Baixe o app para aproveitar ainda mais
Prévia do material em texto
Filtro de aplicação No subtítulo Filtro de aplicativos, podemos ver que já existem vários filtros de aplicativos predefinidos. Sempre existirá um conjunto de filtros Permitir tudo e Negar tudo, no entanto, também incluímos vários filtros úteis para executar ações como bloquear aplicativos de alto risco ou aplicativos de rede P2P. Esses filtros podem ser editados ou novos podem ser criados. Para criar um novo filtro, clique no botão Adicionar botão no canto superior direito da tela.Para criar um novo filtro, clique no botão Adicionar botão no canto superior direito da tela.Para criar um novo filtro, clique no botão Adicionar botão no canto superior direito da tela. Engenheiro de firewall XG - 395 C o n t r o l e d e A p l i c a ç ã o Novo filtro de aplicativo Nome e descrição para o novo filtro de aplicativo Selecione um modelo existente copiar Ao criar um novo filtro de aplicativo, primeiro precisamos fornecer um nome e uma descrição ao filtro para identificá-lo. Em seguida, selecione um modelo existente como ponto de partida para o seu novo filtro. Se você deseja começar com um modelo em branco, selecione o Permitir todos modelo, pois não terá aplicativos na lista. Agora clique em Salvar. Isso levará você de volta à lista de branco, selecione o Permitir todos modelo, pois não terá aplicativos na lista. Agora clique em Salvar. Isso levará você de volta à lista de branco, selecione o Permitir todos modelo, pois não terá aplicativos na lista. Agora clique em Salvar. Isso levará você de volta à lista de filtros de aplicativos. Engenheiro de firewall XG - 396 C o n t r o l e d e A p l i c a ç ã o Configurar um filtro de aplicativo Na lista de filtros de aplicativos, clique no nome do seu novo filtro de aplicativos ou clique no lápis à direita para começar a configurar seu novo filtro. Será semelhante ao criar novo filtro de aplicativo, exceto que, em vez de selecionar um modelo, agora vemos todas as regras que foram importadas e um botão para Adicionar aplicativos para esse filtro.agora vemos todas as regras que foram importadas e um botão para Adicionar aplicativos para esse filtro.agora vemos todas as regras que foram importadas e um botão para Adicionar aplicativos para esse filtro. Para começar a adicionar aplicativos, clique no botão Adicionar botão.Para começar a adicionar aplicativos, clique no botão Adicionar botão.Para começar a adicionar aplicativos, clique no botão Adicionar botão. Engenheiro de firewall XG - 397 C o n t r o l e d e A p l i c a ç ã o Regras de política de filtro de aplicativos Selecione os critérios de filtro no menu suspenso ou insira o filtro de texto Ação a ser tomada e quando aplicável Na caixa Adicionar regras de política de filtro de aplicativos, precisamos selecionar opções de filtro para mostrar apenas os aplicativos que gostaríamos de controlar. Para fazer isso, selecione os critérios de filtro, que podem ser uma combinação dos seguintes itens: • Categoria de aplicação • Nível de risco de um aplicativo, com base em vários fatores, como quantas explorações existem direcionadas ao aplicativo • Características do aplicativo, como se o aplicativo usasse largura de banda excessiva ou se poderia ignorar o firewall • Tecnologia, que descreve como o aplicativo é executado no cliente. É baseado em navegador? Ele usa uma arquitetura cliente / servidor? Além disso, você pode aplicar um filtro inteligente baseado em texto. Esses filtros persistentes são atualizados automaticamente à medida que novos aplicativos são adicionados e que correspondem aos critérios selecionados. Cada regra pode ser configurada para permitir ou negar os aplicativos selecionados e pode ser agendada para estar ativa em horários específicos. Uma vez configurada, uma política de filtro de aplicativo pode ser aplicada a um firewall da mesma maneira que uma política de proteção da web. Engenheiro de firewall XG - 398 C o n t r