XG-Firewall[361-475]

Prévia do material em texto

Filtro de aplicação
No subtítulo Filtro de aplicativos, podemos ver que já existem vários filtros de aplicativos predefinidos. Sempre existirá 
um conjunto de filtros Permitir tudo e Negar tudo, no entanto, também incluímos vários filtros úteis para executar ações 
como bloquear aplicativos de alto risco ou aplicativos de rede P2P. Esses filtros podem ser editados ou novos podem 
ser criados.
Para criar um novo filtro, clique no botão Adicionar botão no canto superior direito da tela.Para criar um novo filtro, clique no botão Adicionar botão no canto superior direito da tela.Para criar um novo filtro, clique no botão Adicionar botão no canto superior direito da tela.
Engenheiro de firewall XG - 395
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Novo filtro de aplicativo
Nome e descrição para o novo 
filtro de aplicativo
Selecione um modelo existente 
copiar
Ao criar um novo filtro de aplicativo, primeiro precisamos fornecer um nome e uma descrição ao filtro para identificá-lo.
Em seguida, selecione um modelo existente como ponto de partida para o seu novo filtro. Se você deseja começar com um modelo em 
branco, selecione o Permitir todos modelo, pois não terá aplicativos na lista. Agora clique em Salvar. Isso levará você de volta à lista de branco, selecione o Permitir todos modelo, pois não terá aplicativos na lista. Agora clique em Salvar. Isso levará você de volta à lista de branco, selecione o Permitir todos modelo, pois não terá aplicativos na lista. Agora clique em Salvar. Isso levará você de volta à lista de 
filtros de aplicativos.
Engenheiro de firewall XG - 396
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Configurar um filtro de aplicativo
Na lista de filtros de aplicativos, clique no nome do seu novo filtro de aplicativos ou clique no lápis à direita para começar a 
configurar seu novo filtro. Será semelhante ao criar novo filtro de aplicativo, exceto que, em vez de selecionar um modelo, 
agora vemos todas as regras que foram importadas e um botão para Adicionar aplicativos para esse filtro.agora vemos todas as regras que foram importadas e um botão para Adicionar aplicativos para esse filtro.agora vemos todas as regras que foram importadas e um botão para Adicionar aplicativos para esse filtro.
Para começar a adicionar aplicativos, clique no botão Adicionar botão.Para começar a adicionar aplicativos, clique no botão Adicionar botão.Para começar a adicionar aplicativos, clique no botão Adicionar botão.
Engenheiro de firewall XG - 397
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Regras de política de filtro de aplicativos
Selecione os critérios de filtro no menu 
suspenso ou insira o filtro de texto
Ação a ser tomada e 
quando aplicável
Na caixa Adicionar regras de política de filtro de aplicativos, precisamos selecionar opções de filtro para mostrar apenas os aplicativos que 
gostaríamos de controlar. Para fazer isso, selecione os critérios de filtro, que podem ser uma combinação dos seguintes itens:
• Categoria de aplicação
• Nível de risco de um aplicativo, com base em vários fatores, como quantas explorações existem direcionadas ao aplicativo
• Características do aplicativo, como se o aplicativo usasse largura de banda excessiva ou se poderia ignorar o 
firewall
• Tecnologia, que descreve como o aplicativo é executado no cliente. É baseado em navegador? Ele usa uma 
arquitetura cliente / servidor?
Além disso, você pode aplicar um filtro inteligente baseado em texto.
Esses filtros persistentes são atualizados automaticamente à medida que novos aplicativos são adicionados e que correspondem aos 
critérios selecionados.
Cada regra pode ser configurada para permitir ou negar os aplicativos selecionados e pode ser agendada para estar ativa em horários 
específicos.
Uma vez configurada, uma política de filtro de aplicativo pode ser aplicada a um firewall da mesma maneira que uma política de proteção da 
web.
Engenheiro de firewall XG - 398
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Conexão ao vivo
• A página de conexão ao vivo mostra o tráfego por aplicativo
A página Conexão ao vivo exibe o relatório de conexões ao vivo IPv4 e permite exibir estatísticas em tempo real do 
tráfego de rede.
Você pode usar este relatório para verificar a carga atual da rede de diferentes protocolos, sistemas de computador (na sua 
LAN ou na Internet), conexões ou uma combinação deles, por exemplo, conexões de rede usando um determinado protocolo.
Engenheiro de firewall XG - 399
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Controle de aplicativo sincronizado
Aplicativo comercial 
personalizado
Não reconheço esse tráfego, de 
qual aplicativo é?
Terminal 
gerenciado 
pela Sophos 
Central
Firewall XG Internet
Isto é Aplicativo comercial Isto é Aplicativo comercial 
personalizado e isso é permitidopersonalizado e isso é permitidopersonalizado e isso é permitido
O Controle de Aplicativo Sincronizado é uma inovação na visibilidade da rede. Ele pode identificar, classificar e controlar aplicativos 
anteriormente desconhecidos ativos na rede, utilizando o Synchronized Security para obter informações do Endpoint sobre aplicativos que 
não possuem assinaturas ou estão usando conexões HTTP ou HTTPS genéricas. Isso resolve um problema significativo que afeta o 
controle de aplicativos baseados em assinaturas em todos os firewalls atuais, onde muitos aplicativos estão sendo classificados como 
"desconhecido", "não classificado", "HTTP genérico" ou "SSL", por exemplo.
A Segurança Sincronizada, incluindo o Controle de Aplicativo Sincronizado, agora também é suportada no modo 
Descobrir, para fornecer maior visibilidade sem imposição.
Nota: O Controle de Aplicativo Sincronizado não é suportado em implantações ativo-ativo de alta disponibilidade.Nota: O Controle de Aplicativo Sincronizado não é suportado em implantações ativo-ativo de alta disponibilidade.
Engenheiro de firewall XG - 400
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Controle de aplicativo sincronizado
Para oferecer suporte ao controle de Aplicativo Sincronizado, os computadores devem ser gerenciados pelo Sophos Central e ter o Security 
Heartbeat ativado.
A configuração do Security Heartbeat no XG Firewall agora pode ser encontrada no diretório dedicado Sincronização central item de A configuração do Security Heartbeat no XG Firewall agora pode ser encontrada no diretório dedicado Sincronização central item de A configuração do Security Heartbeat no XG Firewall agora pode ser encontrada no diretório dedicado Sincronização central item de 
menu à esquerda.
Aqui você pode habilitar e desabilitar o Controle de Aplicativo Sincronizado. Isso é ativado por padrão quando você registra 
o XG Firewall no Sophos Central.
Engenheiro de firewall XG - 401
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Controle de aplicativo sincronizado
Um novo widget no Centro de Controle associado ao novo recurso Controle de Aplicativo Sincronizado fornece uma 
indicação rápida de aplicativos não identificados que foram correspondidos.
Engenheiro de firewall XG - 402
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Controle de aplicativo sincronizado
Sempre que possível, o XG Firewall classifica automaticamente o aplicativo e o controla usando as políticas de controle de 
aplicativos existentes.
Engenheiro de firewall XG - 403
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Controle de aplicativo sincronizado
Os administradores também podem atribuir categorias manualmente aos aplicativos descobertos para permitir que a imposição do 
controle de aplicativos bloqueie ou priorize o aplicativo conforme desejado. 
Engenheiro de firewall XG - 404
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Atividade
O Controle de Aplicativo Sincronizado descobriu o aplicativo aria2 e O Controle de Aplicativo Sincronizado descobriu o aplicativo aria2 e O Controle de Aplicativo Sincronizado descobriu o aplicativo aria2 e 
atribuiu-o a uma categoria padrão deSyncAppCtl descoberto .SyncAppCtl descoberto .
Nesta atividade, recategorize este aplicativo como Transferência de arquivo .Nesta atividade, recategorize este aplicativo como Transferência de arquivo .Nesta atividade, recategorize este aplicativo como Transferência de arquivo .
Começar
Engenheiro de firewall XG - 406
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo
Clique na interface para simular as ações necessárias para concluir a atividade.
Engenheiro de firewall XG - 407
Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo
Clique na interface para simular as ações necessárias para concluir a atividade.
Engenheiro de firewall XG - 408
Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo
Clique na interface para simular as ações necessárias para concluir a atividade.
Engenheiro de firewall XG - 409
Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo
Clique na interface para simular as ações necessárias para concluir a atividade.
Engenheiro de firewall XG - 410
Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo
Clique na interface para simular as ações necessárias para concluir a atividade.
Engenheiro de firewall XG - 411
Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo
Clique na interface para simular as ações necessárias para concluir a atividade.
Engenheiro de firewall XG - 412
Corrigir!
Você recategorizou o aplicativo com sucesso aria2 Como Transferência de arquivoVocê recategorizou o aplicativo com sucesso aria2 Como Transferência de arquivoVocê recategorizou o aplicativo com sucesso aria2 Como Transferência de arquivoVocê recategorizou o aplicativo com sucesso aria2 Como Transferência de arquivo
Clique na interface para simular as ações necessárias para concluir a atividade.
Engenheiro de firewall XG - 413
Aplicações na nuvem
OneDrive
Dropbox
OneDrive
Dropbox
O OneDrive é sancionado O 
Dropbox não é sancionado
Identifique os aplicativos em 
nuvem que estão sendo usados
Classificar aplicativos 
em nuvem
Aplicar modelagem de tráfego 
regras
Bloquear usando o aplicativo 
ao controle
O XG Firewall possui uma implementação leve do CASB (Cloud Access Security Broker), que ajuda a identificar comportamentos de risco, 
fornecendo informações sobre quais serviços de nuvem estão sendo usados. Os administradores podem tomar as medidas apropriadas, educando 
os usuários ou implementando políticas de controle de aplicativos ou de modelagem de tráfego para controlar ou eliminar comportamentos 
potenciais de risco ou indesejados.
Por exemplo, se a empresa possui um Office 365 corporativo e usa o OneDrive para armazenamento de arquivos, e um usuário está 
constantemente carregando dados no Dropbox, isso pode ser um sinal vermelho que precisa de mais investigação ou aplicação de políticas. 
Essa prática de usar serviços em nuvem não autorizados é chamada de "TI de sombra", um termo que você frequentemente ouvirá em 
associação ao CASB.
Engenheiro de firewall XG - 414
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Aplicações na nuvem
Mostra o uso de aplicativos por 
classificação
No Centro de Controle, há um widget que fornece um resumo visual do uso de aplicativos em nuvem por classificação. Isso pode 
ser novo, sancionado, não sancionado ou tolerado.
As estatísticas mostram o número de aplicativos em nuvem e a quantidade de dados entrando e saindo.
Clicar no widget leva você para Aplicativos> Aplicativos em nuvem, onde você pode obter informações mais detalhadas.Clicar no widget leva você para Aplicativos> Aplicativos em nuvem, onde você pode obter informações mais detalhadas.Clicar no widget leva você para Aplicativos> Aplicativos em nuvem, onde você pode obter informações mais detalhadas.
Engenheiro de firewall XG - 415
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Aplicações na nuvem
Aqui você pode ver todos os aplicativos em nuvem que foram detectados e filtrá-los por classificação e categoria e 
pode ser classificado por volume de dados ou número de usuários.
Você pode expandir cada aplicativo para ver quais usuários o estão usando e quantos dados foram transferidos.
Engenheiro de firewall XG - 416
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Aplicações na nuvem
Nesta página, você também pode reclassificar o aplicativo ou aplicar uma política de modelagem de tráfego.
Engenheiro de firewall XG - 417
C
o
n
t
r
o
l
e
 
