Controle. Em seguida, podemos ver a seção Traffic Insight, com informações relacionadas à navegação na web e controle de aplicativos. Uma rápida olhada dará ao administrador uma visão geral do que os usuários da rede estão navegando. Nas Informações do usuário e do dispositivo, informações relacionadas à pulsação de segurança, controle sincronizado de aplicativos, tempestade de areia, proteção avançada contra ameaças e quociente de ameaça ao usuário. A linha inferior do Centro de Controle contém a seção Regras do Firewall Ativo, que fornece uma visão geral de quais tipos de regras estão transmitindo tráfego, além de um gráfico mostrando a quantidade de dados que estão sendo processados por essas regras. Ele também fornece algumas informações abaixo do gráfico relacionadas a regras não usadas, desativadas, alteradas ou recém-criadas nas últimas 24 horas. A seção Relatórios possui vários relatórios acessados com frequência que podem ser abertos clicando no nome do relatório ou baixados clicando na seta à direita de cada relatório. Mostra quando o relatório foi atualizado pela última vez e o tamanho do arquivo. WebAdmin - Centro de Controle Engenheiro de firewall XG - 100 N a v e g a ç ã o e G e r e n c i a m e n t o E finalmente chegamos à seção de mensagens que contém alertas ou informações que devem ser úteis para um administrador. Como pode ser visto no exemplo, itens como avisos de segurança ou novas mensagens de disponibilidade de firmware serão exibidos e clicáveis para ajudar o administrador a garantir que o XG esteja operando da melhor maneira possível. Engenheiro de firewall XG - 100 Além de ter vários itens que podem ser clicados no centro de controle, o principal método de navegação na interface WebAdmin do firewall XG é o menu principal no lado esquerdo da tela. Aqui encontramos vários links que nos permitem navegar muito rapidamente entre os diferentes módulos do XG Firewall. Um rápido resumo dos principais tópicos inclui: A seção MONITOR & ANALYZE, que abriga o link para obter informações e descobertas relacionadas aos usuários e ao dispositivo. Podemos monitorar o comportamento do usuário e os recursos do sistema nessa área. O grupo PROTECT inclui links que permitem configurar muitas das políticas e módulos que serão usados para proteger a rede. Desde políticas básicas de firewall até proteção avançada contra ameaças e filtragem de aplicativos e da Web, todos os módulos de proteção podem ser encontrados nele. Na seção CONFIGURAR, encontramos vários links para serviços fornecidos pelo XG relacionados à rede, autenticação e conectividade. VPNs e roteamento são encontrados aqui, bem como opções de autenticação e log de serviço de diretório. O grupo final, a seção SYSTEM, contém várias definições e opções de sistema operacional. Coisas como definições de programação e cotas de tráfego, bem como definições de host e rede, podem ser encontradas dentro, mas também a Autoridade de Certificação XGs e o banco de dados são acessíveis a partir desse grupo. Para completar, opções administrativas importantes, como licença e opções para fazer backup da configuração e atualizar o firmware, também são encontradas aqui. WebAdmin - Menu Principal Informações sobre o XG e segurança Configuração de características Configuração de sistema e rede Administração de dispositivos e configurações globais Engenheiro de firewall XG - 101 N a v e g a ç ã o e G e r e n c i a m e n t o Depois de selecionar um tópico na área do menu principal, como a Web, encontrada em PROTEGER, você pode achar que existem itens de menu adicionais na forma de um layout com guias na parte superior da tela. Esses links de navegação com guias podem ser usados para alternar entre as diferentes seções do tópico principal selecionado. WebAdmin - Navegação com guias Engenheiro de firewall XG - 102 N a v e g a ç ã o e G e r e n c i a m e n t o Encontradas nas telas Relatórios e VPN, há opções adicionais Mostrar configurações de VPN ou Mostrar configurações de relatórios que permitem ao administrador acessar algumas opções usadas com menos frequência relacionadas à configuração de relatórios ou VPN. Como pode ser visto aqui, quando a opção de menu no canto superior direito é clicada, a tela alterna para as opções adicionais e essa tela de configurações especiais pode ser identificada pela barra de título amarela na parte superior da