XG-Firewall[121-240]

Prévia do material em texto

Uma das principais funções de um dispositivo de borda é a capacidade de rotear pacotes de um local de rede para outro. 
Embora o roteamento seja frequentemente considerado uma função básica de um dispositivo como o firewall XG, existem inúmeras opções 
para rotear dentro do dispositivo. Existem rotas estáticas simples que apenas examinam o endereço de destino do tráfego. Geralmente são 
usados ​​internamente para controlar o fluxo de tráfego dentro de uma rede.
O firewall XG também oferece roteamento baseado em políticas, o que permite ao dispositivo se aprofundar no tráfego e tomar 
decisões mais inteligentes com base em fatores que não sejam apenas o destino, como o endereço ou os serviços de origem.
Protocolos de roteamento dinâmico também são suportados para permitir que o firewall XG se comunique com os vizinhos e 
preencha suas tabelas de roteamento interno com interação mínima do administrador.
Diferentemente do roteamento do kernel, a precedência do roteamento XG pode ser modificada no console usando o comando 
rota_precedência do sistema comando.rota_precedência do sistema comando.
Encaminhamento
Roteamento do Kernel
Roteamento XG
1. Redes localmente conectadas
2. Protocolos de roteamento dinâmico
3. Rotas políticas
4. rotas de VPN
5. Rotas estáticas
BGP 
OPSF 
PIM-SM
A ordem da precedência de roteamento do 
SFOS pode ser modificada
Engenheiro de firewall XG - 137
E
n
c
a
m
i
n
h
a
m
e
n
t
o
Configuração de rota estática
Vamos dar uma olhada em um exemplo: se tivéssemos uma rede privada não conectada diretamente a uma 
interface no firewall XG, o XG não teria como determinar para onde enviar o tráfego destinado a essa rede. 
Pode ser, por exemplo, redes conectadas a um comutador principal e o comutador principal ao firewall por meio de uma 
LAN privada separada. A maneira mais simples de configurar a comunicação seria configurar algumas rotas estáticas. Para 
fazer isso, navegue primeiro para
CONFIGURAR> Roteamento> Roteamento estático e clique no Adicionar para a rota Unicast que você deseja criar.CONFIGURAR> Roteamento> Roteamento estático e clique no Adicionar para a rota Unicast que você deseja criar.CONFIGURAR> Roteamento> Roteamento estático e clique no Adicionar para a rota Unicast que você deseja criar.CONFIGURAR> Roteamento> Roteamento estático e clique no Adicionar para a rota Unicast que você deseja criar.
Engenheiro de firewall XG - 138
E
n
c
a
m
i
n
h
a
m
e
n
t
o
Na tela Adicionar rota de difusão ponto a ponto, comece digitando as informações de destino. Ele precisa estar no formato de um 
endereço IP e, em seguida, selecione uma máscara de sub-rede nas opções disponíveis na lista suspensa.
Em seguida, insira o endereço IP do gateway que será o próximo salto na rota. Isso deve ser digitado e não é um 
objeto pré-criado.
Em seguida, selecione a porta ou interface na qual o firewall XG enviará o tráfego. A interface selecionada deve 
poder se comunicar com o endereço do gateway listado na etapa anterior.
E, finalmente, selecione uma métrica de distância para esta rota. Isso será usado ao decidir qual rota usar se o XG tiver 
várias opções.
Configuração de rota estática
Destino
Próximo salto
Porta ou interface
Valor métrico
Engenheiro de firewall XG - 139
E
n
c
a
m
i
n
h
a
m
e
n
t
o
Laboratório 2: Introdução ao XG Firewall
O Manual do Laboratório deve ser baixado do conteúdo da lição, Introdução ao Curso 
módulo no portal de treinamento
Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em 
o portal de treinamento para acessar o ambiente de laboratório no CloudShare
Você tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessaVocê tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessaVocê tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessa
A pasta de trabalho do laboratório deve ser baixada do conteúdo da lição do módulo Introdução ao Curso no portal de 
treinamento.
Quando chegar a hora de iniciar os laboratórios, use o link Ambiente do laboratório de lançamento no conteúdo da lição do módulo Introdução 
ao curso no portal de treinamento para acessar o ambiente de laboratório no CloudShare.
Você tem 5 dias para concluir os laboratórios desde a primeira vez que os acessa.
Engenheiro de firewall XG - 140
Laboratório 2: Introdução ao XG Firewall
• Conclua as seguintes tarefas em Laboratório 2Conclua as seguintes tarefas em Laboratório 2
▪ Tarefa 2.1: Use o Assistente de configuração inicial para configurar um firewall Sophos XG
▪ Tarefa 2.2: Configurar um novo Sophos XG Firewall importando um backup de configuração
▪ Tarefa 2.3: Navegue no WebAdmin
▪ Tarefa 2.4: Configurar zonas e interfaces
▪ Tarefa 2.5: Criar rotas estáticas
▪ Tarefa 2.6: Criar definições
▪ Tarefa 2.7: Configurar rotas de solicitação de DNS
▪ Tarefa 2.8: Importar certificados de CA
▪ Tarefa 2.9: Criar um backup de configuração
▪ Tarefa 2.10: Restaurar um backup de configuração em um firewall XG
Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. 
como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria
Conclua as seguintes tarefas em Laboratório 2Conclua as seguintes tarefas em Laboratório 2
• Tarefa 2.1: Use o Assistente de configuração inicial para configurar um firewall Sophos XG
• Tarefa 2.2: Configurar um novo Sophos XG Firewall importando um backup de configuração
• Tarefa 2.3: Navegue no WebAdmin
• Tarefa 2.4: Configurar zonas e interfaces
• Tarefa 2.5: Criar rotas estáticas
• Tarefa 2.6: Criar definições
• Tarefa 2.7: Configurar rotas de solicitação de DNS
• Tarefa 2.8: Importar certificados de CA
• Tarefa 2.9: Criar um backup de configuração
• Tarefa 2.10: Restaurar um backup de configuração em um firewall XG
Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa do Laboratório 1 
1.1
Certifique-se de reservar um tempo para ler as anotações incluídas na pasta de trabalho do laboratório, pois pode ser testado em qualquer 
coisa dos laboratórios, bem como na teoria.
Engenheiro de firewall XG - 141
142
Revisão do módulo
• Na conclusão deste módulo, você pode agora:
✓ Descrever os modos de implantação do XG Firewall✓ Descrever os modos de implantação do XG Firewall
✓ Configurar um firewall XG usando o Assistente de configuração inicial✓ Configurar um firewall XG usando o Assistente de configuração inicial
✓ Navegue no WebAdmin e gerencie objetos✓ Navegue no WebAdmin e gerencie objetos
✓ Explique o que são zonas e liste as zonas padrão do sistema✓ Explique o que são zonas e liste as zonas padrão do sistema
✓ Configurar rede básica✓ Configurar rede básica
✓ Gerenciar acesso e certificados do dispositivo✓ Gerenciar acesso e certificados do dispositivo
✓ Listar os tipos de roteamento suportados no XG Firewall✓ Listar os tipos de roteamento suportados no XG Firewall
✓ Configurar roteamento estático✓ Configurar roteamento estático
Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento 
para analisá-las.
Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo.
Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.
Engenheiro de firewall XG - 142
Olá, este é o curso de treinamento certificado pela Sophos para o Sophos XG Firewall. Este é o Módulo 3: Proteção de rede.
Engenheiro Certificado Sophos
Sophos XG Firewall ET80 - Proteção de rede ET803
Versão de março de 
2019: 17.5v1
Versão do produto: Sophos XG Firewall 17.5
© 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documentopode ser usada ou reproduzida de 
qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.
Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste 
documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários.
Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou 
representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a 
qualquer momento sem aviso prévio.
A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon 
Science Park, Abingdon, Oxfordshire, OX14 3YP.
Engenheiro Certificado Sophos
Sophos XG Firewall
Módulo 3: Proteção de rede
Versão 17.5
Engenheiro de firewall XG - 145
Proteção de rede
Batimento cardíaco de segurança
Regras de firewall Prevenção de intrusões
Proteção avançada contra ameaças
• Configuração avançada de proteção contra ameaças
• Regras de Usuário / Rede
• Regras de Aplicativo de Negócios
• Gerenciando regras de firewall
• Como funciona a pulsação do coração de segurança
• Habilitando a pulsação de segurança
• Configuração de pulsação de segurança
• Políticas de IPS
• Proteção contra DoS e Spoof
Os recursos de proteção do XG Firewall são reunidos e gerenciados nas regras do firewall. Neste módulo, você aprenderá 
os diferentes tipos de regras de firewall que podem ser criadas no XG Firewall e como configurá-las e gerenciá-las. Você 
também aprenderá como habilitar e configurar recursos e políticas de proteção adicionais, incluindo prevenção de intrusões 
e pulsação de segurança, e utilizá-los para melhorar a segurança fornecida pelas regras básicas de firewall.
Engenheiro de firewall XG - 146
Regras de firewall
Engenheiro de firewall XG - 148
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Regras de firewall
Regra de rede
Regra de Aplicativo 
de Negócios
Regra do Usuário
O Sophos XG Firewall é desenvolvido com base nas regras de firewall, que reúnem políticas para filtragem da Web, filtragem de email, proteção 
de servidor da Web e modelagem de tráfego, em um único conjunto de regras. Isso fornece aos administradores um único local para configurar 
como todo o tráfego é processado pelo firewall. Todas essas políticas são criadas usando zonas e objetos para tornar a configuração e o 
gerenciamento o mais simples possível.
Além de mostrar a origem, o destino, os serviços e as ações de cada regra de firewall, no lado direito há uma seção de 
indicadores que mostra quais áreas de uma política estão ativadas.
Ao passar o mouse sobre o indicador, um pop-up mostra mais detalhes sobre cada seção da regra do firewall.
Você notará que existem ícones diferentes para as regras de firewall que indicam se são uma regra de aplicativo de negócios, 
uma regra de rede ou uma regra de usuário.
Engenheiro de firewall XG - 149
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
As regras de firewall são regras de usuário / rede ou regras de aplicativo comercial.
As regras de usuário ou de rede são muito semelhantes, com a principal diferença: as regras de usuário controlarão o tráfego com base na 
identidade do usuário, e não apenas no endereço IP ou MAC. Nas regras de usuário ou de rede, você pode aplicar políticas para filtragem da 
Web, controle de aplicativos, prevenção de intrusões e modelagem de tráfego.
As Regras de Aplicativo de Negócios são usadas para publicar e proteger aplicativos e servidores de negócios internos ou hospedados 
publicamente, como SharePoint ou servidores de email. Para tornar a proteção dos recursos comuns de negócios o mais simples 
possível, o firewall Sophos XG vem com vários modelos pré-configurados.
Tipos de regra de firewall
• Regras baseadas em identidade
• Regras baseadas em endereço IP / MAC
• Filtragem da Web
• Controle de aplicação
• Modelagem de tráfego
• Prevenção de intrusões
Regra de usuário / rede
• Servidores da Web com WAF (Web 
Application Firewall)
• Servidores de email com proteção de 
email
• Servidores / serviços internos usando NAT
• Configuração baseada em modelo
Regra de Aplicativo de Negócios
Engenheiro de firewall XG - 150
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Regras de firewall
Ícone vermelho de forma 
diferente para soltar e 
rejeitar
Acinzentado com 
texto tachado para 
desativado
A cor e a forma do plano de fundo do ícone da regra de firewall indica se a regra permite ou bloqueia o tráfego ou se a regra 
está desabilitada. As regras desativadas também usam um texto tachado acinzentado para facilitar a distinção das regras 
ativas.
Engenheiro de firewall XG - 151
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Regras de firewall
Arraste as regras de firewall 
para reordená-las
Clique nas elipses para 
abrir o menu
As regras do firewall podem ser reordenadas mais facilmente, basta pegar o ícone de movimentação no lado esquerdo da regra e 
arrastá-lo para a nova posição.
A ordem dos firewalls é importante porque o XG Firewall testará pacotes contra as regras em ordem e a primeira regra a ser 
usada. Pacotes que não correspondem a uma regra estão bloqueados.
Na extremidade direita da regra do firewall, clicar nas reticências abrirá o menu onde você pode ativar e desativar as 
regras, editá-las, cloná-las e muito mais.
Engenheiro de firewall XG - 152
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Regras de firewall
Selecione um 
grupo existente 
Crie um novo 
grupo
Você também pode agrupar regras de firewall para facilitar ainda mais o gerenciamento de grandes conjuntos de regras.
Para adicionar uma regra a um grupo, use o menu para criar um novo grupo para a regra ou selecione um grupo existente.
Engenheiro de firewall XG - 153
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Regras de firewall
• Regra de usuário / rede
• Regra de rede
• Regra do usuário
• Regra de aplicativo de negócios
Ao criar um novo grupo, você só precisa fornecer um nome, embora também recomendamos a inclusão de uma descrição clara. 
Além disso, você pode especificar propriedades para o grupo usando o tipo de regra de firewall e as zonas de origem e destino 
das regras que ele conterá. Essas propriedades são usadas para tentar corresponder automaticamente as novas regras de 
firewall ao grupo relevante.
Engenheiro de firewall XG - 154
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Regras de firewall
Arraste grupos para 
reordená-los Mostra 
o número de regras 
no grupo
Expandir e 
recolher grupos
O ícone do grupo mostra o número de regras que estão no grupo e os grupos podem ser facilmente expandidos e 
recolhidos para controlar o que está na tela.
Grupos inteiros de regras também podem ser arrastados para novas posições da mesma maneira que regras de firewall individuais.
Engenheiro de firewall XG - 155
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Regras de firewall
Desanexar uma regra 
de um grupo
As regras também podem ser removidas dos grupos selecionando Destacar no menuAs regras também podem ser removidas dos grupos selecionando Destacar no menuAs regras também podem ser removidas dos grupos selecionando Destacar no menu
Engenheiro de firewall XG - 156
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Regras de firewall
Filtrar regras usando as 
opções suspensas
Procure um ID de regra
A filtragem de regras de firewall e a pesquisa por ID da regra oferecem suporte total a grupos e apresentam resultados de uma maneira que 
mantém a estrutura do grupo.
Engenheiro de firewall XG - 157
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Atividade
Combine os ícones de regra de firewall com seus significados
Permitir regra de rede
Eliminar regra do usuário
Grupo de Regras
Regra de rede desativada
Regra de usuário desativado
Permitir regra de 
aplicativo de negócios
Rejeitar regra de rede
Permitir regra do usuário
Engenheiro de firewall XG - 158
R
e
g
r
a
sd
e
 