d
e
 
A
p
l
i
c
a
ç
ã
o
Laboratório 6: Proteção da Web e controle de aplicativos
• Conclua as seguintes tarefas em Laboratório 6Conclua as seguintes tarefas em Laboratório 6
▪ Tarefa 6.1: Criar categorias personalizadas da Web e atividades do usuário
▪ Tarefa 6.2: Criar um filtro de conteúdo
▪ Tarefa 6.3: Criar uma política da Web personalizada
▪ Tarefa 6.4: Criar substituições de diretiva da Web
▪ Tarefa 6.5: Criar uma cota de surf para usuários convidados
▪ Tarefa 6.6: Criar uma diretiva de filtro de aplicativos
▪ Tarefa 6.7: Categorizar aplicativos usando o controle sincronizado de aplicativos
▪ Tarefa 6.8: Detectar e categorizar aplicativos em nuvem
• Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa 5.5 do 
Laboratório 5
Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. 
como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria
Conclua as seguintes tarefas em Laboratório 6Conclua as seguintes tarefas em Laboratório 6
• Tarefa 6.1: Criar categorias personalizadas da Web e atividades do usuário
• Tarefa 6.2: Criar um filtro de conteúdo
• Tarefa 6.3: Criar uma política da Web personalizada
• Tarefa 6.4: Criar substituições de diretiva da Web
• Tarefa 6.5: Criar uma cota de surf para usuários convidados
• Tarefa 6.6: Criar uma diretiva de filtro de aplicativos
• Tarefa 6.7: Categorizar aplicativos usando o controle sincronizado de aplicativos
• Tarefa 6.8: Detectar e categorizar aplicativos em nuvem
Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa do Laboratório 5 
5.5
Engenheiro de firewall XG - 419
Ao concluir este curso, agora você poderá executar as ações mostradas aqui. Reserve um momento 
para analisá-las.
Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste curso.
Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.
✓ Configurar diretivas de proteção da Web✓ Configurar diretivas de proteção da Web
✓ Identifique as atividades que podem ser usadas para controlar o tráfego da web✓ Identifique as atividades que podem ser usadas para controlar o tráfego da web
✓ Crie filtros de conteúdo de palavras-chave✓ Crie filtros de conteúdo de palavras-chave✓ Configurar cotas de navegação e tráfego✓ Configurar cotas de navegação e tráfego
✓ Configurar filtros de aplicativos✓ Configurar filtros de aplicativos
✓ Detectar e categorizar aplicativos usando o Synchronized App Control e Cloud Applications✓ Detectar e categorizar aplicativos usando o Synchronized App Control e Cloud Applications
Revisão do módulo
• Ao concluir este curso, agora você deve ser capaz de:
Engenheiro de firewall XG - 420
Olá, este é o curso de treinamento certificado pela Sophos para o Sophos XG Firewall. Este é o Módulo 7: Proteção de Email.
Engenheiro Certificado Sophos
XG Firewall ET80 - Acesso remoto ET809
Março de 2019 Versão: 17.5v1 
Versão do produto: 17.5
© 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de 
qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.
Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste 
documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários.
Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou 
representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a 
qualquer momento sem aviso prévio.
A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon 
Science Park, Abingdon, Oxfordshire, OX14 3YP.
Engenheiro Certificado Sophos
Sophos XG Firewall
Módulo 7: Proteção de email
Versão 17.5
Engenheiro de firewall XG - 423
Proteção de Email
Configuração de Política
Controle de dados e criptografia Gerenciamento de quarentena
Configuração de proteção de email
• Modos de implantação
• Configurações Gerais
• Configurações de retransmissão
• Diretiva SMTP
• Política POP e IMAP
• Política herdada
• Listas de controle de dados
• Criptografia SPX
• Resumo da quarentena
• Portal do Usuário
O Sophos XG Firewall fornece proteção abrangente por email para os protocolos de servidor, SMTP / S e protocolos de 
cliente, POP3 e IMAP. Neste módulo, você aprenderá como configurar e gerenciar emails no XG Firewall e implementar 
recursos de proteção e criptografia de dados.
Engenheiro de firewall XG - 424
Configuração de proteção de email
Engenheiro de firewall XG - 426
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
p
r
o
t
e
ç
ã
o
 
d
e
 
e
m
a
i
l
A proteção de email no XG Firewall pode ser configurada no modo MTA, o que torna o XG Firewall um agente de transferência de 
mensagens completo (MTA), em vez de apenas um proxy transparente. Isso significa que é possível configurar diferentes opções de 
roteamento de email para diferentes domínios.
No modo MTA, o XG Firewall pode enviar emails em spool, armazenando-os antes da entrega. Isso significa que, se o servidor de email estiver 
offline, os emails serão colocados na fila no XG Firewall para entrega.
O XG Firewall também é capaz de executar verificações de validação adicionais nos emails à medida que os recebe, rejeitando 
emails de hosts que enviam argumentos HELO inválidos ou que não possuem entradas DNS reversas e suporta a proteção 
Sandstorm.
Quando no modo MTA, o proxy de email é configurado para digitalizar emails de forma transparente e quando o XG Firewall é configurado 
como um proxy de email explícito.
Nota: O modo MTA não está disponível no XG85 ou 85W.Nota: O modo MTA não está disponível no XG85 ou 85W.
O modo MTA é a configuração padrão para novas implantações, no entanto, os dispositivos atualizados do XG Firewall versão 
15 ou XG85 e XG85W usarão o modo legado.
Modo de implantação SMTP
Modos de implantação Modo MTA Modo herdado
Modos de operação Proxy explícito Proxy transparente Proxy transparente
Portas 25, 587 25 Definido na regra do firewall
Roteamento por domínio sim Não
Carretel de correio sim Não
Registro de e-mail sim Não
Proteção de relé sim Não
Relé autenticado sim Não
Verificações de validação (HELO & RDNS) sim Não
Proteção contra tempestades de areia sim Não
Nota: 
• O modo MTA não está disponível no XG85 ou XG85W
• MTA é a configuração padrão para novas implantações
Engenheiro de firewall XG - 427
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
p
r
o
t
e
ç
ã
o
 
d
e
 
e
m
a
i
l
Configurações Gerais
• Ative o modo de implantação SMTP em PROTEGER> Email> Configurações geraisAtive o modo de implantação SMTP em PROTEGER> Email> Configurações gerais
O modo MTA é ativado por padrão para novas instalações em dispositivos suportados; você pode alternar entre o modo MTA e 
o modo Legado em PROTEGER> Email> Configurações gerais, na seção "Modo de implantação SMTP".o modo Legado em PROTEGER> Email> Configurações gerais, na seção "Modo de implantação SMTP".o modo Legado em PROTEGER> Email> Configurações gerais, na seção "Modo de implantação SMTP".
Com o modo MTA ativado, você notará três novas guias (spool de email, logs de email e configurações de retransmissão), com guias adicionais 
com configurações usadas com menos frequência e movidas para o menu de reticências à direita.
O spool de email fornece o status em tempo real dos emails processados ​​pelo XG Firewall, que podem ser:
• E-mails na fila que foram aceitos
• E-mails que falharam quando o XG Firewall tentou entregá-los
• E-mails do SPX que estão aguardando o destinatário registrar uma senha
• E e-mails congelados que o XG Firewall não conseguiu entregar por três dias
O Log de email fornece uma filtragem fácil dos logs de email processados ​​pelo MTA no XG Firewall. Os emails podem ser 
filtrados por data, domínio do destinatário, resultado (por exemplo, se o email foi entregue ou colocado em quarentena) e o motivo 
da ação (como malware, spam ou proteção de dados).
Engenheiro de firewall XG - 428
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
p
r
o
t
e
ç
ã
o
 
d
e
 
e
m
a
i
l
Configurações Gerais
• Nome do host SMTP
• Tamanho do email
o Tamanho da digitalizaçãoo Tamanho da digitalização
o Ação para e-mails grandes demaiso Ação para e-mails grandes demais
Aceitar: entregue sem digitalizarAceitar: entregue sem digitalizar
Rejeitar: não entregue e notifique o remetenteRejeitar: não entregue e notifique o remetente
Solta: não entregueSolta: não entregue
Vamos dar uma olhada agora em como o Email Protection está configurado. Nas configurações de SMTP ( PROTEGER> Email> Vamos dar uma olhada agora em como o Email Protection está configurado. Nas configurações de SMTP ( PROTEGER> Email> 
Configurações gerais) você pode configurar o nome do host SMTP e ativar a proteção no nível da conexão, incluindo reputação de IP e Configurações gerais) você pode configurar o nome do host SMTP e ativar a proteção no nível da conexão, incluindo reputação de IP e 
proteção contra DoS.
Ao operar no modo MTA, é importante que você configure o Nome do host SMTP que o XG Firewall usa para conversar com outros 
servidores de correio com um nome de host publicamente resolvível. Se você não fizer isso, alguns servidores de email poderão rejeitar os 
emails que estão sendo enviados pelo XG Firewall.
Especifique o tamanho máximo do arquivo (em KB) para digitalização. Os arquivos que excederem esse tamanho recebidos por SMTP / S não 
serão verificados. O tamanho padrão é 1 MB (1024 KB). Especifique 0 para usar o tamanho do arquivo padrão ou configurar a restrição de 
digitalização até 50 MB (51200 KB).
As opções para lidar com e-mails grandes demais são:
• Aceitar: todos os e-mails grandes são encaminhados para o destinatário sem digitalizar
• Rejeitar: todos os e-mails grandes são rejeitados e o remetente é notificado
• Descartar: todos os e-mails grandes são descartados, sem notificar o remetente
Engenheiro de firewall XG - 429
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
p
r
o
t
e
ç
ã
o
 