o l e d e A p l i c a ç ã o Conexão ao vivo • A página de conexão ao vivo mostra o tráfego por aplicativo A página Conexão ao vivo exibe o relatório de conexões ao vivo IPv4 e permite exibir estatísticas em tempo real do tráfego de rede. Você pode usar este relatório para verificar a carga atual da rede de diferentes protocolos, sistemas de computador (na sua LAN ou na Internet), conexões ou uma combinação deles, por exemplo, conexões de rede usando um determinado protocolo. Engenheiro de firewall XG - 399 C o n t r o l e d e A p l i c a ç ã o Controle de aplicativo sincronizado Aplicativo comercial personalizado Não reconheço esse tráfego, de qual aplicativo é? Terminal gerenciado pela Sophos Central Firewall XG Internet Isto é Aplicativo comercial Isto é Aplicativo comercial personalizado e isso é permitidopersonalizado e isso é permitidopersonalizado e isso é permitido O Controle de Aplicativo Sincronizado é uma inovação na visibilidade da rede. Ele pode identificar, classificar e controlar aplicativos anteriormente desconhecidos ativos na rede, utilizando o Synchronized Security para obter informações do Endpoint sobre aplicativos que não possuem assinaturas ou estão usando conexões HTTP ou HTTPS genéricas. Isso resolve um problema significativo que afeta o controle de aplicativos baseados em assinaturas em todos os firewalls atuais, onde muitos aplicativos estão sendo classificados como "desconhecido", "não classificado", "HTTP genérico" ou "SSL", por exemplo. A Segurança Sincronizada, incluindo o Controle de Aplicativo Sincronizado, agora também é suportada no modo Descobrir, para fornecer maior visibilidade sem imposição. Nota: O Controle de Aplicativo Sincronizado não é suportado em implantações ativo-ativo de alta disponibilidade.Nota: O Controle de Aplicativo Sincronizado não é suportado em implantações ativo-ativo de alta disponibilidade. Engenheiro de firewall XG - 400 C o n t r o l e d e A p l i c a ç ã o Controle de aplicativo sincronizado Para oferecer suporte ao controle de Aplicativo Sincronizado, os computadores devem ser gerenciados pelo Sophos Central e ter o Security Heartbeat ativado. A configuração do Security Heartbeat no XG Firewall agora pode ser encontrada no diretório dedicado Sincronização central item de A configuração do Security Heartbeat no XG Firewall agora pode ser encontrada no diretório dedicado Sincronização central item de A configuração do Security Heartbeat no XG Firewall agora pode ser encontrada no diretório dedicado Sincronização central item de menu à esquerda. Aqui você pode habilitar e desabilitar o Controle de Aplicativo Sincronizado. Isso é ativado por padrão quando você registra o XG Firewall no Sophos Central. Engenheiro de firewall XG - 401 C o n t r o l e d e A p l i c a ç ã o Controle de aplicativo sincronizado Um novo widget no Centro de Controle associado ao novo recurso Controle de Aplicativo Sincronizado fornece uma indicação rápida de aplicativos não identificados que foram correspondidos. Engenheiro de firewall XG - 402 C o n t r o l e d e A p l i c a ç ã o Controle de aplicativo sincronizado Sempre que possível, o XG Firewall classifica automaticamente o aplicativo e o controla usando as políticas de controle de aplicativos existentes. Engenheiro de firewall XG - 403 C o n t r o l e d e A p l i c a ç ã o Controle de aplicativo sincronizado Os administradores também podem atribuir categorias manualmente aos aplicativos descobertos para permitir que a imposição do controle de aplicativos bloqueie ou priorize o aplicativo conforme desejado. Engenheiro de firewall XG - 404 C o n t r o l e d e A p l i c a ç ã o Atividade O Controle de Aplicativo Sincronizado descobriu o aplicativo aria2 e O Controle de Aplicativo Sincronizado descobriu o aplicativo aria2 e O Controle de Aplicativo Sincronizado descobriu o aplicativo aria2 e atribuiu-o a uma categoria padrão deSyncAppCtl descoberto .SyncAppCtl descoberto . Nesta atividade, recategorize