f
i
r
e
w
a
l
l
junio
Seta
junio
Seta
junio
Seta
junio
Seta
junio
Seta
junio
Seta
junio
Seta
junio
Seta
Como já mencionamos, o XG Firewall é um firewall orientado a objetos baseado em zona. Isso torna a criação 
de regras e políticas no firewall XG fácil e flexível.
Regras básicas de rede podem ser criadas para controlar o tráfego entre diferentes zonas ou entre redes e hosts dentro das zonas. 
O tráfego permitido por uma regra básica de filtro de pacotes pode ser examinado posteriormente por módulos como o
O módulo IPS e a pulsação de segurança do cliente para determinar se esse tráfego será permitido ou bloqueado.
Regras de firewall
Tráfego Filtro de pacotes Regras IPS 
Batimento 
cardíaco de segurança
Permitido
Bloqueado
Engenheiro de firewall XG - 160
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
O Assistente de configuração inicial cria uma regra de diretiva de rede padrão no XG Firewall para permitir o tráfego da LAN para a WAN. 
Dependendo das opções selecionadas durante o Assistente de Configuração Inicial, várias opções de segurança serão ativadas para esta 
regra, incluindo a ativação de uma verificação de malware e uma política da Web básica.
Você também notará uma regra de firewall automática criada para permitir que o XG Firewall execute a filtragem de 
email.
Diretiva de rede padrão
Engenheiro de firewall XG - 161
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Criando uma regra de usuário / rede
Para começar a criar uma nova regra, comece clicando no Adicionar regra de firewall botão localizado no canto superior direito do PROTEGER> Para começar a criar uma nova regra, comece clicando no Adicionar regra de firewall botão localizado no canto superior direito do PROTEGER> Para começar a criar uma nova regra, comece clicando no Adicionar regra de firewall botão localizado no canto superior direito do PROTEGER> Para começar a criar uma nova regra, comece clicando no Adicionar regra de firewall botão localizado no canto superior direito do PROTEGER> 
Firewall seção do WebAdmin no firewall XG. Firewall seção do WebAdmin no firewall XG. 
Em seguida, clique no Regra de usuário / rede opção.Em seguida, clique no Regra de usuário / rede opção.Em seguida, clique no Regra de usuário / rede opção.
Engenheiro de firewall XG - 162
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Criando uma regra de usuário / rede
Nome da regra, posição 
e grupo
Definir onde o tráfego se 
origina e agendar
Destino de tráfego e serviços 
monitorados
Ao criar uma nova regra, é útil, mas não obrigatório, que todos os seus objetos e serviços sejam criados com antecedência.
Comece nomeando a regra e adicionando uma descrição para ajudar outras pessoas a entender o objetivo da regra. Em seguida, selecione 
onde a regra é colocada na lista atual de regras de firewall existentes. Você também pode selecionar manualmente um grupo ou permitir 
que o XG Firewall tente atribuí-lo automaticamente a um grupo com base na configuração selecionada ao longo da regra.
Usando uma das três opções, selecione se deseja que esta regra permita, elimine ou rejeite o tráfego que será 
processado pela regra.
Na seção Fonte, use o Adicionar novo item para selecionar as zonas que contêm as redes de origem. Certifique-se de clicar Na seção Fonte, use o Adicionar novo item para selecionar as zonas que contêm as redes de origem. Certifique-se de clicar Na seção Fonte, use o Adicionar novo item para selecionar as zonas que contêm as redes de origem. Certifique-se de clicar 
no Aplique botão verde quando você desmarcou as zonas a serem incluídas. Se você deseja isolar redes ou hosts específicos, no Aplique botão verde quando você desmarcou as zonas a serem incluídas. Se você deseja isolar redes ou hosts específicos, no Aplique botão verde quando você desmarcou as zonas a serem incluídas. Se você deseja isolar redes ou hosts específicos, 
selecione-os em Redes e dispositivos de origem. Uma programação também pode ser aplicada a esta regra para que ela seja 
processada apenas em determinados horários da semana; o padrão é processar a regra sempre.
Por fim, na seção Destino e serviços, selecione as zonas e redes de destino para as quais o tráfego estará indo e, 
finalmente, os serviços que você deseja permitir ou bloquear. Lembre-se de clicar e clicar no botão Salvar no canto 
inferior esquerdo para concluir a regra.
Dica: Você pode visualizar facilmente a configuração de objetos de zona, rede e serviço passando o mouse sobre eles.Dica: Você pode visualizar facilmente a configuração de objetos de zona, rede e serviço passando o mouse sobre eles.
Engenheiro de firewall XG - 163
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Criando uma regra de usuário / rede
Mais abaixo na regra do firewall, você pode ativar a correspondência do usuário. Isso a torna uma regra de usuário e não apenas uma 
regra de rede. Veremos isso no módulo de autenticação.
Você também pode ativar a verificação de malware de FTP, HTTP e HTTPS., Bloquear o Google QUIC e ativar a verificação Sophos 
Sandstorm.
O Google QUIC fornece HTTPS sobre UDP, no entanto, para o XG Firewall poder executar uma inspeção SSL completa, é necessário 
bloquear o QUIC forçando um fallback ao TCP.
Observe que, se você ativar a verificação HTTPS, precisará garantir que o certificado CA XG tenha sido instalado em seus clientes para 
evitar erros de certificado nos navegadores do usuário.
Na seção Avançado, você pode:
• Selecione quais políticas você deseja aplicar ao tráfego que corresponde à regra do firewall
• Ativar segurança sincronizada (veremos isso com mais detalhes posteriormente neste módulo)
• Habilitar e configurar NAT e roteamento
Por fim, você pode optar por registrar o tráfego que corresponde à regra do firewall.
Engenheiro de firewall XG - 164
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Na maioria dos casos, o tráfego através de um firewall precisa ser bidirecional, ou seja, não apenas permitimos que as pessoas se 
comuniquem internamente com o mundo externo, mas também pessoas e servidores na Internet se comuniquem com alguns de nossos 
servidores internos. 
Pode haver muitos motivos para isso, desde o recebimento de emails de servidores externos até o acesso dos 
usuários aos recursos dentro da rede quando estão fora do escritório. Qualquer que seja o motivo, os servidores 
precisam ser publicados através do firewall para fornecer serviços e receber informações.
Regra de Aplicativo de Negócios
Firewall XG 
Internet
Servidor
Servidor
Servidor
SMTP
SMTP
RDP
RDP
Engenheiro de firewall XG - 165
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Regra de Aplicativo de Negócios
No firewall XG, a opção para permitir tráfego externo para o dispositivo que não se origina de uma fonte interna é feita com uma 
Regra de Aplicativo de Negócios. Vamos dar uma olhada na criação de uma regra básica de NAT ou DNAT de destino no firewall 
do Sophos XG. Isso é feito navegando primeiro para
PROTEGER> Firewall e depois clicando no Adicionar regra de firewall , como se você estivesse adicionando uma nova regra de firewall, PROTEGER> Firewall e depois clicando no Adicionar regra de firewall , como se você estivesse adicionando uma nova regra de firewall, PROTEGER> Firewall e depois clicando no Adicionar regra de firewall , como se você estivesse adicionando uma nova regra de firewall, PROTEGER> Firewall e depois clicando no Adicionar regra de firewall , como se você estivesse adicionando uma nova regra de firewall, 
somente desta vez selecionaremos a opção para Regra de Aplicativo de Negócios.somente desta vez selecionaremos a opção para Regra de Aplicativo de Negócios.
Engenheiro de firewall XG - 166
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Regra de Aplicativo de Negócios
Na tela Adicionar Regra de Aplicativo de Negócios, primeiro selecione um modelo de aplicativo. Existem vários modelos de 
aplicativos pré-configurados que podem ser usados, no entanto, veremos a criação de uma regra DNAT básica.
Engenheiro de firewall XG - 167
R
e
g
r
a
s
 