d
e
 
e
m
a
i
l
Com a reputação de IP ativada, você pode optar por rejeitar os e-mailsenviados por remetentes de spam conhecidos. Ao 
fazer isso durante a transmissão da mensagem, você pode reduzir o processamento exigido pelo Sophos XG Firewall.
Para se proteger contra ataques de negação de serviço (DoS) SMTP, você pode limitar o número de conexões e a taxa de 
e-mails enviados no total e por host.
Configurações Gerais
Pode rejeitar emails de remetentes de spam 
durante a transmissão
Configurar regras para o SMTP DoS 
proteção
Engenheiro de firewall XG - 430
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
p
r
o
t
e
ç
ã
o
 
d
e
 
e
m
a
i
l
As configurações do TLS são usadas para configurar a segurança da conexão entre o XG Firewall e o servidor de email de mesmo nível. 
Quando o servidor de email de mesmo nível oferecer suporte ao TLS, o XG Firewall o utilizará.
A configuração é separada em SMTP, POP e IMAP.
Para ambos, você pode selecionar o certificado a ser usado para a conexão, permitir ou não ao servidor de email ponto usar 
um certificado inválido, por exemplo, um certificado autoassinado e desativar os protocolos TLS herdados.
Nota: enquanto estiver no modo MTA, é recomendável usar o certificado do servidor em vez do certificado da CA selecionado por 
padrão.
Para conexões SMTP, você também pode especificar que uma conexão TLS é obrigatória para redes, hosts e domínios 
específicos.
Para servidores internos, você pode optar por ignorar a negociação TLS.
Configurações Gerais
Engenheiro de firewall XG - 431
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
p
r
o
t
e
ç
ã
o
 
d
e
 
e
m
a
i
l
Existem configurações adicionais ao usar o modo MTA.
Rejeitar HELO inválido ou RDNS ausente: selecione essa opção se desejar rejeitar hosts que enviam argumentos HELO / EHLO inválidos 
ou não possuem entradas RDNS. 
Faça verificações rigorosas do RDNS: selecione esta opção se desejar rejeitar adicionalmente emails de hosts com registros RDNS inválidos. 
Um registro RDNS é inválido se o nome do host encontrado não resolver novamente para o endereço IP original.
Verificar e-mails enviados: ative-o para verificar todo o tráfego de e-mails enviados. O email é colocado em quarentena se for infectado por 
malware ou marcado como Spam.
Fora dessas opções, apenas 'Digitalizar e-mails enviados' é ativado por padrão.
Configurações gerais - Modo MTA
• Verificações adicionais de validação
• Digitalizar email de saída
HELO inválido ou nenhum RDNS
RDNS está presente, mas é inválido
Digitalizar correio de saída para 
spam e vírus
Engenheiro de firewall XG - 432
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
p
r
o
t
e
ç
ã
o
 
d
e
 
e
m
a
i
l
Configurações gerais - Modo MTA
• Configurações do Smarthost
o Retransmissões de email de saídao Retransmissões de email de saída
Host IP ou host FQDN
Smarthosts pode ser usado para melhorar a confiabilidade de sua entrega de email com retransmissões de saída, permitindo rotear email 
por meio de um conjunto alternativo de servidores (um host inteligente), em vez de diretamente para o servidor de destinatários. Perfeito 
em ambientes mais complexos e onde o email não é roteado diretamente pelo gateway Sophos.
Smarthosts pode ser ativado em PROTEGER> Email> Configurações gerais. Um ou mais espertos devem ser selecionados e, se Smarthosts pode ser ativado em PROTEGER> Email> Configurações gerais. Um ou mais espertos devem ser selecionados e, se Smarthosts pode ser ativado em PROTEGER> Email> Configurações gerais. Um ou mais espertos devem ser selecionados e, se 
necessário, a porta pode ser modificada e as credenciais para autenticação fornecidas.
Engenheiro de firewall XG - 433
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
p
r
o
t
e
ç
ã
o
 
d
e
 
e
m
a
i
l
Para poder enviar emails para domínios externos, você precisa configurar quem pode retransmitir emails através do XG Firewall.
Você pode especificar servidores que podem retransmitir emails para a Internet, como um servidor Exchange, na seção 'Retransmissão baseada 
em host'. Por padrão, o XG Firewall bloqueará a retransmissão de todos os hosts. Na maioria dos cenários, a opção 'Qualquer' pode ser deixada 
na seção de retransmissão de bloco e hosts específicos permitidos podem ser adicionados à seção de retransmissão de permissão.
Na seção 'Host upstream', você pode controlar de quais redes ou hosts o XG Firewall aceitará emails de entrada. 
Este pode ser o seu ISP ou uma troca de correio externa.
Por fim, os usuários podem retransmitir emails se autenticarem com o XG Firewall.
Modo MTA - Configurações de retransmissão
0 0
Definir os computadores e redes 
que podem enviar email 
para a internet
Defina os computadores e redes 
que podem enviar 
de entrada email para o XG de entrada email para o XG 
Firewall
Definir os usuários que podem enviar 
email para a Internet 
quando autenticado
Engenheiro de firewall XG - 434
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
p
r
o
t
e
ç
ã
o
 
d
e
 
e
m
a
i
l
Para que o MTA possa aceitar conexões de e-mail recebidas, o serviço 'SMTP Relay' deve ser ativado para 
cada zona da qual a conexão se originará.
Modo MTA - Acesso ao dispositivo
0 0
Ativar retransmissão SMTP para 
cada conexão de entrada de zona 
será originada 
de
Engenheiro de firewall XG - 435
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
p
r
o
t
e
ç
ã
o
 
d
e
 
e
m
a
i
l
Configuração de Política
Engenheiro de firewall XG - 436
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
P
o
l
í
t
i
c
a
Agora que o MTA está configurado, nos próximos slides, veremos como configurar as políticas de email.
Modo MTA - Políticas de Email
• Protocolos do servidor versus protocolos do cliente
o Política padrão apenas para protocolos do clienteo Política padrão apenas para protocolos do cliente
Engenheiro de firewall XG - 437
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
P
o
l
í
t
i
c
a
No modo MTA, as políticas são aplicadas aos domínios, o destinatário ou o remetente. Se o destinatário corresponder, será 
considerado correio de entrada; se o remetente corresponder, será considerado correio de saída; se o remetente e o destinatário 
corresponderem, o destinatário terá precedência. Você precisa adicionar um ou mais domínios à política.
Você pode optar por rotear o email usando um host estático ou um registro MX.
Se você estiver usando um host estático, que é a opção mais comum, poderá selecionar um ou mais servidores.
Configure a ação global para a regra. Na maioria dos casos, será 'Aceitar', opcionalmente com criptografia SPX, mas a política 
pode ser definida para rejeitar email.
Modo MTA - Política de Email SMTP
Adicione o domínio a ser aplicado 
esta política para
Selecione a ação global
Rotear o tráfego por estática 
host ou MX
Selecione o host estático
Engenheiro de firewall XG - 438
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
P
o
l
í
t
i
c
a
Na próxima seção, você configura a proteção contra spam. Você precisa habilitar cada seção da política que deseja 
configurar.
Primeiro, você configura as verificações de spam que deseja ativar.
O SPF é a estrutura de política do remetente, que permite receber servidores de correio para validar que o email foi enviado de um 
endereço IP autorizado usando registros publicados no DNS para o domínio desse remetente.
A ativação da lista cinza pode ajudar a bloquear mais spam no gateway, pois a maioria dos spam e vírus tenta entregar a mensagem apenas 
uma vez. Com a lista cinza ativada, o XG Firewall nega temporariamente a primeira tentativa de entrega de um email, solicitando ao servidor de 
envio que tente novamente. Na próxima tentativa, a mensagem é aceita e verificada como de costume. Se um servidor de correio passar nesse 
teste várias vezes, ele será adicionado automaticamente à lista de permissões, ou o administrador poderá atualizar os registros da lista de 
permissões manualmente ou usar predefinições incorporadas para remetentes comuns.
A diferença entre os serviços RBL premium e padrão é que, com premium, não são esperados falsos positivos e, com 
o padrão, alguns falsos positivos podem ser possíveis.
Em seguida, você pode definir asações a serem tomadas para spam e provável spam. As ações disponíveis são Nenhuma, Avisar, 
Quarentena e Descartar.
O XG Firewall pode verificar se o endereço de email do destinatário é válido usando uma consulta SMTP no servidor de email do 
destinatário. Se o endereço de email estiver incorreto, o email será rejeitado, causando uma mensagem de devolução ao remetente. 
Isso reduz a carga no XG Firewall, pois ele não precisa
Modo MTA - Política de Email SMTP
Selecione as ações [None / Warn 
/ Quarantine / Drop]
Configure o spam 
Verificações
Ativar verificação de destinatário por meio de frase de destaque 
ou Active Directory
Engenheiro de firewall XG - 439
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
P
o
l
í
t
i
c
a
processe o email e fornece remetentes, incluindo clientes e parceiros valiosos, com uma resposta instantânea se eles 
digitarem incorretamente seu endereço de email. Se o endereço de email for válido, a mensagem será processada para 
spam e vírus normalmente.
Engenheiro de firewall XG - 439
Na seção Proteção contra malware, você pode escolher entre usar um único mecanismo antivírus ou uma verificação de mecanismo duplo 
com o Sophos e o Avira. Ao contrário de uma atividade em tempo real, como a navegação na Web, a pequena latência adicional causada 
pelo uso da verificação antivírus dupla é invisível para os usuários finais, mas aumenta a carga de trabalho no dispositivo.
Quando um vírus é detectado, você pode optar por não executar nenhuma ação, soltar a mensagem (padrão) ou quarentena. 
Opcionalmente, você também pode habilitar uma notificação ao remetente e optar por colocar em quarentena conteúdo não digitalizável, 
como anexos criptografados.
O Sandstorm pode ser usado apenas com o Email Protection no modo MTA e está ativado na política SMTP.
Você pode limitar o tamanho dos arquivos enviados ao Sandstorm para análise. O padrão é 10 MB e esse é o valor 
máximo.
Modo MTA - Política de Email SMTP
Antivírus único ou duplo 
verificação do mecanismo
Selecione as ações
Ativar tempestade de areia 
proteção
Engenheiro de firewall XG - 440
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
P
o
l
í
t
i
c
a
A seção Proteção de arquivo permite selecionar os tipos de arquivos que você deseja bloquear em uma lista de seleção; isso preencherá 
automaticamente a Lista Branca MIME com tipos de arquivo. Você pode selecionar tipos de arquivos na Lista Branca MIME, e esses tipos de 
arquivos serão permitidos, todos os outros tipos de arquivos na lista serão bloqueados.
Você também pode configurar para descartar mensagens que excedam um tamanho específico, medido em kilobytes.
Modo MTA - Política de Email SMTP
Engenheiro de firewall XG - 441
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
P
o
l
í
t
i
c
a
A seção Proteção de dados permite selecionar uma lista de controle de dados e aplicar uma ação a emails correspondentes. As 
ações disponíveis são Aceitar, Aceitar com SPX, que também permite selecionar um modelo para usar e Soltar. Além disso, 
você pode optar por notificar o remetente.
Modo MTA - Política de Email SMTP
Engenheiro de firewall XG - 442
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
P
o
l
í
t
i
c
a
Aqui você pode ver a política que configuramos, que mostra quais ações foram configuradas para cada uma 
das seções da política.
Modo MTA - Política de Email SMTP
Engenheiro de firewall XG - 443
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
P
o
l
í
t
i
c
a
A verificação de POP e IMAP possui uma única política de verificação de malware que pode ser editada, mas não pode ser excluída.
Essa política permite selecionar mecanismos antivírus únicos ou duplos ou desativar a verificação de malware.
POP e IMAP - Políticas
• Verificação básica de malware
Engenheiro de firewall XG - 444
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
P
o
l
í
t
i
c
a
As políticas de filtragem de conteúdo POP e IMAP são correspondidas no remetente e no destinatário.
As mensagens podem ser filtradas com base em:
• Se o email foi detectado como spam / provável spam ou parte de um surto de vírus
• A rede de origem ou host do email
• O tamanho da mensagem
• Cabeçalhos de mensagens
• Ou nenhuma filtragem pode ser aplicada, se você deseja aplicar a ação a todas as mensagens
As ações disponíveis para POP e IMAP são para aceitar a mensagem ou adicionar um prefixo à linha de assunto.
POP e IMAP - Políticas
• Correspondência entre remetente 
e destinatário
• Filtro:
o Surto de spam ou víruso Surto de spam ou vírus
o Fonteo Fonte
o Tamanhoo Tamanho
o Cabeçalhoo Cabeçalho
o Nenhumo Nenhum
• Açao
o Aceitaro Aceitar
o Assunto do prefixoo Assunto do prefixo
Engenheiro de firewall XG - 445
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
P
o
l
í
t
i
c
a
Agora, examinaremos as diferenças ao configurar políticas de email no modo legado.
Existem duas diferenças principais:
• A primeira é que as políticas SMTP são divididas em políticas separadas de malware e varredura de conteúdo
• A segunda é que as políticas são configuradas com base no remetente e destinatário
A configuração das regras POP e IMAP é a mesma para o MTA e o modo herdado.
Modo herdado - Políticas de e-mail
Varredura 
separada de malware 
e conteúdo 
políticas
Políticas 
configuradas no 
remetente e 
destinatário
Engenheiro de firewall XG - 446
C
o
n
f
i
g
u
r
a
ç
ã
o
 