este aplicativo como Transferência de arquivo .Nesta atividade, recategorize este aplicativo como Transferência de arquivo .Nesta atividade, recategorize este aplicativo como Transferência de arquivo . Começar Engenheiro de firewall XG - 406 C o n t r o l e d e A p l i c a ç ã o Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo Clique na interface para simular as ações necessárias para concluir a atividade. Engenheiro de firewall XG - 407 Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo Clique na interface para simular as ações necessárias para concluir a atividade. Engenheiro de firewall XG - 408 Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo Clique na interface para simular as ações necessárias para concluir a atividade. Engenheiro de firewall XG - 409 Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo Clique na interface para simular as ações necessárias para concluir a atividade. Engenheiro de firewall XG - 410 Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo Clique na interface para simular as ações necessárias para concluir a atividade. Engenheiro de firewall XG - 411 Recategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivoRecategorize o aplicativo aria2 Como Transferência de arquivo Clique na interface para simular as ações necessárias para concluir a atividade. Engenheiro de firewall XG - 412 Corrigir! Você recategorizou o aplicativo com sucesso aria2 Como Transferência de arquivoVocê recategorizou o aplicativo com sucesso aria2 Como Transferência de arquivoVocê recategorizou o aplicativo com sucesso aria2 Como Transferência de arquivoVocê recategorizou o aplicativo com sucesso aria2 Como Transferência de arquivo Clique na interface para simular as ações necessárias para concluir a atividade. Engenheiro de firewall XG - 413 Aplicações na nuvem OneDrive Dropbox OneDrive Dropbox O OneDrive é sancionado O Dropbox não é sancionado Identifique os aplicativos em nuvem que estão sendo usados Classificar aplicativos em nuvem Aplicar modelagem de tráfego regras Bloquear usando o aplicativo ao controle O XG Firewall possui uma implementação leve do CASB (Cloud Access Security Broker), que ajuda a identificar comportamentos de risco, fornecendo informações sobre quais serviços de nuvem estão sendo usados. Os administradores podem tomar as medidas apropriadas, educando os usuários ou implementando políticas de controle de aplicativos ou de modelagem de tráfego para controlar ou eliminar comportamentos potenciais de risco ou indesejados. Por exemplo, se a empresa possui um Office 365 corporativo e usa o OneDrive para armazenamento de arquivos, e um usuário está constantemente carregando dados no Dropbox, isso pode ser um sinal vermelho que precisa de mais investigação ou aplicação de políticas. Essa prática de usar serviços em nuvem não autorizados é chamada de "TI de sombra", um termo que você frequentemente ouvirá em associação ao CASB. Engenheiro de firewall XG - 414 C o n t r o l e d e A p l i c a ç ã o Aplicações na nuvem Mostra o uso de aplicativos por classificação No Centro de Controle, há um widget que fornece um resumo visual do uso de aplicativos em nuvem por classificação. Isso pode ser novo, sancionado, não sancionado ou tolerado. As estatísticas mostram o número de aplicativos em nuvem e a quantidade de dados entrando e saindo. Clicar no widget leva você para Aplicativos> Aplicativos em nuvem, onde você pode obter informações mais detalhadas.Clicar no widget leva você para Aplicativos> Aplicativos em nuvem, onde você pode obter informações mais detalhadas.Clicar no widget leva você para Aplicativos> Aplicativos em nuvem, onde você pode obter informações mais detalhadas. Engenheiro de firewall XG - 415 C o n t r o l e d e A p l i c a ç ã o Aplicações na nuvem Aqui você pode ver todos os aplicativos em nuvem que foram detectados e filtrá-los por classificação e categoria e pode ser classificado por volume de dados ou número de usuários. Você