página. WebAdmin - Configurações avançadas Engenheiro de firewall XG - 103 N a v e g a ç ã o e G e r e n c i a m e n t o Encontrado em qualquer tela do WebAdmin para o firewall XG, existe um link de ajuda que pode ser clicado para abrir o arquivo de ajuda sensível ao contexto em uma janela separada. Esta versão online da ajuda do XG é totalmente interativa e pode ser navegada selecionando os vários itens de menu no menu do lado esquerdo. Também pode ser pesquisado por palavras-chave e, quando um resultado de pesquisa é selecionado, ele carrega a seção apropriada no arquivo de ajuda. http://docs.sophos.com/nsg/sophos-firewall/17.5/Help/en-us/webhelp/onlinehelp/index.html WebAdmin - Ajuda Engenheiro de firewall XG - 104 N a v e g a ç ã o e G e r e n c i a m e n t o Encontrado ao lado do item do menu de ajuda está o menu de administrador. Este menu contém uma lista de opções muito úteis, incluindo um link para o site de suporte técnico da Sophos, janelas de console para inserir comandos da CLI no firewall XG, opções para reinicializar, desligar, bloquear ou sair do firewall XG. Há também um link para a página Administração na forma de uma opção de menu Sobre o produto. WebAdmin - menu suspenso Admin Engenheiro de firewall XG - 105 N a v e g a ç ã o e G e r e n c i a m e n t o Guias de instruções A parte superior de todas as telas fornece acesso com um clique à Biblioteca de Instruções do XG Firewall, com vídeos e guias sobre como executar tarefas comuns no XG Firewall. Engenheiro de firewall XG - 106 N a v e g a ç ã o e G e r e n c i a m e n t o O Sophos XG Firewall é um sistema orientado a objetos que permite aos administradores criar objetos reutilizáveis que podem representar hosts, serviços, redes ou até países inteiros. Esses objetos podem ser usados em várias regras em todo o XG Firewall e fornecem uma visão visual das várias regras e políticas criadas. Esses mesmos objetos também facilitam a implementação de alteraçõesna configuração da rede. Se um objeto for modificado, todas as regras que usam esse objeto também serão atualizadas com a nova configuração. Os objetos são criados nos hosts e serviços, encontrados no cabeçalho SYSTEM. Muitos administradores passam pelo processo de criação de vários objetos ao configurar o firewall do Sophos XG. Muitas vezes, existem vários hosts e serviços que eles sabem que precisarão criar regras, bem como redes como VLANs que não estão diretamente conectadas ao dispositivo. Se esses itens forem conhecidos antecipadamente, eles poderão ser criados antes da adição de quaisquer regras ou políticas, economizando tempo e confusão. Vamos dar uma olhada nos vários tipos de objetos e suas opções. Objetos • Pode definir: o Hosts por endereço IPo Hosts por endereço IP o Anfitriões por FQDNo Anfitriões por FQDN o Hosts por endereço MACo Hosts por endereço MAC o Países por faixas de endereços IPo Países por faixas de endereços IP o Serviços por vários identificadoreso Serviços por vários identificadores Engenheiro de firewall XG - 107 N a v e g a ç ã o e G e r e n c i a m e n t o Em Hosts and Services, existem várias opções para criar diferentes tipos de objetos, cada um dos quais pode ser encontrado nas guias na barra de menus superior do grupo de menus Hosts and Services. Tipos de Objetos Engenheiro de firewall XG - 108 N a v e g a ç ã o e G e r e n c i a m e n t o Hosts IP são objetos que podem representar um único host de rede, um grupo de hosts ou uma rede inteira. Eles são criados na seção Host IP. Ao clicar no botão Adicionar no canto superior direito da tela. Na próxima tela, atribua um nome ao novo objeto, selecione se é um objeto IPv4 ou IPv6 e o tipo de objeto de rede que será. Um objeto IP é para um único endereço, um objeto Rede nos permite usar uma máscara de sub-rede para definir o intervalo de rede, a opção Intervalo de IP permite a entrada de um endereço IP inicial e final e a Lista de IP permite a entrada individual Endereços IP separados por vírgulas. Ao criar qualquer um dos tipos de objetos que não sejam uma Lista de IPs, também existe a opção de adicioná-lo a um Grupo de hosts IP. Essa é uma maneira conveniente de agrupar vários objetos IP para facilitar a criação de regras e políticas. Objetos de host IP Engenheiro de firewall XG - 109 N a v e g a ç ã o e G e r e n c i a m e n t o Um host FQDN nos permite criar objetos de nome de domínio totalmente