d
e
 
fi
r
e
w
a
l
l
Após a seleção do Modelo de aplicativo, podemos dar à regra um nome e uma descrição e selecionar a Posição da regra.
Em seguida, selecione a zona da qual o tráfego será proveniente. Isso ajudará a definir onde o XG espera que as solicitações 
sejam originadas.
Em seguida, defina as redes de clientes permitidas selecionando objetos IP, isso geralmente é definido como QUALQUER, e defina 
quaisquer objetos IP bloqueados que não poderão acessar o serviço.
Selecione o Host / rede de destino, que é o endereço no firewall XG que aceitará a solicitação e 
selecione o serviço ou serviços a serem encaminhados.
Regra de Aplicativo de Negócios
Nome, cargo e grupo
O tráfego da zona é 
originado 
de
IPs de cliente permitidos e bloqueados
Escuta externa 
endereço 
Serviços)
Engenheiro de firewall XG - 168
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Na seção Encaminhar para, o servidor para o qual os pacotes serão encaminhados é definido. 
Nos servidores protegidos, selecione um ou mais servidores para os quais encaminhar as informações e, opcionalmente, você pode 
alterar a porta usada quando o tráfego é encaminhado para o servidor protegido.
Nota: se você selecionar vários serviços ou um serviço que não seja uma única porta ou intervalo ou portas, não Nota: se você selecionar vários serviços ou um serviço que não seja uma única porta ou intervalo ou portas, não 
poderá alterar o destino. Nesse caso, para poder alterar as portas, você precisaria criar regras separadas para cada 
serviço.
Selecione a zona em que o servidor reside. Isso é usado para aplicar políticas para proteger o servidor. Na seção Avançado, 
podemos aplicar uma política IPS à regra para verificar qualquer tráfego e, finalmente, há uma opção para registrar todo o 
tráfego e não apenas os pacotes descartados. Como sempre, certifique-se de clicar no Salve • quando terminar de fazer tráfego e não apenas os pacotes descartados. Como sempre, certifique-se de clicar no Salve • quando terminar de fazer tráfego e não apenas os pacotes descartados. Como sempre, certifique-se de clicar no Salve • quando terminar de fazer 
alterações na regra.
Regra de Aplicativo de Negócios
Servidor 
Interno
Altere opcionalmente o 
Porto de destino
Zona para o 
servidor
Política de IPS
Registrar todo o tráfego
Engenheiro de firewall XG - 169
R
e
g
r
a
s
 
d
e
 
f
i
r
e
w
a
l
l
Prevenção de intrusões
Engenheiro de firewall XG - 170
P
r
e
v
e
n
ç
ã
o
 
d
e
 
i
n
t
r
u
s
õ
e
s
Visão geral do sistema de prevenção de intrusões
O firewall XG vem com várias políticas de segurança IPS predefinidas que podem ser encontradas em 
PROTEGER> Prevenção de intrusões> Políticas de IPS. Essas políticas abrangem a maioria dos cenários cotidianos PROTEGER> Prevenção de intrusões> Políticas de IPS. Essas políticas abrangem a maioria dos cenários cotidianos 
que um administrador encontraria em uma rede média.
As seis primeiras políticas não podem ser modificadas, mas são muito úteis para segurança de zona a zona enquanto
as quatro últimas políticas podem ser usadas como estão, mas podem ser personalizadas para melhor atender às necessidades de 
segurança de uma rede. Um administrador também pode criar suas próprias políticas de IPS clicando no Adicionarsegurança de uma rede. Um administrador também pode criar suas próprias políticas de IPS clicando no Adicionar
botão.
Engenheiro de firewall XG - 171
P
r
e
v
e
n
ç
ã
o
 
d
e
 
i
n
t
r
u
s
õ
e
s
Uma política IPS consiste em um nome para identificar a política. O nome é limitado a quinze caracteres, incluindo espaços.
A descrição deve ser usada para identificar melhor o objetivo da política.
Opcionalmente, você pode clonar uma política existente para incluir todas as regras existentes. Quando essas informações forem 
preenchidas, clique no botão Salvar e ele retornará à tela principal. A partir daí, edite a política para começar a adicionar regras.
Política do Sistema de Prevenção de Intrusões
Nome de 15 caracteres
Longa descrição
Clonar política existente
Engenheiro de firewall XG - 172
P
r
e
v
e
n
ç
ã
o
 
d
e
 
i
n
t
r
u
s
õ
e
s
Após clicar na sua política de IPS recém-criada, você poderá começar a adicionar regras de IPS ou editar as regras existentes se tiver clonado 
outra política. Neste exemplo, estamos adicionando uma regra para proteger os usuários do Windows que navegam na Internet. Como na maioria 
dos itens, atribua à nova regra um nome descritivo.
Usando o editor de regras de política, você pode selecionar rápida e facilmente os padrões IPS desejados por categoria, gravidade, 
plataforma e tipo de destino, com suporte para listas de filtros inteligentes persistentes que serão atualizadas automaticamente à medida que 
novos padrões forem adicionados, que correspondam aos critérios selecionados.
Por exemplo, você pode usar o filtro inteligente para selecionar todas as assinaturas relacionadas a um aplicativo específico.
O XG Firewall inclui a biblioteca comercial de assinaturas IPS da Talos da Cisco. Aumentamos a biblioteca do Talos com assinaturas 
adicionais, conforme necessário, para garantir a proteção ideal contra invasões.
Para aqueles que se perguntam, o Talos é um grupo de análise de segurança de rede altamente respeitado que trabalha o tempo todo para 
responder às últimas tendências em hackers, invasões e malware ... assim como nossos próprios SophosLabs. Portanto, essa é uma ótima 
parceria que reforça nossa proteção IPS e também fornece controles de política IPS mais granulares.
Regras do sistema de prevenção de intrusões
Selecione os critérios de filtro no menu 
suspenso ou insira o texto 
filtro
Inclusão de assinaturas 
do Talos IPS
Engenheiro de firewall XG - 173
P
r
e
v
e
n
ç
ã
o
 
d
e
 
i
n
t
r
u
s
õ
e
s
Para aplicar uma política IPS a uma regra de rede de firewall, edite a regra existente e role para baixo até a seção Avançado. As 
políticas de IPS podem ser aplicadas às regras de usuário / rede e regras de aplicativos de negócios.
Aplicação do Sistema de Prevenção de Intrusões
Engenheiro de firewall XG - 174
P
r
e
v
e
n
ç
ã
o
 
d
e
 
i
n
t
r
u
s
õ
e
s
Proteção contra DoS e Spoof
Além da proteção que pode ser configurada nas políticas de segurança, existem serviços globais de proteção que podem ser 
ativados, incluindo proteção contra negação de serviço (DoS) e falsificação de IP.
Começaremos com a proteção contra falsificação. 
Antes de ativar a proteção contra spoof, você precisa adicionar pelo menos uma entrada na lista MAC confiável. Isso mapeia um endereço 
MAC para um ou mais endereços IP estáticos ou para um endereço IP DHCP, que são considerados válidos.
Você pode ativar a proteção contra spoof de três maneiras por zona:
• Falsificação de IP - os pacotes serão descartados se a entrada de rota correspondente não estiver disponível
• Filtro MAC - os pacotes serão descartados se os endereços MAC não estiverem configurados como MACs confiáveis
• Filtro de par IP-MAC - os pacotes serão descartados se o IP e o MAC não corresponderem a nenhuma entrada na lista confiável de 
IP-MAC
Além desses três modos, há a opção de restringir o IP desconhecido no MAC confiável. Com essa opção ativada, 
qualquer tráfego de um endereço IP que não esteja na lista confiável do endereço MAC de origem é eliminado. 
Portanto, é necessário ter cuidado com essa opção.
Engenheiro de firewall XG - 175
P
r
e
v
e
n
ç
ã
o
 