d
e
 
P
o
l
í
t
i
c
a
Controle de dados e criptografia
Engenheiro de firewall XG - 447
C
o
n
t
r
o
l
e
 
d
e
 
d
a
d
o
s
 
e
 
c
r
i
p
t
o
g
r
a
f
i
a
Além de verificar o e-mail em busca de malware e spam, o Sophos XG Firewall pode ajudar a impedir que dados confidenciais 
sejam enviados por engano. O Sophos XG Firewall vem com listas de controle de conteúdo predefinidas (CCLs) criadas e mantidas 
pelo SophosLabs, que podem ser usadas para detectar dados confidenciais e sensíveis, incluindo dados médicos e financeiros. As 
CCLs são categorizadas por tipo e região, facilitando a seleção das regras mais relevantes para você ao criar suas próprias 
políticas.
Lista de controle de dados
• Use regras predefinidas
• Filtrar regras por tipo e região
• Configurar em Proteger> Email> Lista de Controle de Dados Configurar em Proteger> Email> Lista de Controle de Dados 
Engenheiro de firewall XG - 448
C
o
n
t
r
o
l
e
 
d
e
 
d
a
d
o
s
 
e
 
c
r
i
p
t
o
g
r
a
f
i
a
O Secure PDF Exchange (SPX) fornece uma maneira fácil de enviar emails criptografados sem a necessidade de trocar chaves ou 
certificados com o destinatário. O email original é convertido em PDF, juntamente com todos os anexos, e depois criptografado.
O SPX suporta criptografia AES de 128 e 256 bits, para que você possa ter certeza de que seus dados estão completamente 
seguros.
Troca segura de PDF (SPX)
• Não requer troca de chaves ou certificados
• Criptografia AES de 128 ou 256 bits
• Modelos personalizáveis
• Fácil configuração
• O conteúdo pode ser verificado antes de ser criptografado
Engenheiro de firewall XG - 449
C
o
n
t
r
o
l
e
 
d
e
 
d
a
d
o
s
 
e
 
c
r
i
p
t
o
g
r
a
f
i
a
Troca segura de PDF (SPX)
o O SPX está selecionado em uma Política de Emailo O SPX está selecionado em uma Política de Email
• Os emails são criptografados quando…
o Criptografia está selecionada no plug-in Sophos Outlooko Criptografia está selecionada no plug-in Sophos Outlook
Há duas maneiras de um email ser criptografado pelo SPX:
1. Primeiro, quando o Sophos XG Firewall detecta o cabeçalho X do X-Sophos-SPX-Encrypt. Isso é adicionado a um email usando 
o plug-in Sophos Outlook. O plug-in pode ser baixado como um MSI no console da Web em CONFIGURAR> Autenticação> o plug-in Sophos Outlook. O plug-in pode ser baixado como um MSI no console da Web em CONFIGURAR> Autenticação> 
Downloads de clientes e também do Portal do usuárioDownloads de clientes e também do Portal do usuário
2. O outro gatilho de criptografia ocorre quando o email corresponde a uma regra de verificação em que um modelo SPX foi 
selecionado
Engenheiro de firewall XG - 450
C
o
n
t
r
o
l
e
 
d
e
 
d
a
d
o
s
 
e
 
c
r
i
p
t
o
g
r
a
f
i
a
Modelos SPX
•Crie modelos SPX no 
o CONFIGURAR> Email> Criptografiao CONFIGURAR> Email> Criptografia
• Define
o Como a senha é definidao Como a senha é definida
o O nível de criptografiao O nível de criptografia
o Modelo de email do destinatárioo Modelo de email do destinatário
Selecione a senha 
tipo requerido
O modelo SPX define como a senha de criptografia será definida, o nível de criptografia a ser usado e o modelo de 
email que será usado.
As opções para definir a senha de criptografia são:
• Especificado pelo remetente, onde o remetente fornece uma senha no campo assunto, que é removida à medida 
que passa pelo firewall
• Senha única gerada para cada email, em que o firewall irá gerar uma nova senha para cada email 
e enviar uma cópia ao remetente do email
• Gerado e armazenado para o destinatário, o que permite ao firewall gerar uma senha e salvá-la para esse destinatário. Uma 
cópia ainda é enviada ao remetente para que ele possa comunicá-la ao destinatário.
• Especificado pelo destinatário. Nesse caso, o destinatário recebe um email de notificação contendo um link que leva ao Portal 
de registro de senhas para definir uma senha. Após o registro, o destinatário pode visualizar o correio criptografado atual e 
qualquer correio criptografado futuro usando a mesma senha deste ou de outros remetentes da mesma organização
Para o remetente especificado e as senhas geradas pelo sistema, o remetente é responsável por comunicar a 
senha ao destinatário. Isso geralmente seria feito por meio de um canal de comunicação separado, por exemplo, 
por SMS ou telefone.
Engenheiro de firewall XG - 451
C
o
n
t
r
o
l
e
 
d
e
 
d
a
d
o
s
 
e
 
c
r
i
p
t
o
g
r
a
f
i
a
Modelos SPX
• Senha especificada pelo remetente
John Kate
1. John envia um email com 
dados confidenciais e especifica 
a senha na linha de assunto
5. Kate recebe a senha 
e descriptografa o email
2. O firewall criptografa o 
email como PDF e o envia 
para o Kate
4. John envia a senha 
por outro modo seguro
3. Kate recebe o email do modelo 
com o correio original como anexo 
PDF criptografado
* * * * * * * *
Agora, examinaremos o fluxo de trabalho das diferentes maneiras em que a senha é definida, começando com o local em que a 
senha é especificada pelo remetente. Em todos esses exemplos, o email será criptografado porque corresponde a uma regra de 
verificação criada no firewall.
1. John envia um email confidencial que corresponderá a uma regra de verificação no firewall que possui um modelo SPX 
selecionado. Ele inclui uma senha na linha de assunto
2. O firewall recebe o email e o converte em PDF, criptografa e depois o anexa a um email de modelo. Este email 
é enviado para Kate e explica como o SPX funciona
3. Kate recebe o email com o PDF criptografado anexado, mas ainda não tem a senha para abri-lo
4. John precisa fornecer a senha ao Kate através de um canal separado e seguro. Pode ser por telefone, via 
SMS ou IM
5. Kate agora pode descriptografar o email usando a senha de John
Engenheiro de firewall XG - 452
C
o
n
t
r
o
l
e
 