qualificados que podem ser agrupados em um grupo de hosts FQDN. Semelhante aos hosts IP, clique no botão Adicionar na guia Host FQDN e preencha as informações necessárias. Dê ao objeto um nome que o ajude a identificá-lo ao ser adicionado a uma política. Digite o Nome de domínio totalmente qualificado para o objeto e, opcionalmente, adicione o host FQDN a um ou mais grupos para que ele possa ser usado mais facilmente em políticas grandes. Nota: Os objetos de host Nome de domínio totalmente qualificado (FQDN) também oferecem suporte a caracteres curinga com um prefixo *.Nota: Os objetos de host Nome de domínio totalmente qualificado (FQDN) também oferecem suporte a caracteres curinga com um prefixo *. Objetos de host FQDN Nome do objeto O nome de domínio totalmente qualificado Suporta domínios curinga Por exemplo, * .sophos.com Um ou mais grupos para adicionar o FQDN para Engenheiro de firewall XG - 110 N a v e g a ç ã o e G e r e n c i a m e n t o Um grupo de países é uma lista de intervalos de IP categorizados pelo que é atribuído a países específicos por um grupo conhecido como ICANN. Essas listas são mantidas pela Sophos e vários grupos maiores predefinidos estão prontos e aguardando o uso no XG Firewall. Obviamente, um administrador pode criar seus próprios grupos personalizados ou modificar os supergrupos existentes que acompanham o dispositivo. Para criar um grupo, clique no botão Adicionar no canto superior direito da tela ou para modificar um grupo existente, clique no ícone de lápis à direita do nome do grupo ou no nome do próprio grupo. Objetos de grupo de países Engenheiro de firewall XG - 111 N a v e g a ç ã o e G e r e n c i a m e n t o Ao adicionar um grupo de países, primeiro devemos atribuir um nome significativo ao grupo para que possamos identificá-lo em nossas políticas e, opcionalmente, uma descrição para ajudar outras pessoas com a finalidade do grupo. Em seguida, usando a lista suspensa Selecionar país, selecione um ou mais países que você gostaria de incluir no grupo. Certifique-se de salvar suas escolhas depois de terminar. Objetos de grupo de países Nome e descrição para identificar o grupo Selecione um ou mais países Engenheiro de firewall XG - 112 N a v e g a ç ã o e G e r e n c i a m e n t o Existem muitos objetos de serviço pré-criados no XG Firewall para protocolos comuns, como DHCP, HTTPS, SMTP e muitos outros. Obviamente, não podemos incluir todas as definições de serviço para todos os aplicativos existentes, para que os administradores possam criar suas próprias definições. Os serviços são criados clicando no botão Adicionar no canto superior direito ou os objetos de serviço que foram criados por um administrador podem ser editados clicando no nome ou no ícone de lápis, no entanto, os serviços preexistentes fornecidos com o dispositivo não podem ser modificados. Os objetos criados pelo usuário aparecerão acima de qualquer objeto de serviço preexistente. Serviços Engenheiro de firewall XG - 113 N a v e g a ç ã o e G e r e n c i a m e n t o Ao criar um novo objeto de serviço, começamos atribuindo um nome ao objeto que ajudará a identificar qual serviço o objeto representa. Em seguida, selecionamos que tipo de objeto de serviço criar. Pode ser um objeto TCP / UDP básico em que definimos portas de origem e destino para o objeto ou um serviço IP, onde temos a opção de selecionar serviços predefinidos em uma lista suspensa. Também podemos selecionar vários tipos de mensagens ICMP para criar definições de objetos. Serviços Engenheiro de firewall XG - 114 N a v e g a ç ã o e G e r e n c i a m e n t o Assim como outros objetos, os serviços também podem ser agrupados para facilitar o gerenciamento ao criar regras e políticas no firewall XG. Como com outros grupos, a criação de um grupo de serviços é simples. Depois de selecionar Adicionar um novo grupo, digite um nome e uma descrição para o grupo para ajudar a identificar a finalidade dos serviços, selecione os objetos de serviço na lista de serviços disponíveis e salve o grupo quando terminar. Grupos de Serviço Nome e descrição do objeto Serviços selecionados de lista de objetos Engenheiro de firewall XG - 115 N a v e g a ç ã o e G e r e n c i a m e n t o Rede básica Engenheiro de firewall XG - 116 N e t o w r k i n g b á s i c o Agora vamos analisar as zonas. A primeira pergunta que queremos fazer é o que é uma zona de rede? Existem