d
e
 
i
n
t
r
u
s
õ
e
s
Um ataque de negação de serviço (DoS) é um método usado por hackers para impedir ou negar o acesso de usuários legítimos a um serviço. 
Os ataques de DoS geralmente são executados enviando muitos pacotes de solicitação para um servidor de destino (geralmente um servidor 
da Web, FTP ou correio) que inunda os recursos do servidor, tornando o sistema inutilizável. O objetivo deles não é roubar as informações, 
mas desativar ou privar um dispositivo ou rede para que os usuários não tenham mais acesso aos serviços / recursos de rede.
Todos os servidorespodem lidar com o volume de tráfego até o máximo, além do qual eles ficam desativados. Portanto, os invasores enviam 
um volume muito alto ou tráfego redundante para um sistema, para que ele não possa acompanhar o tráfego ruim e permitir o tráfego de rede 
permitido. A melhor maneira de proteger contra um ataque de negação de serviço é identificar e bloquear esse tráfego redundante.
Aqui podemos ver a configuração para um ataque de inundação SYN. O administrador pode definir a taxa de pacotes permitida 
por minuto para cada fonte e destino, bem como uma taxa de burst para cada fonte e destino em pacotes por segundo.
Quando a taxa de burst é ultrapassada, o Sophos XG Firewall o considera um ataque e fornece proteção contra ataques 
de DoS eliminando todos os pacotes em excesso da origem ou destino específico. O firewall continuará descartando os 
pacotes até o ataque diminuir. Como o dispositivo aplica valores limite por endereço IP, apenas o tráfego da origem ou 
destino específico será descartado. O restante do tráfego da rede continuará sendo processado normalmente.
Proteção contra DoS e Spoof
Engenheiro de firewall XG - 176
P
r
e
v
e
n
ç
ã
o
 
d
e
 
i
n
t
r
u
s
õ
e
s
Batimento cardíaco de segurança
Engenheiro de firewall XG - 177
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
O Security Heartbeat fornece comunicação inteligente entre os terminais gerenciados no Sophos Central e o 
XG Firewall, para que possam coordenar sua resposta a ameaças.
O computador envia uma pequena pulsação regular ao XG Firewall para se identificar e mostrar que ainda está ativo e 
protegido.
Quando ocorre um evento, como uma detecção de malware, as informações sobre o evento são compartilhadas com o XG Firewall.
O computador anuncia seu status de integridade ao XG Firewall, que pode ser VERDE, AMARELO ou VERMELHO.
Se o XG Firewall detectar um ataque avançado, ele poderá solicitar detalhes adicionais do terminal, como o 
nome do processo.
O XG Firewall pode usar as informações de pulsação e integridade dos terminais para controlar o acesso a hosts e redes.
Visão geral da pulsação de segurança
• Requer computadores gerenciados Sophos Central
• Comunicação entre computador e firewall
o Batimento cardiacoo Batimento cardiaco
o Eventoso Eventos
o Estado de saúdeo Estado de saúde
o Identificação da fonte da ameaçao Identificação da fonte da ameaça
• Controle de acesso baseado em informações de pulsação
Engenheiro de firewall XG - 178
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Aqui você pode ver o que significa cada status de pulsação.
Se um computador tiver um status VERDE, isso significa que o Endpoint Agent está em execução (para que o computador esteja 
protegido) e que nenhum malware ativo ou inativo ou PUAs (aplicativos potencialmente indesejados) tenham sido detectados.
Se o computador tiver um status AMARELO, o Endpoint Agent estará em execução para que o computador ainda esteja protegido, mas 
um malware inativo ou um PUA foi detectado.
Quando um computador tem um status VERMELHO, isso pode indicar que o Endpoint Agent pode não estar em execução, portanto, 
o computador pode não estar protegido. Como alternativa, isso pode significar que malware ativo foi detectado ou malware que não 
foi limpo, tráfego de rede malicioso foi detectado ou comunicação com um host inválido conhecido.
Status de pulsação de segurança
VERDE
Sem risco - nenhuma ação é necessária
O Endpoint Agent está em execução Nenhum 
malware ativo ou inativo Nenhum PUA 
detectado
AMARELO
Risco médio - pode ser necessária uma ação
O Endpoint Agent está em execução
Malware inativo detectado ou PUA detectado
VERMELHO
Alto risco - é necessária ação
O Endpoint Agent pode não estar em execução / os dispositivos podem não estar protegidos Malware ativo ou malware não limpo, 
tráfego de rede mal-intencionado (por exemplo, para uma rede de comando e controle conhecida) ou comunicação com um host 
inválido conhecido
Engenheiro de firewall XG - 179
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Vamos dar uma olhada em como o Security Heartbeat funciona.
Como mencionamos no slide anterior, o Security Heartbeat trabalha com computadores que executam a Proteção ao 
Usuário do Sophos e estão sendo gerenciados pelo Sophos Central.
O XG Firewall precisa ser registrado no Sophos Central, que fornecerá uma lista de computadores que está 
gerenciando.
O computador iniciará uma conexão com o XG Firewall e, se for um computador gerenciado pela mesma conta 
do Sophos Central, será estabelecido um canal de comunicação bidirecional.
Observe que o Security Heartbeat é suportado apenas quando os computadores estão conectados à rede local ou ao XG Firewall por 
meio de uma VPN. O Heartbeat de segurança não é suportado na zona WAN.
Firewall XG
Como funciona a pulsação do coração de segurança
Computador
Sophos 
Central
O computador deve ser gerenciado por 
Sophos Central
O XG Firewall se registra no Sophos Central e 
obtém uma lista de 
computadores
O computador estabelece um canal de 
comunicação bidirecional com o XG 
Firewall
Os computadores devem estar conectados à rede local ou ao XG Firewall via VPN
Engenheiro de firewall XG - 180
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Vejamos o que aconteceria se um malware fosse detectado em um computador com Security Heartbeat.
Quando um malware é detectado no computador, o Security Heartbeat envia informações de eventos e seu novo status de 
integridade ao XG Firewall.
O XG Firewall pode impedir o computador comprometido de se conectar a outros computadores ou servidores, 
protegendo-os de uma possível infecção.
Depois que o Sophos Endpoint Agent tiver limpado o malware; O Heartbeat de segurança enviará seu status de integridade 
atualizado ao XG Firewall, e o XG Firewall pode permitir que ele acesse hosts e redes normalmente.
ZONA DE 
SUPORTE
Como funciona a pulsação do coração de segurança
Computador
Firewall XG
Internet
Protegido
Protegido
INTRANET
ZONA
ZONA DE 
VENDAS
Servidor Servidor Servidor
Computador Computador Computador
Engenheiro de firewall XG - 181
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
No XG Firewall Control Center, você pode ver o número de computadores que têm cada nível de status de integridade do 
Security Heartbeat na seção 'User & Device Insights' no lado direito. Neste exemplo, podemos ver que temos um 
computador com um status de risco RED.
Alertas de pulsação de segurança
Engenheiro de firewall XG - 182
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Ao clicar no widget Security Heartbeat no Centro de Controle, você pode obter mais informações, incluindo o nome do host e 
o endereço IP dos computadores, e o usuário que efetuou login.
Há também um link para o Sophos Central, onde você pode obter mais detalhes e tomar medidas para remediar a 
causa do alerta.
Nos casos em que o XG Firewall detectou que um computador foi comprometido por um ataque avançado, ele pode ter 
solicitado informações mais detalhadas, que estarão disponíveis na seção ATP.
Aqui podemos ver a ameaça que foi detectada e o nome do processo envolvido.
Alertas de pulsação de segurança
Link para Sophos 
Central
Usuário e computador com o 
alerta
Ameaça e processo 
em formação
Engenheiro de firewall XG - 183
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Ativar pulsação de segurança
Nos próximos slides, veremos como habilitar e configurar o Security Heartbeat no XG Firewall.
Antes de começar a usar o Security Heartbeat, o XG Firewall precisa ser registrado com uma conta Sophos Central. Isso 
pode ser feito no Centro de Controle, usando o widget Security Heartbeat.
Isso levará você a PROTEGER> Sincronização central. Aqui você precisa digitar o nome de usuário e a senha de um Isso levará você a PROTEGER> Sincronização central. Aqui você precisa digitar o nome de usuário ea senha de um Isso levará você a PROTEGER> Sincronização central. Aqui você precisa digitar o nome de usuário e a senha de um 
administrador da sua conta do Sophos Central.
Depois que o XG Firewall se registrar no Sophos Central, você poderá selecionar para quais zonas deseja que o XG Firewall detecte 
batimentos cardíacos ausentes e ativar o Controle de Aplicativo Sincronizado.
Engenheiro de firewall XG - 184
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Ativar pulsação de segurança
• Registre o XG Firewall no Sophos Central
o Um firewall XG pode ser associado apenas a uma conta Centralo Um firewall XG pode ser associado apenas a uma conta Central
o Uma conta Central pode ter vários XG Firewallso Uma conta Central pode ter vários XG Firewalls
No Sophos Central, você pode ver os XG Firewalls registrados em Configurações globais> Dispositivos de firewall registrados.No Sophos Central, você pode ver os XG Firewalls registrados em Configurações globais> Dispositivos de firewall registrados.
Um XG Firewall pode ser registrado apenas com uma conta Sophos Central. Se você tiver vários sites, poderá registrar vários 
XG Firewalls na sua conta Sophos Central, e os computadores estabelecerão um batimento cardíaco com o que o XG Firewall 
estiver a caminho da Internet.
Engenheiro de firewall XG - 185
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Agora que o XG Firewall está registrado no Sophos Central, os computadores estabelecerão automaticamente um batimento 
cardíaco, mas o XG Firewall não executará nenhuma ação com essas informações.
Para executar uma ação com base no status Security Heartbeat, aplique as restrições nas regras do firewall.
As restrições podem se basear no status de pulsação de segurança da origem ou do destino. Isso significa que você pode 
usar o Security Heartbeat para impedir que um computador comprometido acesse outros hosts ou redes, mas também pode 
impedir que os computadores acessem hosts que foram comprometidos.
As restrições são configuradas com base no status mínimo de integridade da origem ou destino, VERDE, AMARELO ou 
Sem restrição.
Você também pode exigir um batimento cardíaco. Isso significa que um computador que não esteja executando o Endpoint Agent da 
Sophos e não seja gerenciado pela sua conta do Sophos Central não atenderia aos critérios. Isso pode ser usado para bloquear 
prestadores de serviços e dispositivos rouge.
Observe que as restrições de pulsação de segurança de destino não podem ser aplicadas a computadores na zona WAN.
Configuração de pulsação de segurança
• Configurar restrições de pulsação de segurança nas regras de firewall
• Regras de origem e destino
• Estado mínimo de saúde
• Exigir batimentos cardíacos
Engenheiro de firewall XG - 186
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Aqui estão três regras de firewall que foram configuradas com restrições de pulsação de segurança.
Na primeira regra, o indicador 'HB' do batimento cardíaco é amarelo; portanto, é necessário um batimento cardíaco de origem mínimo em 
amarelo.
Na segunda regra, o indicador 'HB' para o batimento cardíaco é verde; portanto, é necessário um batimento cardíaco de origem mínimo em verde.
Na última regra, o indicador 'HB' para a pulsação é verde e possui um sinal de adição, portanto, é necessária uma pulsação mínima de 
origem de verde. E os clientes sem pulsação serão bloqueados.
O indicador de pulsação nas regras de firewall mostra apenas restrições baseadas na origem, não restrições baseadas no destino.
Regras de firewall com pulsação de segurança
• Indicador para restrições de pulsação com base na fonte
Pulsação mínima da fonte AMARELO
Pulsação mínima da fonte VERDE
Pulsação mínima da fonte Clientes GREEN 
Block sem pulsação
Engenheiro de firewall XG - 187
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Se uma solicitação da Web dos usuários for bloqueada devido a restrições de pulsação de segurança baseadas na origem, elas verão a 
página de bloqueio mostrada aqui. Isso explica claramente que o acesso à rede dos usuários foi restrito devido ao status de pulsação de 
segurança. Se o acesso for bloqueado devido a restrições de pulsação de segurança baseadas no destino, a página de bloqueio explicará 
que o destino está sendo bloqueado.
Página de bloqueio de pulsação de segurança
Engenheiro de firewall XG - 188
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Regras do IPS para status de integridade vermelho
Firewall XG
Ponto final
1. Regra IPS acionada no XG 
Firewall
2. O XG Firewall envia uma mensagem 
ao terminal para alterar seu status de 
integridade para 
vermelho
3. O endpoint reporta 
informações sobre o processo 
que acionou o IPS 
regra
Uma pulsação vermelha pode ser acionada por detecção de tráfego malicioso, tentativas de ligar para casa, o mecanismo ATP ou o terminal que 
identifica uma ameaça. As detecções de IPS de terminais comprometidos que tentam explorar uma vulnerabilidade também podem desencadear 
uma condição de batimento cardíaco vermelho e proteção lateral de movimento, melhorando ainda mais a proteção contra ameaças na rede.
Engenheiro de firewall XG - 189
S
a
ú
d
e
 