d
e
 
d
a
d
o
s
 
e
 
c
r
i
p
t
o
g
r
a
f
i
a
Modelos SPX
• Senha gerada pelo Sophos XG Firewall
John 
Kate
* * * * * * * *
1. John envia um 
email com 
dados confidenciais
2. O Sophos XG Firewall 
cria senha, criptografa o 
email como PDF e o 
envia para o Kate
3. O Sophos XG 
Firewall envia a senha 
ao remetente - John
4. Kate recebe correio modelo 
com correio original como anexo 
PDF criptografado
5. John envia a senha 
por outro modo seguro
6. Kate recebe a senha e 
descriptografa o e-mail
Agora vamos ver o caso em que a senha é gerada pelo Sophos XG Firewall.
1. John envia um email confidencial que corresponderá a uma regra de verificação no firewall que possui um modelo SPX selecionado
2. O firewall recebe o email e o converte em PDF, criptografa e depois o anexa a um email de modelo. Este email 
é enviado para Kate e explica como o SPX funciona
3. O Sophos XG Firewall envia a senha de criptografia ao remetente, neste exemplo que é John
4. Kate recebe o email com o PDF criptografado anexado, mas ainda não tem a senha para abri-lo
5. John precisa fornecer a senha ao Kate através de um canal separado e seguro. Pode ser por telefone, via 
SMS ou IM
6. Kate agora pode descriptografar o email usando a senha de John
Se a opção de gerar a senha uma vez e armazená-la for selecionada, na próxima vez que um email for enviado para Kate, 
ela poderá usar a mesma senha para abri-la, sem que John precise reenviar uma nova senha a cada vez.
Engenheiro de firewall XG - 453
C
o
n
t
r
o
l
e
 
d
e
 
d
a
d
o
s
 
e
 
c
r
i
p
t
o
g
r
a
f
i
a
Modelos SPX
• Senha especificada pelo destinatário
John 
Kate
1. John envia email com 
dados confidenciais
5. Kate recebe e-mail e 
descriptografa usando 
sua senha
2. O Sophos XG Firewall envia 
e-mail de registro ao 
destinatário
3. Kate cria senha 
para criptografar 
mensagens
4. O Sophos XG Firewall 
criptografa o email e o envia 
para o Kate
Finalmente, vamos percorrer o processo quando o destinatário criar sua própria senha.
1. John envia um email confidencial que corresponderá a uma regra de verificação no firewall que possui um modelo SPX selecionado
2. O firewall recebe o email e verifica se o Kate possui uma senha para criptografar o email. Se não houver senha 
para Kate, o firewall envia um e-mail com um link para o portal de registro automático e solicita que ela defina uma 
senha
3. Kate recebe o email e segue o link para o portal de auto-registro onde cria uma senha
4. O XG Firewall criptografa o email com a senha criada por Kate e a envia para ela
5. Kate recebe o email e pode descriptografá-lo usando a senha que havia definido no portal
Na próxima vez que um email for enviado para o Kate, ele será criptografado e enviado para ela usando a mesma senha.
Engenheiro de firewall XG - 454
C
o
n
t
r
o
l
e
 
d
e
 
d
a
d
o
s
 
e
 
c
r
i
p
t
o
g
r
a
f
i
a
Configuração SPX
Nome do host a ser usado no 
URL do portal de resposta
Limitar conexões ao IP de 
origem específico 
endereços
Definir a porta do portal de resposta Por 
quanto tempo o URL de resposta 
estará ativo
Modelo a ser usado quando a 
criptografia é usuário 
iniciado
Com o modelo SPX criado, agora você pode configurar o SPX e começar a usá-lo.
Nas configurações do SPX, você pode selecionar o modelo padrão. Este é o modelo que será usado quando um 
email for criptografado porque o usuário o solicitou com o plug-in do Outlook ou quando o cabeçalho x foi adicionado 
de outra maneira.
Você também pode definir as configurações do portal de resposta. Esses são:
Por quanto tempo o URL de resposta ficará ativo. Depois que o URL expirar, o Resposta O botão no PDF criptografado não Por quanto tempo o URL de resposta ficará ativo. Depois que o URL expirar, o Resposta O botão no PDF criptografado não Por quanto tempo o URL de resposta ficará ativo. Depois que o URL expirar, o Resposta O botão no PDF criptografado não 
funcionará mais.
O nome do host a ser usado para a URL do portal de resposta. Se nenhum nome de host for selecionado aqui, o XG Firewall usará o 
endereço IP da LAN como padrão.
Você pode restringir o acesso ao portal de resposta a apenas uma lista de IPs específicos.
A porta usada para o portal de resposta também pode ser personalizada.
Engenheiro de firewall XG - 455
C
o
n
t
r
o
l
e
 
d
e
 
d
a
d
o
s
 
e
 
c
r
i
p
t
o
g
r
a
f
i
a
Portal de Resposta do SPX
Botão de resposta dentro criptografado 
PDF
HTTPS Porta 8094
O Portal de Resposta do SPX, permite que os destinatários dos emails criptografados com SPX garantam que suas respostas sejam 
seguras, mesmo quando eles não tiverem o SPX ou outro mecanismo de criptografia de email.
Para acessar o portal de respostas, o destinatário clica no botão de resposta no PDF criptografado.
O portal de resposta é baseado na Web e é executado sobre HTTPS na porta 8094. 
Engenheiro de firewall XG - 456
C
o
n
t
r
o
l
e
 
d
e
 
d
a
d
o
s
 
e
 
cr
i
p
t
o
g
r
a
f
i
a
O portal de resposta do SPX é ativado no modelo do SPX, o que significa que ele não precisa ser ativado para todas as pessoas 
que recebem emails do SPX, apenas para aqueles que usam o modelo. Isso seria configurado nas políticas de email.
Opcionalmente, você também pode incluir o corpo da mensagem original na resposta segura, no entanto, recomendamos que você faça isso 
apenas se estiver restringindo o acesso ao portal de respostas seguras a uma lista definida de IPs.
Portal de Resposta do SPX
• Ativar no modelo SPX
• Incluir opcionalmente o corpo da mensagem original
Engenheiro de firewall XG - 457
C
o
n
t
r
o
l
e
 
d
e
 
d
a
d
o
s
 
e
 
c
r
i
p
t
o
g
r
a
f
i
a
Gerenciamento de quarentena
Engenheiro de firewall XG - 458
G
e
r
e
n
c
i
a
m
e
n
t
o
 
d
e
 
q
u
a
r
e
n
t
e
n
a
Além de os administradores poderem gerenciar a quarentena por meio do console da web, existem dois outros métodos que 
permitem aos usuários gerenciar seus próprios itens em quarentena; e-mails de resumo da quarentena e o Portal do usuário.
Vamos examinar primeiro os e-mails de resumo da quarentena.
O email do resumo da quarentena contém uma lista dos emails recém-colocados em quarentena que foram colocados em quarentena desde o 
último resumo. Quando ativado, o firewall pode enviar o resumo da quarentena na frequência selecionada, a cada número definido de horas, 
diariamente em um horário definido ou apenas em dias específicos em um horário definido.
Para cada email no resumo da quarentena, há um link que pode ser usado para liberar o email.
Observe que o resumo da quarentena será criado no idioma usado no WebAdmin.
Digest Emails
• Lista de itens recém-colocados em quarentena
• Link para liberar e-mail
• Ativar / desativar por usuário
• Definir padrões de endereço para 
excluir
Engenheiro de firewall XG - 459
G
e
r
e
n
c
i
a
m
e
n
t
o
 
d
e
 
q
u
a
r
e
n
t
e
n
a
No Portal do usuário, todos os emails em quarentena para esse usuário podem ser visualizados. Os usuários não podem liberar emails 
infectados, pois isso coloca a rede interna em risco.
Os emails em quarentena podem ser filtrados com base no motivo pelo qual foram enviados para a quarentena e existem filtros de texto para 
pesquisa por remetente e assunto.
Os e-mails podem ser liberados individualmente usando o ícone à direita ou a varredura de vários e-mails pode ser selecionada e 
liberada em conjunto.
Quarentena gerenciada pelo usuário
Portal do Usuário
Engenheiro de firewall XG - 460
G
e
r
e
n
c
i
a
m
e
n
t
o
 
d
e
 
q
u
a
r
e
n
t
e
n
a
Os usuários também podem gerenciar uma lista pessoal de permissões e bloqueios de endereços e domínios de email. O email permitido ainda 
será verificado quanto a malware, mas não estará sujeito a verificações de spam.
Listas de permissões e bloqueios gerenciadas pelo usuário
Portal do Usuário
Permitir e bloquear endereços de email e domínios
Engenheiro de firewall XG - 461
G
e
r
e
n
c
i
a
m
e
n
t
o
 