várias maneiras de definir uma zona de rede, alguns dizem que é uma área de administração para a qual você pode exercer controle. Outra definição é um grupo lógico ou físico de redes e hosts em um ambiente. Para o firewall XG, uma zona é uma área da qual o tráfego se origina ou se destina a, em outras palavras, são as portas físicas ou as interfaces virtuais pelas quais o tráfego entra e sai do firewall. Zona de servidores hospedados Zona WAN Zona LAN O que é uma zona? Lan 2 Lan 1 Firewall XG Internet DMZ Engenheiro de firewall XG - 117 R e d e b á s i c a Zonas de rede Zonas do sistema Zona personalizada O XG também é um firewall baseado em zona. Isso significa que as interfaces podem ser atribuídas a zonas no firewall e, em seguida, a segurança e as políticas podem ser gerenciadas controlando o tráfego que se move entre as zonas, em vez de entrar ou sair de uma interface específica. Isso permite um controlemais flexível sobre o tráfego, reduzindo a sobrecarga administrativa para configuração. Há várias zonas predefinidas criadas na instalação. Esses incluem: • Zona LAN - Essa é a zona mais segura por padrão • Zona WAN - Essa zona é usada para interfaces externas que fornecem acesso à Internet • Zona DMZ - Esta zona foi criada com a ideia de hospedar servidores publicamente acessíveis • Zona VPN - Essa é a única zona que não possui uma porta ou interface física atribuída a ela. Quando uma VPN é estabelecida, a porta ou interface usada pela conexão é adicionada dinamicamente à zona e removida quando desconectada • Zona WiFi - Essa zona existe para fornecer segurança aos serviços de internet sem fio Um administrador também pode criar zonas adicionais para personalizar ainda mais o fluxo e a segurança do tráfego. Engenheiro de firewall XG - 118 R e d e b á s i c a Atividade Combine a zona com sua descrição Essa zona existe para fornecer segurança aos serviços de internet sem fio Esta é a zona mais segura por padrão Essa zona é usada para interfaces externas que fornecem acesso à Internet WAN Essa zona foi criada com a idéia de hospedar servidores publicamente acessíveis. Essa é a única zona que não possui uma porta ou interface física atribuída a ela. Wi-fi VPN DMZ LAN Engenheiro de firewall XG - 119 R e d e b á s i c a Junio Souza Seta Junio Souza Seta Junio Souza Seta Junio Souza Seta Junio Souza Seta Ao criar uma zona para uso com interfaces, há várias opções que podem ajudar a proteger ou abrir a zona para tráfego específico. Como na maioria dos itens, começamos atribuindo um nome à nova zona e, opcionalmente, uma descrição. Em seguida, atribuímos a zona a um tipo. Os tipos de zonas podem ser LAN ou DMZ e seguem as regras das zonas do tipo LAN e DMZ pré-configuradas. Se desejar o acesso administrativo ao firewall XG nessa nova zona, selecione os protocolos que serão permitidos no XG para administração. O mesmo vale para autenticação. Se você deseja autenticar usuários provenientes da nova zona, selecione o tipo de autenticação que estará disponível na zona. A seção de serviços de rede permite que você decida se o XG responderá a solicitações de DNS ou a solicitações de ping de clientes na nova zona. E, finalmente, na outra categoria de serviços, marque a caixa ao lado de qualquer serviço que você gostaria de permitir que passasse por essa zona. Criando uma zona Tipo de Zona Serviços de administração ativados Serviços de autenticação permitido a partir da zona Serviços de rede XG responderá Outros serviços permitidos através da zona Engenheiro de firewall XG - 121 R e d e b á s i c a O XG Firewall suporta vários tipos de interface diferentes, além das interfaces físicas integradas. Isso inclui interfaces Bridge, VLAN, Alias, LAG e RED. Uma interface de ponte permite a fusão de duas ou mais interfaces em uma ponte de camada 2 ou 3 transparente para permitir a comunicação perfeita entre interfaces. Uma interface VLAN permite ao administrador criar uma interface LAN virtual em uma das interfaces XG existentes e é usada quando o dispositivo XG é necessário para executar roteamento ou marcação entre VLANs ' Um alias permite adicionar endereços IP adicionais a uma interface existente. Um LAG é um grupo de interfaces que atua como uma única conexão que pode fornecer redundância e aumentar a velocidade entre dois dispositivos. E a interface RED é usada para configurar e conectar dispositivos de