v
e
r
m
e
l
h
a
 
s
t
a
t
u
s
P
r
o
c
e
s
s
o
 
d
e
 
i
n
f
o
r
m
a
ç
ã
o
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Proteção de movimento lateral
Security Heartbeat ™
Servidor do Active Directory
Firewall XG
Internet
Pontos finais 
da Sophos
O XG informa instantaneamente todos os 
endpoints saudáveis ​​para ignorar 
qualquer tráfego de um dispositivo 
comprometido
Os pontos de extremidade com 
integridade verde ainda têm acesso 
normal à rede
A Segurança sincronizada também pode isolar pontos de extremidade não íntegros de outros pontos de extremidade no mesmo 
domínio de broadcast ou segmento de rede. Em muitas redes, vários pontos de extremidade geralmente são conectados por meio 
de um switch ao firewall e têm acesso irrestrito um ao outro nesse segmento de rede sem nenhum controle de firewall. Isso tornou 
impossível para o firewall intervir e impedir que ameaças se movessem lateralmente pelo switch.
Com a proteção de movimento lateral, todos os endpoints saudáveis ​​são instruídos automaticamente a ignorar qualquer 
tráfego proveniente de endpoints não saudáveis, isolando-os completamente até que possam ser limpos. Depois de limpo, 
o status do Security Heartbeat ™ retornará ao verde e a conectividade com outros sistemas na rede será restaurada 
automaticamente.
Engenheiro de firewall XG - 190
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Proteção de movimento lateral
Firewall XG 
Internet
Switch 
Switch 
2 nd Roteador 2 nd Roteador 2 nd Roteador 
de piso
1 st Roteador 1 st Roteador 1 st Roteador 
de piso
Computador com status de 
integridade vermelho
1 st Piso 2 nd Chão1 st Piso 2 nd Chão1 st Piso 2 nd Chão1 st Piso 2 nd Chão1 st Piso 2 nd Chão
Não protegido
Não encontra o endereço MAC de 
computador com saúde vermelho 
O XG Firewall compartilha o endereço 
MAC do computador com 
estado de saúde vermelho
Protegido
Pode ver o endereço MAC do computador 
com integridade vermelha
Quando um ponto de extremidade tem um status de integridade vermelho, o XG Firewall o compartilha com todos os outros pontos de 
extremidade com os quais possui uma pulsação, para que eles saibam ignorar o tráfego desse ponto de extremidade. Como mencionamos, isso 
significa que mesmo os computadores no mesmo segmento de rede podem ser protegidos. Neste diagrama, é possível ver os computadores no 
primeiro andar conectados por um comutador e protegidos do computador com o status de integridade vermelho, pois podem ver seu endereço 
MAC.
No entanto, neste exemplo, os computadores no segundo andar estão conectados via roteadores e, como o roteador modifica o endereço 
MAC no cabeçalho do empacotador da camada 2, os pontos de extremidade nãopodem ver o endereço MAC original do tráfego do ponto de 
extremidade com um status de integridade vermelho no primeiro andar. Como eles não podem ver o endereço MAC original, eles não 
descartam o tráfego e não são protegidos.
Para remediar isso, o tráfego precisaria ser roteado através do XG Firewall com regras de firewall que impedem o tráfego do 
terminal com um status de integridade vermelho cruzando os segmentos de rede.
Engenheiro de firewall XG - 191
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Proteção de movimento lateral
A proteção lateral do movimento é ativada e configurada no Sophos Central em Configurações globais> Rejeitar conexões de A proteção lateral do movimento é ativada e configurada no Sophos Central em Configurações globais> Rejeitar conexões de 
rede. Aqui você pode ativar a proteção de movimento lateral e também optar por excluir computadores específicos do rede. Aqui você pode ativar a proteção de movimento lateral e também optar por excluir computadores específicos do 
isolamento, por exemplo, para poder usar um computador para acessar remotamente o terminal com um status vermelho para 
correção.
Vamos dar uma olhada rápida na proteção do movimento lateral em ação.
Engenheiro de firewall XG - 192
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Demonstração da proteção do movimento lateral
Demonstração da proteção do movimento lateral
Aqui temos quatro computadores, todos com um status de saúde verde.
Vamos nos conectar a um desses computadores. Se abrirmos esse atalho para um compartilhamento em outro computador, podemos 
ver que ele é aberto sem problemas.
Desativamos a proteção contra adulteração neste computador, portanto, executaremos esse script para interromper alguns dos serviços da 
Sophos.
Você pode ver os serviços interrompidos sendo relatados.
Se voltarmos para o XG Firewall, podemos ver que um dos computadores agora está relatando como status de integridade vermelho.
Vamos nos conectar ao computador novamente. Se tentarmos abrir o compartilhamento novamente, não conseguiremos, porque o outro 
computador está descartando todo o tráfego desse computador.
Se iniciarmos os serviços da Sophos novamente, nosso status de saúde voltará a verde e poderemos acessar o compartilhamento novamente.
Engenheiro de firewall XG - 193
B
a
t
i
m
e
n
t
o
 
c
a
r
d
í
a
c
o
 
d
e
 
s
e
g
u
r
a
n
ç
a
Proteção avançada contra ameaças
Engenheiro de firewall XG - 194
P
r
o
t
e
ç
ã
o
 
C
o
n
t
r
a
 
A
m
e
a
ç
a
s
 
A
d
v
n
a
c
e
d
O IPS é um módulo de segurança crítico, pois monitora o tráfego para qualquer conteúdo malicioso. O IPS é mais comumente usado para 
monitorar o tráfego de entrada, embora as políticas do IPS possam ser aplicadas a qualquer regra de firewall e varrer o tráfego 
correspondente.
Sempre existe a chance de um usuário introduzir código malicioso na rede a partir de uma fonte que não seja a Internet, como 
uma unidade USB. Nesse caso, se o código malicioso tentar entrar em contato com o mundo exterior, um administrador 
poderá tirar proveito do ATP da Sophos ou da Proteção Avançada contra Ameaças, a fim de monitorar o tráfego de saída. 
ATP é uma configuração global que monitora todo o tráfego de saída por padrão quando configurado. Isso é feito analisando 
dados de todos os serviços ativados em execução no Sophos XG Firewall, incluindo solicitações DNS e HTTP, tráfego 
passando pelo firewall e Prevenção de Intrusões.
Visão geral da proteção avançada contra ameaças
• IPS vs ATP
Firewall XG
Computador
Módulo 
IPS
Módulo 
ATP
Internet
Engenheiro de firewall XG - 195
P
r
o
t
e
ç
ã
o
 