d
e
 
q
u
a
r
e
n
t
e
n
a
Laboratório 7: Proteção de email
• Conclua as seguintes tarefas em Laboratório 7Conclua as seguintes tarefas em Laboratório 7
▪ Tarefa 7.1: Habilitar e configurar resumos de quarentena
▪ Tarefa 7.2: Configurar uma política de Proteção de Email
▪ Tarefa 7.3: Configurar controle de dados e criptografia SPX
▪ Tarefa 7.4: Gerenciamento de quarentena do usuário
• Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa 6.8 do 
Laboratório 6
Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. 
como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria
Conclua as seguintes tarefas em Laboratório 7Conclua as seguintes tarefas em Laboratório 7
• Tarefa 7.1: Habilitar e configurar resumos de quarentena
• Tarefa 7.2: Configurar uma política de Proteção de Email
• Tarefa 7.3: Configurar controle de dados e criptografia SPX
• Tarefa 7.4: Gerenciamento de quarentena do usuário
Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa do Laboratório 6 
6.8
Engenheiro de firewall XG - 463
Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento 
para analisá-las.
Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo.
Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.
Revisão do módulo
• Na conclusão deste módulo, você deve agora ser capaz de:
✓ Explique as diferenças entre os dois modos de implantação do Email Protection✓ Explique as diferenças entre os dois modos de implantação do Email Protection
✓ Definir configurações globais, incluindo configurações de retransmissão✓ Definir configurações globais, incluindo configurações de retransmissão
✓ Configurar políticas SMTP para o modo MTA e o modo herdado✓ Configurar políticas SMTP para o modo MTA e o modo herdado
✓ Configurar políticas para protocolos de clientes✓ Configurar políticas para protocolos de clientes
✓ Crie listas de controle de dados e use-as na política✓ Crie listas de controle de dados e use-as na política
✓ Configurar criptografia usando o SPX✓ Configurar criptografia usando o SPX
✓ Gerenciar a quarentena usando resumos e o Portal do usuário✓ Gerenciar a quarentena usando resumos e o Portal do usuário
Engenheiro de firewall XG - 464
Olá, este é o curso de treinamento certificado pela Sophos para o XG Firewall. Este é o Módulo 8: Proteção sem fio.
Engenheiro Certificado Sophos
Sophos XG Firewall ET80 - Proteção sem fio ET808
Versão de março de 
2019: 17.5v1
Versão do produto: Sophos XG Firewall 17.5
© 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de 
qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.
Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste 
documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários.
Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou 
representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a 
qualquer momento sem aviso prévio.
A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon 
Science Park, Abingdon, Oxfordshire, OX14 3YP.
Engenheiro Certificado Sophos
Sophos XG Firewall
Módulo 8: Proteção sem fio
Versão 17.5
Engenheiro de firewall XG - 467
Proteção sem fio
Redes sem fio de 
demonstração
Visão geral da 
implantação sem fio
Pontos de acesso
• Visão geral da proteção sem fio
• Pontos de acesso
• Configurando redes sem fio
• Modos de segurança
• Implantando pontos de acesso
• Wireless incorporado 
• Implantando a proteção sem fio
• Configurando pontos de acesso
• Criando comprovantes
As soluções de rede sem fio para uso em empresas precisam fornecer um sinal rápido, confiável e ininterrupto para todo o 
escritório. Em um ambiente de escritório, é importante que as redes sem fio ofereçam fortes opções de segurança e possam 
ser facilmente implantadas e gerenciadas centralmente.
Neste módulo, você aprenderá como implantar e gerenciar centralmente os pontos de acesso Sophos no XG Firewall e configurar 
redes sem fio e pontos de acesso.
Engenheiro de firewall XG - 468
Visão geral sem fio
Engenheiro de firewall XG - 470
V
i
s
ã
o
 
g
e
r
a
l
 
s
e
m
 
f
i
o
As redes sem fio gerenciadas pelo Sophos XG Firewall podem fornecer acesso limitado ou total à Internet e aos 
recursos na rede interna da empresa, com a mesma segurança dos computadores que estão se conectando a partir de 
uma conexãode rede física.
Além de poder implantar pontos de acesso sem fio no escritório principal, você também pode implantar e gerenciar pontos 
de acesso sem fio nas filiais por meio de uma conexão RED.
Os hóspedes podem se conectar a uma rede sem fio separada, que pode ser transmitida pelos mesmos pontos de acesso que as 
redes sem fio da empresa interna. As redes de convidados podem fornecer acesso à Internet usando a mesma ou diferentes 
políticas de filtragem da Web que os clientes internos. O Sophos XG Firewall pode proteger as redes internas contra o acesso de 
computadores que se conectam a redes sem fio convidadas, mesmo usando os mesmos pontos de acesso que os dispositivos na 
rede interna.
Visão geral da proteção sem fio
Laptop da empresa conectado à 
empresa sem fio 
rede
Laptop convidado conectado à 
rede de convidados
Laptop da empresa conectado à 
empresa sem fio 
rede
Conexões de rede Acesso ao 
laptop da empresa Acesso ao 
laptop do convidado
Computadores e servidores 
internos conectados ao 
rede
AP55
AP55
Internet
RED15
Firewall XG
Engenheiro de firewall XG - 471
V
i
s
ã
o
 
g
e
r
a
l
 
s
e
m
 
f
i
o
Modelos de ponto de acesso
AP Series
Série APX
802.11ac-wave2
AP15 / AP15c
Rádio duplo 2x2: 2
AP55 / AP55c
Rádio duplo 2x2: 2
AP100 / AP100c
Rádio duplo 3x3: 3
AP100x
Rádio duplo 3x3: 3
APX 120
Rádio duplo 2x2: 2
APX320
Rádio 2x2: 2 Dual 2x2: 
2 Dual 5 GHz
APX530
Rádio duplo 3x3: 3
APX740
Rádio duplo 4x4: 4
Compare pontos de acesso Continuar
• Rádio duplo 2x2: 2
• 2x2: 2 Dual 5GHz
• 8 SSIDs por rádio
• Sites pequenos / 
médios
• Rádio duplo 3x3: 3
• 8 SSIDs por rádio
• Interior
• Sites Médios
• Rádio duplo 4x4: 4
• 8 SSIDs por rádio
• Interior
• Sites grandes
• Rádio duplo 2x2: 2
• 8 SSIDs
• Interior
• Sites pequenos
• Rádio duplo 2x2: 2
• 8 SSIDs por rádio
• Interior
• Sites Médios
• Rádio duplo 3x3: 3
• 8 SSIDs por rádio
• Interior
• Sites grandes
• Rádio duplo 3x3: 3
• 8 SSIDs por rádio
• Exterior
• Sites grandes
• Rádio duplo 2x2: 2
• 8 SSIDs
• Interior
• Sites pequenos
Existem duas séries de pontos de acesso, AP e APX. 
Os modelos de ponto de acesso AP incluem o AP15, 55 e 100, cada um com duas versões. Um que pode ser colocado em 
uma mesa ou montado em uma parede e outro que pode ser montado em uma parede ou teto, indicado com um C no nome 
do modelo. O modelo 100x foi projetado para uso externo.
A série APX de modelos de ponto de acesso oferece suporte ao padrão WLAN 802.11ac Wave 2.0. 
Selecione Compare pontos de acesso para comparar mais especificações técnicas para cada ponto de acesso, como alternativa, clique em Continuar.Selecione Compare pontos de acesso para comparar mais especificações técnicas para cada ponto de acesso, como alternativa, clique em Continuar.Selecione Compare pontos de acesso para comparar mais especificações técnicas para cada ponto de acesso, como alternativa, clique em Continuar.Selecione Compare pontos de acesso para comparar mais especificações técnicas para cada ponto de acesso, como alternativa, clique em Continuar.
Engenheiro de firewall XG - 472
V
i
s
ã
o
 
g
e
r
a
l
 
s
e
m
 
f
i
o
Modelos de ponto de acesso - Série AP
AP 15 / AP 15C AP 55 / AP 55C AP 100 / AP 100C AP 100X
Desdobramento, desenvolvimento SOHO para ambiente interno Indoor Medium Enterprise Empresa de nível interno IP67 Outdoor de nível 
empresarial
Rendimento máximo 300 Mbps 300 Mbps + 867 Gbps 450 Mbps + 1,3 Gbps 450 Mbps + 1,3 Gbps
Vários SSIDs 8 8 por rádio (16 
no total)
8 por rádio (16 
no total)
8 por rádio (16 
no total)
Interfaces LAN 1 x 10/100/1000 Base TX 1 x 10/100/1000 Base TX 1 x 10/100/1000 Base TX 1 x 10/100/1000 Base TX
Padrões de WLAN de suporte 802.11 b / g / n 2,4 GHz
(O AP 15C também suporta 802.11 
ac e 5Ghz)
802.11 b / g / n / ac
2,4 GHz e 5 GHz
802.11 b / g / n / ac
2,4 GHz e 5 GHz
802.11 b / g / n / ac
2,4 GHz e 5 GHz
Power over Ethernet 802.3af 802.3at 802.3at 802.3at
Número de rádios 1 2 2 2
Recursos MIMO 2x2: 2 2x2: 2 3x3: 3 3x3: 3
Continuar
Todos os modelos, exceto os menores AP15s, suportam 802.11 a / b / g / n e ac nas bandas de 2.4Ghz e 5GHz com dois rádios, 
enquanto o AP15 possui um único rádio que suporta 802.11 b / g / n na banda de 2.4GHz. O AP15C suporta 802.11 ac e a 
banda de 5GHz, no entanto, como possui apenas um rádio, ele pode usar apenas 2.4GHz ou 5GHz, não os dois ao mesmo 
tempo.
Os pontos de acesso Sophos podem transmitir até oito SSIDs por rádio, de modo que os modelos AP 15 podem transmitir até 
oito SSIDs e os outros modelos podem transmitir até dezesseis. 
Esta tabela fornece uma comparação dos modelos de acesso.
Engenheiro de firewall XG - 473
V
i
s
ã
o
 
g
e
r
a
l
 
s
e
m
 
f
i
o
Modelos de ponto de acesso - Série APX
APX320 APX530 APX740
Desdobramento, desenvolvimento Interior; montagem em mesa, parede ou teto Interior; montagem em mesa, parede ou teto Interior; montagem em mesa, parede ou teto
Rendimento máximo 300 Mbps + 867 Gbps 450 Mbps + 1,7 Gbps 450 Mbps + 1,7 Gbps
Vários SSIDs 8 por rádio (16 
no total)
8 por rádio (16 
no total)
8 por rádio (16 
no total)
Interfaces LAN 1 x porta serial do console do conector RJ45 1 x 
Ethernet RJ45 10/100/1000 com PoE
1 x porta serial do console do conector RJ45 1 x 
porta Ethernet 10/100/1000 RJ45 1 x Ethernet 
10/100/1000 RJ45 com PoE
1 x porta serial do console do conector RJ45 1 x 
porta Ethernet 10/100/1000 RJ45 1 x Ethernet 
10/100/1000 RJ45 com PoE
Padrões de WLAN de suporte 802.11 a / b / g / n / ac 802.11 a / b / g / n / ac 802.11 a / b / g / n / ac
Power over Ethernet 802.3af 802.3at 802.3at
Número de rádios 1 banda dupla de 2,4 GHz / 5 GHz 1 banda 
única de 5 GHz 1 x baixa energia Bluetooth 
(BLE)
1 banda única de 2,4 GHz 1 banda única de 
5 GHz 1 x baixa energia Bluetooth (BLE)
1 banda única de 2,4 GHz 1 banda única de 
5 GHz 1 x baixa energia Bluetooth (BLE)
Recursos MIMO 
2x2 3x3 4x4
Continuar
Todas as três séries APX são otimizadas para montagem na parede e no teto e são todas para uso interno. 
Esta tabela fornece uma comparação desses modelos.
Engenheiro de firewall XG - 474
V
i
s
ã
o
 