hardware RED de volta ao firewall XG. Tipos de interface Ponte - Configurar comunicação de sub-rede transparente VLAN - Criar uma LAN virtual que seja um domínio de broadcast Alias - Permite vincular vários endereços IP a uma única interface física O LAG - Link Aggregation Group permite que várias conexões de rede sejam combinadas em uma única conexão. Também é conhecido como entroncamento, formação de equipes da NIC, ligação da NIC ou canal Ether RED - O dispositivo Ethernet remoto (RED) é usado para conectar filiais remotas à sua matriz como se a filial fizesse parte da sua rede local Engenheiro de firewall XG - 122 R e d e b á s i c a Interfaces ou portas são adicionadas às zonas de CONFIGURAR> Rede> Interfaces. Ao criar ou editar uma porta ou Interfaces ou portas são adicionadas às zonas de CONFIGURAR> Rede> Interfaces. Ao criar ou editar uma porta ou Interfaces ou portas são adicionadas às zonas de CONFIGURAR> Rede> Interfaces. Ao criar ou editar uma porta ou interface, na lista suspensa da Zona de Rede, basta selecionar a zona que deseja usar. Você pode usar suas novas zonas nas regras ou políticas de firewall. Adicionando uma interface a uma região Engenheiro de firewall XG - 123 R e d e b á s i c a O WAN Link Manager permite que os administradores modifiquem quaisquer gateways existentes no firewall XG, bem como configurem políticas de failover se houver mais de um gateway configurado no dispositivo. No WAN Link Manager, você poderá ver uma lista de quaisquer interfaces de gateway IPv4 ou IPv6 configuradas. Essas interfaces são adicionadas automaticamente ao WAN Link Manager quando uma interface é criada no firewall na zona WAN. Ao clicar no nome do gateway, os detalhes do gateway serão mostrados. A partir daqui, o endereço IP do gateway pode ser modificado e o gateway pode ser definido como um gateway de backup em vez de um gateway ativo. O peso pode ser definido para a rota e a política NAT padrão também pode ser alterada aqui. Gerenciador de links WAN • CONFIGURAR> Rede> WAN Link Manager Engenheiro de firewall XG - 124 R e d e b á s i c a Gerenciador de links WAN Na configuração do WAN Gateway Manager para gateways de backup, As regras de failover ajudarão a definir quando mover uma conexão para outro gateway. Você pode selecionar a ação que será executada quando o gateway ativo for restaurado e o XG Firewall voltar a usá-lo. Você pode escolher entre atender novas conexões através do gateway restaurado, esta é a opção padrão ou atender todas as conexões através do gateway restaurado, o que causará interrupções nas conexões de rede estabelecidas. Engenheiro de firewall XG - 125 R e d e b á s i c a Na configuração do DNS, os servidores DNS usados pelo firewall para resolução de nomes podem ser configurados. Esses mesmos servidores também são usados pelos clientes quando eles executam uma consulta recursiva no XG Firewall. Para servidores DNS IPv4, eles podem ser obtidos no DHCP ou PPPoE se existir uma conexão WAN do tipo correspondente. Caso contrário, eles deverão ser inseridos manualmente no sistema. Até três IPs de servidor DNS podem ser inseridos. O IPv6 possui configurações semelhantes às do IPv4. A única diferença é a falta de suporte para conexões PPPoE. Com o IPv6, os endereços do servidor DNS podem ser obtidos através do DHCP ou inseridos manualmente. Por fim, você pode definir qual tipo de servidor consultar primeiro, IPv4 ou IPv6. Há também um botão para levá-lo a uma página de teste para resolução de nomes. DNS Obtenha servidores DNS IPv4 de: Conexão DHCP da WAN Conexão PPPoE Entradas estáticas Obtenha servidores DNS IPv6 de: Conexão DHCP da WAN Entradas estáticas Quais servidores DNS devem consultar primeiro Engenheiro de firewall XG - 126 R e d e b á s i c a Uma rota de solicitação de DNS pode ser usada para enviar solicitações de pesquisa de nomes de domínio específicas a servidores específicos para resolução de nomes. Isso pode ser muito útil se você desejar usar servidores externos para resolução pública de nomes da Internet, mas ainda conseguir resolver nomes de recursos internos do domínio. Para começar, na seção Rota de Solicitação de DNS, clique no botão Adicionar. Nas configurações da nova rota de solicitação, digite o nome de domínio para o qual você deseja redirecionar a resolução DNS e selecione os servidores de destino que serão usados para resolver
Compartilhar