C
o
n
t
r
a
 
A
m
e
a
ç
a
s
 
A
d
v
n
a
c
e
d
Configuração avançada de proteção contra ameaças
Ativar / Desativar ATP
Registrar apenas ou reduzir tráfego
Não verifique essas redes 
ou anfitriões
Ignorar regras do ATP
A configuração do ATP é muito simples. De PROTEGER> Ameaça avançada> Proteção avançada contra ameaças no WebAdmin, primeiro A configuração do ATP é muito simples. De PROTEGER> Ameaça avançada> Proteção avançada contra ameaças no WebAdmin, primeiro A configuração do ATP é muito simples. De PROTEGER> Ameaça avançada> Proteção avançada contra ameaças no WebAdmin, primeiro 
ative a proteção avançada contra ameaças clicando no controle deslizante para o estado LIGADO.
Em seguida, selecione se você deseja registrar apenas o tráfego, o que não impedirá que nenhum tráfego potencialmente perigoso saia da 
rede ou Registre e solte o tráfego para proteger totalmente qualquer tráfego de saída. Ao configurar o ATP pela primeira vez, pode ser útil 
registrar apenas por um tempo limitado em novas instalações para garantir que não haja falsos positivos sendo acionados por aplicativos 
na rede.
Se algum host ou rede estiver causando respostas falsas positivas, elas podem ser excluídas adicionando seus endereços IP 
ou você pode optar por ignorar as regras que estão causando problemas. Depois de ativar o serviço e definir suas opções, 
clique no botão Aplicar no canto inferior esquerdo e a configuração do ATP estará concluída.
Engenheiro de firewall XG - 196
P
r
o
t
e
ç
ã
o
 
C
o
n
t
r
a
 
A
m
e
a
ç
a
s
 
A
d
v
n
a
c
e
d
Se o ATP detectar uma ameaça, seja apenas no log ou no log e drop, um alerta será registrado e o número de detecções 
mostradas no centro de controle. Ao clicar no alerta no centro de controle, informações adicionais podem ser mostradas, 
incluindo o endereço IP e o nome do host ofensivos, bem como a ameaça e o número de vezes que a regra foi acionada.
Detecção avançada de proteção contra ameaças
Engenheiro de firewall XG - 197
P
r
o
t
e
ç
ã
o
 
C
o
n
t
r
a
 
A
m
e
a
ç
a
s
 
A
d
v
n
a
c
e
d
Laboratório 3: Proteção de rede
• Conclua as seguintes tarefas em Laboratório 3Conclua as seguintes tarefas em Laboratório 3
▪ Tarefa 3.1: Configurar log
▪ Tarefa 3.2: Criar regras de firewall de rede
▪ Tarefa 3.3: Instalar os certificados de CA SSL
▪ Tarefa 3.4: Instalar o Sophos Central
▪ Tarefa 3.5: Publicar servidores usando regras de aplicativos de negócios
▪ Tarefa 3.6: Configurar diretivas IPS
▪ Tarefa 3.7: Ativar proteção avançada contra ameaças
▪ Tarefa 3.8: Habilitar DoS (negação de serviço) e proteção contra falsificação
▪ Tarefa 3.9: Configurar pulsação de segurança
• Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa 2.10 do Laboratório 2
Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. 
como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria
Conclua as seguintes tarefas em Laboratório 3Conclua as seguintes tarefas em Laboratório 3
• Tarefa 3.1: Configurar log
• Tarefa 3.2: Criar regras de firewall de rede
• Tarefa 3.3: Instalar os certificados de CA SSL
• Tarefa 3.4: Instalar o Sophos Central
• Tarefa 3.5: Publicar servidores usando regras de aplicativos de negócios
• Tarefa 3.6: Configurar diretivas IPS
• Tarefa 3.7: Ativar proteção avançada contra ameaças
• Tarefa 3.8: Habilitar DoS (negação de serviço) e proteção contra falsificação
• Tarefa 3.9: Configurar pulsação de segurança
Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa do Laboratório 2 
10)
Engenheiro de firewall XG - 199
200
Revisão do módulo
• Na conclusão deste módulo, você pode agora:
✓ Identifique os tipos de firewall e entenda a finalidade de cada✓ Identifique os tipos de firewall e entenda a finalidade de cada
✓ Criar e gerenciar regras de firewall✓ Criar e gerenciar regras de firewall
✓ Configurar e aplicar políticas de prevenção de intrusões✓ Configurar e aplicar políticas de prevenção de intrusões
✓ Configurar proteção contra DoS e falsificação✓ Configurar proteção contra DoS e falsificação
✓ Ative a pulsação de segurança e aplique restrições nas regras de firewall✓ Ative a pulsação de segurança e aplique restrições nas regras de firewall
✓ Configurar proteção avançada contra ameaças✓ Configurarproteção avançada contra ameaças
Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento 
para analisá-las.
Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo.
Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.
Engenheiro de firewall XG - 200
Olá, este é o curso de treinamento certificado pela Sophos para o Sophos XG Firewall. Este é o Módulo 4: Conexões site a 
site.
Engenheiro Certificado Sophos
Sophos XG Firewall ET80 - Conexões site a site ET804
Versão de março de 
2019: 17.5v1
Versão do produto: Sophos XG Firewall 17.5
© 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de 
qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.
Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste 
documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários.
Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou 
representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a 
qualquer momento sem aviso prévio.
A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon 
Science Park, Abingdon, Oxfordshire, OX14 3YP.
Engenheiro Certificado Sophos
Sophos XG Firewall
Módulo 4: Conexões site a site
Versão 17.5
Engenheiro de firewall XG - 203
Conexões site a site
VPNs site a site Dispositivo Ethernet remoto (RED)
Em muitas empresas, é necessário criar acesso seguro entre a matriz e as filiais, e dar aos trabalhadores remotos e em 
roaming acesso a sistemas e dados internos de qualquer lugar, a qualquer momento. O Sophos XG Firewall suporta isso 
fornecendo encapsulamento livre de ameaças usando VPNs (redes privadas virtuais) ou dispositivos Ethernet remotos 
(REDs) para acesso seguro controlado aos recursos corporativos pela Internet.
Os protocolos VPN funcionam criptografando os dados em uma extremidade da conexão e enviando-os para a outra extremidade, 
onde são descriptografados e roteados para o destino final. De fato, os dados criptografados viajam através de um túnel entre as 
duas extremidades da conexão, onde o conteúdo dos dados não pode ser visto, e o Sophos RED fornece isso em uma forma 
simples de hardware plug and play.
Neste módulo, veremos como configurar VPNs IPsec e SSL, assim como como os REDs podem ser implantados.
Engenheiro de firewall XG - 204
VPN site a site
Engenheiro de firewall XG - 206
V
P
N
 
s
i
t
e
 
a
 
s
i
t
e
VPNs site a site
Por que escolher o IPsec?
• Pode ser mais seguro, se configurado corretamente
• Largura de banda mais rápida / mais eficiente
• Suporta grupos de failover
• Maior compatibilidade com outros dispositivos
IPsec
Por que escolher SSL?
• Simples de configurar
• Conectividade site a site eficaz
SSL
Detalhes técnicos Usos: Criptografia de chave pública; Porta UDP 500; Protocolos IP Detalhes técnicos Usos: Criptografia de chave pública; Porta UDP 500; Protocolos IP 
50 e 51
Autenticação: Chave Pré-Compartilhada; Chave RSA; Certificados DigitaisAutenticação: Chave Pré-Compartilhada; Chave RSA; Certificados Digitais
Modo: Modo de túnel (site a site); Modo de Transporte (acesso remoto e Modo: Modo de túnel (site a site); Modo de Transporte (acesso remoto e 
host a host)
Detalhes técnicos Usos: HTTPS (TLS) na Detalhes técnicos Usos: HTTPS (TLS) na 
porta 8443
Autenticação: Chave Pré-CompartilhadaAutenticação: Chave Pré-Compartilhada
O XG Firewall suporta VPNs site a site usando dois protocolos diferentes, IPsec e SSL.
O IPsec fornece uma estrutura de protocolos e algoritmos amplamente utilizados para fornecer segurança de ponta a ponta em redes de 
área ampla. O IPsec pode fornecer uma conexão mais segura, se estiver configurado corretamente, no entanto, é mais complexo de 
configurar que o SSL.
Como o IPsec é amplamente usado por outros fornecedores de segurança de rede, ele oferece maior compatibilidade se você precisar criar 
uma VPN com um site que esteja usando hardware de outro fornecedor.
O IPsec também oferece suporte a grupos de failover; portanto, em cenários em que há vários links da Internet que podem ser usados 
​​para rotear a conexão por caminhos alternativos, pode fornecer redundância.
É muito comum usar VPNs SSL para acesso remoto, pois eles usam HTTPS e geralmente funcionam em praticamente qualquer lugar; 
no entanto, a Sophos é um dos poucos fornecedores que implementa VPNs SSL para conectividade site-site, mas fornece uma 
maneira simples e eficaz de configurar o acesso seguro entre sites. 
Quando uma VPN site a site é estabelecida, seja IPsec ou SSL, as rotas entre as redes local e remota são 
automaticamente configuradas no XG Firewall. Nenhuma rota manual precisa ser criada.
Engenheiro de firewall XG - 207
V
P
N
 
s
i
t
e
 
a
 
s
i
t
e
Zona VPN
Zona VPN não atribuída a um 
interface física
Há uma zona VPN padrão para simplificar a conectividade remota segura e é a única zona que não possui uma 
porta ou interface física. 
Sempre que uma conexão VPN é estabelecida, a porta ou interface usada pela conexão é adicionada automaticamente a esta zona 
e, quando a VPN é desconectada, a porta é removida automaticamente da zona. Como todas as outras zonas padrão, as políticas 
de varredura e acesso podem ser aplicadas ao tráfego dessa zona. Você não pode, no entanto, editar esta zona.
Engenheiro de firewall XG - 208
V
P
N
 