g
e
r
a
l
 
s
e
m
 
f
i
o
Redes sem fio
Engenheiro de firewall XG - 475
R
e
d
e
s
 
s
e
m
 
f
i
o
Redes sem fio
• Criar em PROTEGER> Redes sem fio> Redes sem fioCriar em PROTEGER> Redes sem fio> Redes sem fio
Uma rede sem fio é uma configuração implantada nos pontos de acesso para permitir que os clientes se conectem ao 
ambiente sem fio.
Pode haver algumas redes sem fio no XG que foram criadas como parte da configuração do dispositivo. Eles podem ser usados, 
modificados ou excluídos, dependendo de suas necessidades.
Para criar uma nova rede sem fio, comece navegando para PROTEGER> Redes sem fio> Redes sem fio e clique Para criar uma nova rede sem fio, comece navegando para PROTEGER> Redes sem fio> Redes sem fio e clique Para criar uma nova rede sem fio, comece navegando para PROTEGER> Redes sem fio> Redes sem fio e clique 
no Adicionar botão no canto superior direito.no Adicionar botão no canto superior direito.no Adicionar botão no canto superior direito.
Engenheiro de firewall XG - 476
R
e
d
e
s
 
s
e
m
 
f
i
o
Configuração de rede sem fio
Nome e descrição Não 
visível ao público
Nome publicamente 
visível do SSID
WEP Aberto WPA 
Pessoal / Empresa WPA2 
Pessoal / Empresa
Ponte de zona separada 
para AP LAN Bridge para 
VLAN
Zona de tráfego
Sub-rede para a rede sem fio
Comece digitando um nome para a rede sem fio e, opcionalmente, uma descrição. O nome e a descrição são vistos apenas pelos 
usuários que têm acesso ao console de administração.
Digite o SSID para a rede sem fio. Esse é o nome da rede sem fio que é visível publicamente. É usado para identificar 
a rede para os usuários que irão conectar seus dispositivos.
O Modo de segurança define o tipo de criptografia a ser usado. Os modos suportados são WPA2, WPA e WEP. As práticas 
recomendadas nos orientam a usar o WPA2sobre qualquer outro tipo de criptografia, e o WEP deve ser evitado, a menos que os 
clientes não suportem qualquer forma de WPA.
O tráfego do cliente pode ser tratado de três maneiras:
• Encaminhado para o Sophos XG Firewall usando uma zona separada para isolá-lo da rede interna
• Roteado para a mesma rede à qual o ponto de acesso está conectado (ponte para a LAN do AP)
• Encaminhado para uma VLAN específica
Isso será abordado com mais detalhes nos slides a seguir.
Selecione a zona para a nova rede sem fio. A zona padrão será WiFi, mas pode ser configurada para qualquer 
zona criada.
Por fim, atribua à nova rede sem fio um intervalo de IP. Observe que, dependendo da opção Tráfego do cliente selecionada, as 
últimas opções podem não ser necessárias. Por exemplo, se Bridge to VLAN estiver selecionado, em vez de Zone e IP Address, 
ele solicitará o ID da VLAN para o qual fazer a ponte.
Engenheiro de firewall XG - 477
R
e
d
e
s
 
s
e
m
 
f
i
o
Configuração de rede sem fio
AES 
TKIP
2,4 GHz 5 
GHz
Ative e desative o wireless em 
certas vezes
Se os clientes podem se ver
SSID não é transmitido
Lista de permissões e lista negra de endereços MAC
Nas configurações avançadas de uma configuração de rede sem fio, várias configurações opcionais podem ser modificadas.
Para os modos de segurança WPA ou WPA2, podemos selecionar o tipo de criptografia que gostaríamos de usar entre o 
cliente e o ponto de acesso. Pode ser o AES, que é o mais seguro, ou o TKIP ou um modo compatível que suporte o AES e o 
TKIP.
A configuração Frequency Band permite controlar quais rádios estão ativados no ponto de acesso. As opções incluem ativar o 
rádio de 2,4 GHz, o rádio de 5 GHz ou ambos os rádios simultaneamente.
O acesso baseado em tempo permite que um administrador ligue e desligue a rede sem fio configurando uma programação para 
uso. Isso permite que os administradores limitem o uso da rede sem fio, por exemplo, apenas ao horário comercial, para garantir 
que usuários não autorizados não tentem se conectar após o término do dia útil.
O isolamento do cliente permite que os clientes conectados à rede sem fio não possam interagir entre si. Isso é útil 
nas redes de convidados, pois evita que usuários potencialmente mal-intencionados da rede de convidados interajam 
com outros usuários.
A opção Ocultar SSID permite que o SSID da rede sem fio não seja transmitido ao público e, portanto, alguém 
precisaria conhecer o SSID para ingressar na rede.
A filtragem de MAC tem duas opções disponíveis. Esses são:
• Restringindo o acesso a uma lista específica de endereços MAC permitidos
• Bloqueando o acesso a uma lista específica de endereços MAC
Ao usar a filtragem MAC como uma medida de segurança adicional, um administrador pode ajudar a proteger seus 
Engenheiro de firewall XG - 478
R
e
d
e
s
 
s
e
m
 
f
i
o
rede sem fio, permitindo apenas uma determinada lista de usuários ou bloqueando endereços MAC maliciosos 
conhecidos.
Engenheiro de firewall XG - 478
A transição rápida do BSS (conjunto de serviços básicos) permite que a negociação principal e a solicitação de recursos sem fio 
ocorram simultaneamente, a fim de permitir transferências rápidas e seguras entre as estações base, para fornecer conectividade 
perfeita para dispositivos sem fio à medida que eles se movimentam. Isso é suportado apenas nas redes WPA2 Personal e Enterprise. 
Os clientes também devem apoiar
802.11r também.
Para ativar a transição rápida, use a opção nas configurações avançadas da configuração de rede sem fio.
Os pontos de acesso anunciarão suporte para WPA-PSK / Enterprise e FT-PSK / Enterprise, para que eles possam realizar 
roaming normal para clientes que não são capazes de transição rápida.
Transição BSS rápida
• IEEE 802.11r
o Também conhecida como Fast BSS Transition (FT)o Também conhecida como Fast BSS Transition (FT)
• Suporte para redes WPA2 (PSK e Enterprise)
• Habilitado em configurações avançadas de rede sem fio
• Os pontos de acesso anunciam suporte para WPA-PSK / Enterprise e FTPSK / Enterprise
• O cliente deve ser compatível com IEEE 802.11r
o Caso contrário, o roaming normal é realizadoo Caso contrário, o roaming normal é realizado
Engenheiro de firewall XG - 479
R
e
d
e
s
 
s
e
m
 
f
i
o
Modos de segurança: Bridge para AP LAN
Gestão
Tráfego
Clientes 
sem fio
Interruptor
Ponto de acesso
Rede local
Firewall XG
Tráfego
Internet
Vamos agora dar uma olhada nos diferentes modos de segurança disponíveis na configuração de rede sem fio do XG 
Firewall.
Começamos com Ponte para AP LAN.Começamos com Ponte para AP LAN.
A configuração Bridge to APLAN é usada quando o tráfego precisa ser roteado para a rede à qual o ponto de acesso está 
diretamente conectado. Com o Bridge to AP LAN, o tráfego nunca é enviado para o XG Firewall pelo ponto de acesso; em vez 
disso, simplesmente pega o tráfego e o lança diretamente na LAN na qual está conectado. O XG Firewall é usado apenas para o 
gerenciamento do ponto de acesso e para coletar informações de log do ponto de acesso.
Engenheiro de firewall XG - 480
T
r
a
f
f
i
c
 
T
r
a
f
f
i
c
R
e
d
e
s
 
s
e
m
 
f
i
o
 
d
e
 
t
r
á
f
e
g
o
Modos de segurança: Bridge to VLAN
Tráfego de gerenciamento da VLAN Y
Tráfego marcado
Switch 
gerenciado
Tráfego de visitantes da VLAN Z
Porta do tronco
Clientes 
sem fio
Ponto de acesso
Rede local VLAN X
Internet do 
firewall XG
Proximo é Ponte para VLAN.Proximo é Ponte para VLAN.
Em uma configuração de Bridge to VLAN, o tráfego sem fio é marcado pelo ponto de acesso, permitindo que os switches 
upstream, ou o XG Firewall, identifiquem que o tráfego está associado a uma VLAN específica. Isso permite que a rede sem 
fio estenda essa VLAN sem fio.
O ponto de acesso deve estar conectado a um tronco ou porta híbrida no switch para poder ler os tags VLAN e 
rotear o tráfego corretamente.
Novamente, o XG Firewall ainda se comunica com o ponto de acesso para gerenciamento e coleta de log, mas pode não estar 
necessariamente envolvido no roteamento do tráfego.
Observe que, para transmitir uma ponte para a rede sem fio da VLAN, o ponto de acesso deve ser configurado para usar uma VLAN para 
gerenciamento de tráfego. As opções de ponte para VLAN só ficam disponíveis depois que você define uma VLAN para gerenciamento.
Engenheiro de firewall XG - 481
T
r
á
f
e
g
o
 
V
L
A
N
 
X
T
r
á
f
e
g
o
 
V
A
L
N
 
Z
 
C
o
n
v
i
d
a
d
o
 
T
r
á
f
e
g
o
R
e
d
e
s
 
s
e
m
 
f
i
o
Modos de segurança: Zona separada
Gerenciamento 
bloqueado pelo firewall 
regra
VXLAN
Clientes 
sem fio
Interruptor
Ponto de acesso
Rede local no eth5
Internet do 
firewall XG
Por fim, temos o Zona separada configuração.Por fim, temos o Zona separada configuração.Por fim, temos o Zona separada configuração.
A zona separada permite que um administrador segmente o tráfego sem fio sem usar uma VLAN, o que geralmente é muito útil em 
ambientes menores que podem não usar comutadores gerenciados ou ter um ambiente de rede complexo, mas que ainda desejam 
proteger o tráfego sem fio, por exemplo, para acesso de convidados. Com uma configuração de zona separada, todo o tráfego é 
alimentado em um túnel VXLAN por uma interface sem fio no XG Firewall. A partir daí, o XG Firewall o tratará como qualquer outro 
tráfego proveniente de uma interface. Por padrão, a interface é chamada wlan <NÚMERO>. Esse tráfego deve ser roteado para 
qualquer rede permitida, interna ou externamente, e é necessário criar regras para permitir esse tráfego.
Ao configurar uma zona separada, algumas etapas adicionais que você pode precisar executar incluem:
• Crie um servidor DHCP para a rede sem fio nessa interface
• Adicione a interface às redes permitidas para DNS, se for uma rede convidada
• Crie regras de firewall e NAT que incluem proteção da Web, políticas de IPS e quaisquer outros módulos de segurança para 
proteger os usuários
Engenheiro de firewall XG - 482
T
r
á
f
e
g
o
 