pode expandir cada aplicativo para ver quais usuários o estão usando e quantos dados foram transferidos. Engenheiro de firewall XG - 416 C o n t r o l e d e A p l i c a ç ã o Aplicações na nuvem Nesta página, você também pode reclassificar o aplicativo ou aplicar uma política de modelagem de tráfego. Engenheiro de firewall XG - 417 C o n t r o l e d e A p l i c a ç ã o Laboratório 6: Proteção da Web e controle de aplicativos • Conclua as seguintes tarefas em Laboratório 6Conclua as seguintes tarefas em Laboratório 6 ▪ Tarefa 6.1: Criar categorias personalizadas da Web e atividades do usuário ▪ Tarefa 6.2: Criar um filtro de conteúdo ▪ Tarefa 6.3: Criar uma política da Web personalizada ▪ Tarefa 6.4: Criar substituições de diretiva da Web ▪ Tarefa 6.5: Criar uma cota de surf para usuários convidados ▪ Tarefa 6.6: Criar uma diretiva de filtro de aplicativos ▪ Tarefa 6.7: Categorizar aplicativos usando o controle sincronizado de aplicativos ▪ Tarefa 6.8: Detectar e categorizar aplicativos em nuvem • Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa 5.5 do Laboratório 5 Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria Conclua as seguintes tarefas em Laboratório 6Conclua as seguintes tarefas em Laboratório 6 • Tarefa 6.1: Criar categorias personalizadas da Web e atividades do usuário • Tarefa 6.2: Criar um filtro de conteúdo • Tarefa 6.3: Criar uma política da Web personalizada • Tarefa 6.4: Criar substituições de diretiva da Web • Tarefa 6.5: Criar uma cota de surf para usuários convidados • Tarefa 6.6: Criar uma diretiva de filtro de aplicativos • Tarefa 6.7: Categorizar aplicativos usando o controle sincronizado de aplicativos • Tarefa 6.8: Detectar e categorizar aplicativos em nuvem Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa do Laboratório 5 5.5 Engenheiro de firewall XG - 419 Ao concluir este curso, agora você poderá executar as ações mostradas aqui. Reserve um momento para analisá-las. Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste curso. Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir. ✓ Configurar diretivas de proteção da Web✓ Configurar diretivas de proteção da Web ✓ Identifique as atividades que podem ser usadas para controlar o tráfego da web✓ Identifique as atividades que podem ser usadas para controlar o tráfego da web ✓ Crie filtros de conteúdo de palavras-chave✓ Crie filtros de conteúdo de palavras-chave✓ Configurar cotas de navegação e tráfego✓ Configurar cotas de navegação e tráfego ✓ Configurar filtros de aplicativos✓ Configurar filtros de aplicativos ✓ Detectar e categorizar aplicativos usando o Synchronized App Control e Cloud Applications✓ Detectar e categorizar aplicativos usando o Synchronized App Control e Cloud Applications Revisão do módulo • Ao concluir este curso, agora você deve ser capaz de: Engenheiro de firewall XG - 420 Olá, este é o curso de treinamento certificado pela Sophos para o Sophos XG Firewall. Este é o Módulo 7: Proteção de Email. Engenheiro Certificado Sophos XG Firewall ET80 - Acesso remoto ET809 Março de 2019 Versão: 17.5v1 Versão do produto: 17.5 © 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos. Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários. Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a qualquer momento sem aviso prévio. A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP. Engenheiro Certificado Sophos Sophos XG Firewall Módulo 7: Proteção de email Versão 17.5 Engenheiro de firewall XG - 423 Proteção de Email Configuração de Política Controle de dados e criptografia Gerenciamento de quarentena Configuração de proteção de email • Modos de implantação • Configurações Gerais • Configurações de retransmissão • Diretiva SMTP • Política POP e IMAP • Política herdada • Listas de controle de dados • Criptografia SPX • Resumo da quarentena • Portal do Usuário O Sophos XG Firewall fornece proteção abrangente por email para os protocolos de servidor, SMTP / S e protocolos de