s
i
t
e
 
a
 
s
i
t
e
Configuração de VPN IPsec: políticas de VPN
• Parâmetros de segurança usados ​​para estabelecer e manter a conexão VPN entre dois 
pares
• Configurar em CONFIGURAR> VPN> perfis IPsecConfigurar em CONFIGURAR> VPN> perfis IPsec
• Ambos os lados da VPN devem ter as mesmas configurações
Diretiva IPsec Quando usar
DefaultPolicy Uma política de uso geral
DefaultBranchOffice Dispositivo de filial para iniciar o túnel VPN
DefaultHeadOffice Dispositivo da matriz para responder ao túnel VPN
DefaultL2TP Túnel VPN de usuário remoto L2TP
DefaultRemoteAccess Túnel VPN de usuário remoto IPsec
IKEv2 Uma política configurada para usar IKEv2
MicrosoftAzure Uma política para conectar-se ao Azure
Antes de poder configurar uma conexão IPsec, é necessário criar uma política IPsec que defina os algoritmos de criptografia 
e autenticação e outras configurações que serão usadas. O Sophos XG Firewall inclui várias diretivas IPsec 
pré-configuradas que podem ser usadas imediatamente para simplificar isso.
As políticas de VPN IPsec podem ser configuradas em CONFIGURAR> VPN> perfis IPsec. Ao criar diretivas IPsec em As políticas de VPN IPsec podem ser configuradas em CONFIGURAR> VPN> perfis IPsec. Ao criar diretivas IPsec em As políticas de VPN IPsec podem ser configuradas em CONFIGURAR> VPN> perfis IPsec. Ao criar diretivas IPsec em 
nível global, torna mais rápido configurar várias VPNs e facilita a atualização ou modificação da configuração.
Ao criar uma política, é importante lembrar que os dois lados da conexão VPN devem ter as mesmas configurações 
para poder negociar com êxito uma conexão.
A tabela aqui mostra as políticas IPsec pré-configuradas incluídas no XG Firewall.
As políticas personalizadas também podem ser criadas para compatibilidade com outros produtos ou se as políticas de segurança 
predefinidas não atenderem aos requisitos de segurança da sua empresa. O XG Firewall inclui um Assistente de conexão VPN que 
o guiará passo a passo na configuração, exibindo informações adicionais sobre os parâmetros de configuração.
Você passará pela configuração das conexões VPN durante os laboratórios deste módulo.Para obter mais informações sobre como configurar políticas de VPN IPsec, consulte o documento complementar no 
conteúdo da lição deste módulo.
Engenheiro de firewall XG - 209
V
P
N
 
s
i
t
e
 
a
 
s
i
t
e
Assistente de configuração de VPN IPsec
• Nome
• Tipo de conexão
• Tipo de Autenticação
• Rede local
• Rede remota
• Xauth
• Sumário
O XG Firewall inclui um Assistente de conexão VPN que o guiará passo a passo na configuração, exibindo 
informações adicionais sobre os parâmetros de configuração no lado esquerdo da janela.
Engenheiro de firewall XG - 210
V
P
N
 
s
i
t
e
 
a
 
s
i
t
e
Demonstração: Assistente de VPN
Engenheiro de firewall XG - 211
V
P
N
 
s
i
t
e
 
a
 
s
i
t
e
Clique no bruxo botão para iniciarClique no bruxo botão para iniciarClique no bruxo botão para iniciar
Engenheiro de firewall XG - 213
Digite um nome para a VPN
Engenheiro de firewall XG - 214
Como opção, você também pode adicionar uma descrição. Começar Como opção, você também pode adicionar uma descrição. Começar 
continuar
Engenheiro de firewall XG - 215
O IPsec pode ser usado para criar acesso remoto, conexões site a site e host a host. Neste exemplo, selecione 
Site para site
Engenheiro de firewall XG - 216
As opções padrão foram selecionadas abaixo da imagem, incluindo a diretiva IPsec; isso será alterado se você selecionar Sede ou 
Filial. Neste exemplo, usaremos as configurações padrão Clique no botão azul Próximo para continuarFilial. Neste exemplo, usaremos as configurações padrão Clique no botão azul Próximo para continuarFilial. Neste exemplo, usaremos as configurações padrão Clique no botão azul Próximo para continuar
Engenheiro de firewall XG - 217
As VPNs IPsec suportam três métodos de autenticação, chave pré-compartilhada, certificados digitais e chave RSA. Neste exemplo, usaremos a 
chave pré-compartilhada, portanto, é necessário inserir uma chave de confirmação
Engenheiro de firewall XG - 218
Clique no azul Próximo para continuarClique no azul Próximo para continuarClique no azul Próximo para continuar
Engenheiro de firewall XG - 219
Selecione a interface WAN que o XG Firewall usará para estabelecer a VPN
Engenheiro de firewall XG - 220
Selecione as redes que estarão acessíveis neste lado da VPN
Engenheiro de firewall XG - 221
Cada lado de uma VPN precisa de um ID para se identificar; pode ser um endereço IP, nome DNS, endereço de email ou um 
Nome do certificado X.509
Engenheiro de firewall XG - 222
Clique no azul Próximo para continuarClique no azul Próximo para continuarClique no azul Próximo para continuar
Engenheiro de firewall XG - 223
Nos locais em que a filial possui um endereço IP DHCP, um curinga pode ser usado para que a matriz aceite conexões de qualquer 
endereço IP
Neste exemplo, forneceremos o endereço IP do lado remoto da VPN
Engenheiro de firewall XG - 224
Selecione as redes que estarão disponíveis na VPN
Engenheiro de firewall XG - 225
Cada lado de uma VPN precisa de um ID para se identificar; pode ser um endereço IP, nome DNS, endereço de email ou um 
Nome do certificado X.509
Engenheiro de firewall XG - 226
Clique no azul Próximo para continuarClique no azul Próximo para continuarClique no azul Próximo para continuar
Engenheiro de firewall XG - 227
Como se trata de uma VPN site a site, não precisamos configurar a autenticação do usuário Clique no botão azul Próximo Como se trata de uma VPN site a site, não precisamos configurar a autenticação do usuário Clique no botão azul Próximo 
para continuar
Engenheiro de firewall XG - 228
Revise o resumo das informações e clique em TerminarRevise o resumo das informações e clique em Terminar
Engenheiro de firewall XG - 229
Clique no Ativo ícone de indicador para ativar a VPNClique no Ativo ícone de indicador para ativar a VPNClique no Ativo ícone de indicador para ativar a VPN
Engenheiro de firewall XG - 230
Clique Está bemClique Está bem
Engenheiro de firewall XG - 231
Para VPNs de filiais que iniciam a conexão, clique no ícone Conexão ícone indicador para estabelecer a VPNPara VPNs de filiais que iniciam a conexão, clique no ícone Conexão ícone indicador para estabelecer a VPNPara VPNs de filiais que iniciam a conexão, clique no ícone Conexão ícone indicador para estabelecer a VPN
Engenheiro de firewall XG - 232
Como você pode ver nos ícones indicadores verdes, a VPN agora está conectada
Engenheiro de firewall XG - 233
Como você pode ver nos ícones indicadores verdes, a VPN agora está conectada
Engenheiro de firewall XG - 234
Configuração de VPN SSL
Selecione local e remoto 
redes
1 
Download da configuração 
Arquivo
2
Carregar arquivo de configuração
3
As VPNs site a site SSL são implementadas usando uma configuração de cliente / servidor em que cada extremidade do túnel tem 
uma função distinta. O cliente final sempre iniciará a conexão com o servidor, e o servidor sempre responderá às solicitações do 
cliente. Isso é diferente do IPsec, onde normalmente uma das extremidades pode iniciar uma conexão.
A configuração é feita em três etapas.
1. No servidor, crie uma conexão selecionando as redes que serão locais e remotas para o servidor
2. Faça o download do arquivo de configuração
3. No site do cliente, crie uma conexão carregando o arquivo de configuração
Você trabalhará na configuração das VPNs site a site durante os laboratórios deste módulo. 
Engenheiro de firewall XG - 235
V
P
N
 
s
i
t
e
 
a
 
s
i
t
e
Dispositivo Ethernet remoto (RED)
Engenheiro de firewall XG - 236
D
i
s
p
o
s
i
t
i
v
o
 
E
t
h
e
r
n
e
t
 
r
e
m
o
t
o
 
(
R
E
D
)
Visão geral do RED
• Conexão plug and play para escritórios remotos
o Nenhuma configuração ou conhecimento para instalar no localo Nenhuma configuração ou conhecimento para instalar no local
o Cria túnel da camada 2 para o firewall Sophos XGo Cria túnel da camada 2 para o firewall Sophos XG
• Requer
o Podero Poder
o Roteador executando DHCPo Roteador executando DHCP
- endereço de IP
- Servidor dns
- Gateway padrão
Porta Usado para
TCP 3400 Controlar a conexão usando SSL e autenticado com uma verificação mútua 
de certificado X.509
UDP 3400 (RED10, descontinuado) UDP 
3410 (RED50 e RED15)
Tráfego encapsulado usando criptografia AES-256 e autenticação 
SHA1HMAC
Os dispositivos Sophos Remote Ethernet ou RED oferecem uma maneira simples de conectar sites remotos a uma rede central com 
segurança, criando um túnel de camada 2. A instalação do dispositivo RED no local não requer configuração ou conhecimento técnico. 
As conexões RED usam um pequeno dispositivo RED de hardware no local remoto e toda a configuração desse dispositivo é feita 
localmente no firewall XG.
No local remoto, o RED exige:
• Uma conexão de energia
• Uma conexão de rede
• Um servidor DHCP para fornecer um endereço IP, servidor DNS e gateway padrão
• Porta 3400 TCP
• Porta 3400 UDP (RED 10)
• Porta 3410 UDP (RED 50 e RED 15)
Engenheiro de firewall XG - 237
D
i
s
p
o
s
i
t
i
v
o
 