Re
d
e
s
 
s
e
m
 
f
i
o
Atividade
Combine o modo de segurança com sua descrição
Ponte para LAN AP
Ponte para VLAN
Zona separada
Cria uma VXLAN entre o ponto de acesso e uma 
interface sem fio no XG Firewall
O tráfego é roteado para a rede à qual o ponto de 
acesso está conectado
O tráfego é roteado para uma VLAN específica pelo primeiro 
dispositivo encontrado que pode rotear o tráfego da VLAN
Engenheiro de firewall XG - 483
R
e
d
e
s
 
s
e
m
 
f
i
o
Atividade
A resposta correta é mostrada abaixo
Cria uma VXLAN entre o ponto de acesso e uma 
interface sem fio no XG Firewall
O tráfego é roteado para a rede à qual o ponto de 
acesso está conectado
O tráfego é roteado para uma VLAN específica pelo primeiro 
dispositivo encontrado que pode rotear o tráfego da VLAN
Ponte para LAN AP
Ponte para a zona 
separada da VLAN
Engenheiro de firewall XG - 484
R
e
d
e
s
 
s
e
m
 
f
i
o
Desdobramento, desenvolvimento
Engenheiro de firewall XG - 485
D
e
s
d
o
b
r
a
m
e
n
t
o
,
 
d
e
s
e
n
v
o
l
v
i
m
e
n
t
o
Desdobramento, desenvolvimento
• O ponto de acesso obtém um endereço IP e um gateway de um servidor DHCP
• O ponto de acesso tenta conectar-se ao 1.2.3.4 (o IP mágico)
• O Sophos XG Firewall redireciona os pacotes destinados ao 1.2.3.4 para si próprio
o O IP mágico pode ser definido usando uma opção DHCP especialo O IP mágico pode ser definido usando uma opção DHCP especial
- OPTION_IP, OxEA, / * wireless-security-magic-ip * /
- Código da opção 234
- O Sophos XG Firewall incluirá seu próprio IP como o IP mágico em sua própria configuração DHCP
Endereço IP e gateway DHCP
Conecte-se ao 1.2.3.4
Intercepte e responda
Ponto de acessoFirewall XG
Para fins de solução de problemas, é muito útil entender como o firewall XG encontra e registra pontos de acesso 
para uso com a Proteção Sem Fio.
Quando um ponto de acesso é conectado à rede e obtém um endereço IP de um servidor DHCP, o AP tenta se conectar ao XG 
Firewall usando o endereço 'IP mágico' de 1.2.3.4, que é um endereço de Internet válido. Quando a Segurança sem fio está ativada, 
o Sophos XG Firewall redireciona todos os pacotes destinados ao endereço 1.2.3.4 para si mesmo e responde de volta ao ponto de 
acesso que enviou a solicitação.
Se o firewall XG não estiver no caminho para a Internet, por exemplo, ele não é o gateway padrão da rede, uma opção DHCP 
especial para selecionar o Sophos XG Firewall de destino:
{OPTION_IP, 0xEA}, / * wireless-security-magic-ip * / 
pode ser usado. Por padrão, o XG Firewall configurará e passará essa opção se estiver configurado como um servidor DHCP para a 
rede.
Quando um AP Sophos está conectado à rede, o AP usa difusões de solicitação DHCP. O ponto de acesso que atua como um cliente 
DHCP usa uma lista de solicitações de parâmetros em sua mensagem DHCP Discover que solicita determinados parâmetros do 
servidor DHCP. Se o servidor DHCP fornecer o parâmetro especial, código 234, wireless-security-magic-ip, ele será usado como o 
endereço IP ao qual se conectar ao iniciar a conexão de controle.
Para mais informações, consulte KBA 119131:
http://www.sophos.com/en-us/support/knowledgebase/119131.aspx
Engenheiro de firewall XG - 486
D
e
s
d
o
b
r
a
m
e
n
t
o
,
 
d
e
s
e
n
v
o
l
v
i
m
e
n
t
o
Desdobramento, desenvolvimento
1
• Conecte o ponto de acesso a uma rede 
atrás do XG Firewall
2
• Navegar para: PROTEGER> Sem Navegar para: PROTEGER> Sem 
fio> Pontos de acesso
3
• Aceite o ponto de acesso pendente
4
• Veja o status para garantir que ele esteja 
conectado
Para conectar um ponto de acesso ao Sophos XG Firewall, primeiro conecte fisicamente o ponto de acesso a uma rede conectada 
ao firewall. O ponto de acesso descobrirá o Sophos XG Firewall depois de obter um endereço DHCP. Depois disso, ele será 
exibido como um Ponto de acesso pendente dentro
PROTEGER> Sem fio> Pontos de acesso. Após aceitar o ponto de acesso, selecionando as caixas de seleção e clicando no PROTEGER> Sem fio> Pontos de acesso. Após aceitar o ponto de acesso, selecionando as caixas de seleção e clicando no 
botão Aceitar, ele passará de um ponto de acesso pendente para um ponto de acesso ativo.
Observe que o ponto de acesso pode ficar offline após ser aceito. Isso é normal, pois ele pode executar uma atualização de 
firmware diretamente após ser aceito, a fim de corresponder ao firmware do firewall. Isso normalmente leva entre 5 a 10 minutos.
Engenheiro de firewall XG - 487
D
e
s
d
o
b
r
a
m
e
n
t
o
,
 
d
e
s
e
n
v
o
l
v
i
m
e
n
t
o
Wireless incorporado
• Como a conexão sem fio integrada difere dos pontos de acesso
o Não se conecta através de uma interface de redeo Não se conecta através de uma interface de rede
o Aparece como dispositivo localo Aparece como dispositivo local
o Suporta 2.4Ghz ou 5Ghz com um único rádioo Suporta 2.4Ghz ou 5Ghz com um único rádioo Suporta 2.4Ghz ou 5Ghz com um único rádioo Suporta 2.4Ghz ou 5Ghz com um único rádio
XG 85w XG 105w XG 115w XG 125w XG 135w
Desdobramento, desenvolvimento 
Varejo / SOHO 
Desktop
Escritório 
pequeno
Escritório 
pequeno
Filial pequena
Área de Trabalho
Filial crescente
Área de Trabalho
Taxa de transferência sem fio Até 300 Mbps Até 450 Mbps Até 450 Mbps Até 1,3 Gbps Até 1,3 Gbps
Vários SSIDs 8 8 8 8 8
Portas 4 portas de cobre da GE 4 portas de cobre da GE 4 portas de cobre da GE 8 portas de cobre da GE 8 portas de cobre da GE
WLAN suportada 
Padrões
802.11a / b / g / n 
2,4 GHz / 5 GHz
802.11a / b / g / n / ac 
2,4 GHz / 5 GHz
Número de rádios 1 1 1 1 1
Recursos MIMO 2x2: 2 3x3: 3 3x3: 3 3x3: 3 3x3: 3
A Sophos possui uma variedade de cinco dispositivos que incluem a conexão sem fio integrada, que fornece a mesma funcionalidade que o 
uso de um ponto de acesso Sophos sem a necessidade de hardware extra. Ao contrário de outros firewalls com conexão sem fio integrada, no 
entanto, a cobertura pode ser estendida conectando outros pontos de acesso Sophos, além de estender a cobertura sem fio.
Todos os aparelhos com conexão sem fio integrada:
• Possui três antenas externas que suportam 3x3 MIMO (Multiple In, Multiple Out), exceto o XG 85w, que 
possui 2 antenas, suportando 2x2 MIMO
• Suporta frequências de 2,4 Ghz e 5 Ghz, no entanto, como eles têm apenas um rádio, podem usar apenas uma 
dessas frequências por vez
O XG 85w suporta 802.11a / b / g / n até 300 Mbps, o XG 105w e XG 115w suportam até 450 Mbps, e o XG 
125w e XG 135w suportam até 1,3 Gbps
O XG 125w e o XG 135w também suportam 802.11ac na frequência de 5 Ghz até 1,3 Gbps. Isso poderá 
voltar a usar o 802.11n para clientes que não suportam o padrão 'ac'.
Se o dispositivo sem fio embutido não puder cobrir todo o escritório, ele poderá ser estendido conectando pontos de acesso Sophos 
adicionais e usando-os da mesma forma que faria em dispositivos que não possuem dispositivos sem fio embutidos.
Não há diferenças significativas entre o uso do ponto de acesso sem fio e Sophos embutido. Os principais itens a serem 
observados são:
• Como a rede sem fio integrada faz parte do hardware e não está conectada através da rede, você não 
precisa adicionar nenhuma rede às 'interfaces permitidas'
Engenheiro de firewall XG - 488
D
e
s
d
o
b
r
a
m
e
n
t
o
,
 
d
e
s
e
n
v
o
l
v
i
m
e
n
t
o
• O wireless incorporado aparecerá como um 'dispositivo WiFi local' na lista de pontos de acesso. Não pode ser 
excluído desta lista e sempre estará ativo
Engenheiro de firewall XG - 488
Ao trabalhar com a rede sem fio integrada em um XG Firewall, não é necessário aceitar o ponto de acesso interno. É um 
dispositivo local que está sempre ativo, desde que o recurso de proteção sem fio esteja ativo no dispositivo. É chamado 
LocalWifi0 e o nome não pode ser modificado.
Ponto de acesso incorporado
• Dispositivo local
• Sempre ativo, não precisa ser aceito
Engenheiro de firewall XG - 489
D
e
s
d
o
b
r
a
m
e
n
t
o
,
 
d
e
s
e
n
v
o
l
v
i
m
e
n
t
o
Depois de configurar as redes sem fio e implantar os pontos