E
t
h
e
r
n
e
t
 
r
e
m
o
t
o
 
(
R
E
D
)
Modelos RED
RED 10 
(descontinuado)
VERMELHO 15 VERMELHO 15 W RED 50
Máximo de usuários Irrestrito Irrestrito Irrestrito Irrestrito
Rendimento máximo 30 Mbit / s 90 Mbit / s 90 Mbit / s 360 Mbit / s
Portas LAN 4 x 10/100 4 x Gbit 4 x Gbit 4 X Gbit
Portas WAN 1 x 10/100 1 x Gbit 1 X Gbit 2 x Gbit
Portas USB 1 1 1 2
Criptografia acelerada por hardware x x x ✓
Configurar VLANs em portas LAN x x x ✓
Compressão de dados ✓ ✓ ✓ ✓
Ponto de acesso sem fio embutido x x ✓ x
O RED 10 cessou a venda em 1 st Novembro de 2015, no entanto, eles ainda podem ser usados ​​com o Sophos XG Firewall.O RED 10 cessou a venda em 1 st Novembro de 2015, no entanto, eles ainda podem ser usados ​​com o Sophos XG Firewall.O RED 10 cessou a venda em 1 st Novembro de 2015, no entanto, eles ainda podem ser usados ​​com o Sophos XG Firewall.
O RED 15 é o substituto atualizado do RED 10, que oferece até três vezes a taxa de transferência e portasde 
gigabit.
O RED 15w possui todos os recursos do RED 15 e também inclui um ponto de acesso sem fio embutido.
O RED 50 possui duas portas WAN que podem ser configuradas para balanceamento de carga e failover, e duas portas USB que podem ser 
usadas para fornecer conectividade de backup usando UMTS (outros modelos RED possuem uma única porta USB). As portas LAN RED 
50s também podem ser configuradas para suportar VLANs.
O número de usuários que podem ser usados ​​com todos os modelos RED é ilimitado, e o modelo selecionado é direcionado pela 
taxa de transferência máxima e outros recursos.
Engenheiro de firewall XG - 238
D
i
s
p
o
s
i
t
i
v
o
 
E
t
h
e
r
n
e
t
 
r
e
m
o
t
o
 
(
R
E
D
)
Serviço de provisionamento RED: 
red.astaro.com
Escritório Central
Filial
Roteador
1. Configure o dispositivo RED
3. Implante o dispositivo RED
4. Receba 
RED local IP 
(DHCP)
Implantação do RED
Firewall XG
7. Estabeleça o túnel da camada 2
O administrador configura o RED no Sophos XG Firewall, definindo seu nome de host resolvível publicamente, endereço IP 
e máscara de rede da interface RED no Firewall e o RED ID - que é uma cadeia de 15 caracteres impressa em um adesivo 
na base do RED .
O Sophos XG Firewall envia a configuração ao servidor de provisionamento baseado em nuvem.
Em seguida, o RED é conectado ao escritório remoto e obtém um endereço IP, servidor DNS e gateway do servidor DHCP 
local.
O RED então se conecta ao servidor de provisionamento com seu ID e o servidor de provisionamento envia de volta a 
configuração necessária para o RED se conectar ao Sophos XG Firewall no escritório central. O servidor de provisionamento não 
é mais usado deste ponto em diante.
Por fim, o RED estabelece um túnel de camada 2 para o Sophos XG Firewall usando as portas TCP 3400 e UDP 3400 ou 3410.
Engenheiro de firewall XG - 239
D
i
s
p
o
s
i
t
i
v
o
 
E
t
h
e
r
n
e
t
 
r
e
m
o
t
o
 
(
R
E
D
)
Servidor DHCP 
GW padrão 
Cliente DHCP
Modos de implantação do RED
Padrão / Unificado Padrão / Split Transparente / Dividido
Tráfego roteado pelo túnel RED Tráfego roteado 
diretamente para a Internet
Servidor DHCP 
GW padrão
Servidor DHCP 
GW padrão
Existem três modos de implantação para o RED:
No modo Padrão / Unificado, a rede remota é gerenciada pelo Sophos XG Firewall, que serve como servidor DHCP e 
gateway padrão para todos os clientes que se conectam através do RED. Tudogateway padrão para todos os clientes que se conectam através do RED. Tudo
o tráfego gerado na rede remota é enviado pelo RED ao Sophos XG Firewall.
No modo Standard / Split, o Sophos XG Firewall ainda gerencia a rede remota, atuando como servidor DHCP e gateway padrão. 
No entanto, nessa configuração, apenas o tráfego para redes definidas é enviado pelo RED para o Sophos XG Firewall, e todo o 
restante tráfego é enviado diretamente para a Internet.
No modo Transparente / Dividido, o Sophos XG Firewall não gerencia a rede remota, mas é um membro dela. O Firewall obtém 
seu endereço IP de um servidor DHCP em execução na rede remota. Somente o tráfego para redes definidas é enviado através 
do RED para o Sophos XG Firewall, e todo o outro tráfego é enviado diretamente para a Internet. Como esse modo de 
implantações não requer nenhum readdressing, é uma maneira fácil de conectar redes após uma aquisição ou similar.
No caso dos modos de implantação Padrão / Dividir e Transparente / Dividir, o XG Firewall não fornece nenhuma filtragem da 
Web ou outra segurança aos clientes na rede remota.
Observe que você ainda precisa criar políticas de segurança para que os computadores conectados à rede 
remota possam interagir com os computadores na rede da central.
Engenheiro de firewall XG - 240
D
i
s
p
o
s
i
t
i
v
o
 
E
t
h
e
r
n
e
t
 
r
e
m
o
t
o
 
(
R
E
D
)
Atividade
Combine o modo de implantação com sua descrição
Padrão / Unificado
Padrão / Split
Transparente / Dividido
O XG Firewall fornece DHCP à rede remota e 
direciona o tráfego para redes selecionadas no 
túnel RED
A interface RED no XG Firewall obtém seu endereço IP 
de um servidor DHCP na rede remota
Todo o tráfego é roteado de volta pelo túnel RED para o XG 
Firewall
Engenheiro de firewall XG - 241
D
i
s
p
o
s
i
t
i
v
o
 
E
t
h
e
r
n
e
t
 
r
e
m
o
t
o
 
(
R
E
D
)
js
Linha
js
Linha
js
Linha
Ativando o RED
• O gerenciamento de RED deve estar ativado em CONFIGURAR> Serviços do sistema> VERMELHOO gerenciamento de RED deve estar ativado em CONFIGURAR> Serviços do sistema> VERMELHO
Os códigos de desbloqueio RED são enviados para 
este endereço de email
Antes que os REDs possam ser adicionados, o gerenciamento de RED deve ser ativado no Sophos XG Firewall no 
CONFIGURAR> Serviços do sistema> VERMELHO.
A ativação do RED no Sophos XG Firewall o registra no serviço de provisionamento.
Você deve incluir um endereço de email válido ao ativar o RED, porque os códigos de desbloqueio dos REDs que você conectar serão 
enviados a ele. Um código de desbloqueio é uma senha que impede que alguém não autorizado conecte seu RED ao firewall do 
Sophos XG. Se você perder um código de desbloqueio, precisará entrar em contato com a Sophos para obter assistência.
Uma vez ativado, há duas configurações adicionais que podem ser definidas:
Você pode forçar os REDs a usar o TLS 1.2, e isso é recomendado para segurança. Forçar o TLS 1.2 é desativado por padrão, pois 
os novos REDs podem não ter uma versão do firmware compatível. Você deve conectar seus REDs e permitir que o firmware deles 
seja atualizado antes de retornar para ativar esta opção.
A desativação do dispositivo impedirá que qualquer RED desconectado do Sophos XG Firewall por mais tempo que a 
duração definida seja capaz de se reconectar. Isso evita que um RED roubado seja conectado a outra rede, 
potencialmente fornecendo acesso não autorizado à sua rede.
Engenheiro de firewall XG - 243
D
i
s
p
o
s
i
t
i
v
o
 
E
t
h
e
r
n
e
t
 
r
e
m
o
t
o
 
(
R
E
D
)
Adicionando uma interface RED
• Os REDs são adicionados como uma interface no Sophos XG Firewall
o CONFIGURAR> Rede> Interfaceso CONFIGURAR> Rede> Interfaces
Os REDs são adicionados como uma interface no Sophos XG Firewall. Isso é feito em CONFIGURAR> Rede> Interfaces.Os REDs são adicionados como uma interface no Sophos XG Firewall. Isso é feito em CONFIGURAR> Rede> Interfaces.
Nos próximos slides, veremos como configurar o RED para os três modos de implantação diferentes.
Engenheiro de firewall XG - 244
D
i
s
p
o
s
i
t
i
v
o
 
E
t
h
e
r
n
e
t
 
r
e
m
o
t
o
 
(
R
E
D
)
Configurando uma interface RED
Do adesivo na base do 
Dispositivo RED Necessário se 
o RED tiver sido 
usado antes do nome 
publicamente resolvível ou 
endereço de IP
Segundo uplink no XG Firewall
(Não disponível para o RED 10)
Modo de implantação
Servidor RED Firewall Cliente 
RED RED Firewall RED 10 RED 15 RED 
15W RED 50
Interface RED WAN 
configuração
Comece selecionando o modelo do RED que você está configurando. O modelo selecionado determina os recursos 
disponíveis.
Digite o ID VERMELHO do adesivo na base do dispositivo. Esta é uma cadeia de 15 caracteres.
Se não for a primeira vez que o RED for conectado a um firewall Sophos XG, será necessário inserir o código de desbloqueio. 
Novos dispositivos não possuem um código de desbloqueio.
Você precisa fornecer o IP público ou o nome do host do Sophos XG Firewall para o RED se conectar. 
Opcionalmente, você pode especificar um segundo endereço IP ou nome de host para todos, exceto o RED10. Essa deve ser uma 
segunda interface no mesmo XG Firewall. Você pode configurar se o segundo IP ou nome do host deve ser usado para failover ou 
balanceamento de carga no RED.
Se você estiver implantando o RED em um cenário em que ele não pode acessar o serviço de provisionamento, você pode optar por configurar 
manualmente o RED por meio de um dispositivo USB. Nesse caso, você faria o download do arquivo de configuração de provisionamento