cliente, POP3 e IMAP. Neste módulo, você aprenderá como configurar e gerenciar emails no XG Firewall e implementar recursos de proteção e criptografia de dados. Engenheiro de firewall XG - 424 Configuração de proteção de email Engenheiro de firewall XG - 426 C o n f i g u r a ç ã o d e p r o t e ç ã o d e e m a i l A proteção de email no XG Firewall pode ser configurada no modo MTA, o que torna o XG Firewall um agente de transferência de mensagens completo (MTA), em vez de apenas um proxy transparente. Isso significa que é possível configurar diferentes opções de roteamento de email para diferentes domínios. No modo MTA, o XG Firewall pode enviar emails em spool, armazenando-os antes da entrega. Isso significa que, se o servidor de email estiver offline, os emails serão colocados na fila no XG Firewall para entrega. O XG Firewall também é capaz de executar verificações de validação adicionais nos emails à medida que os recebe, rejeitando emails de hosts que enviam argumentos HELO inválidos ou que não possuem entradas DNS reversas e suporta a proteção Sandstorm. Quando no modo MTA, o proxy de email é configurado para digitalizar emails de forma transparente e quando o XG Firewall é configurado como um proxy de email explícito. Nota: O modo MTA não está disponível no XG85 ou 85W.Nota: O modo MTA não está disponível no XG85 ou 85W. O modo MTA é a configuração padrão para novas implantações, no entanto, os dispositivos atualizados do XG Firewall versão 15 ou XG85 e XG85W usarão o modo legado. Modo de implantação SMTP Modos de implantação Modo MTA Modo herdado Modos de operação Proxy explícito Proxy transparente Proxy transparente Portas 25, 587 25 Definido na regra do firewall Roteamento por domínio sim Não Carretel de correio sim Não Registro de e-mail sim Não Proteção de relé sim Não Relé autenticado sim Não Verificações de validação (HELO & RDNS) sim Não Proteção contra tempestades de areia sim Não Nota: • O modo MTA não está disponível no XG85 ou XG85W • MTA é a configuração padrão para novas implantações Engenheiro de firewall XG - 427 C o n f i g u r a ç ã o d e p r o t e ç ã o d e e m a i l Configurações Gerais • Ative o modo de implantação SMTP em PROTEGER> Email> Configurações geraisAtive o modo de implantação SMTP em PROTEGER> Email> Configurações gerais O modo MTA é ativado por padrão para novas instalações em dispositivos suportados; você pode alternar entre o modo MTA e o modo Legado em PROTEGER> Email> Configurações gerais, na seção "Modo de implantação SMTP".o modo Legado em PROTEGER> Email> Configurações gerais, na seção "Modo de implantação SMTP".o modo Legado em PROTEGER> Email> Configurações gerais, na seção "Modo de implantação SMTP". Com o modo MTA ativado, você notará três novas guias (spool de email, logs de email e configurações de retransmissão), com guias adicionais com configurações usadas com menos frequência e movidas para o menu de reticências à direita. O spool de email fornece o status em tempo real dos emails processados pelo XG Firewall, que podem ser: • E-mails na fila que foram aceitos • E-mails que falharam quando o XG Firewall tentou entregá-los • E-mails do SPX que estão aguardando o destinatário registrar uma senha • E e-mails congelados que o XG Firewall não conseguiu entregar por três dias O Log de email fornece uma filtragem fácil dos logs de email processados pelo MTA no XG Firewall. Os emails podem ser filtrados por data, domínio do destinatário, resultado (por exemplo, se o email foi entregue ou colocado em quarentena) e o motivo da ação (como malware, spam ou proteção de dados). Engenheiro de firewall XG - 428 C o n f i g u r a ç ã o d e p r o t e ç ã o d e e m a i l Configurações Gerais • Nome do host SMTP • Tamanho do email o Tamanho da digitalizaçãoo Tamanho da digitalização o Ação para e-mails grandes demaiso Ação para e-mails grandes demais Aceitar: entregue sem digitalizarAceitar: entregue sem digitalizar Rejeitar: não entregue e notifique o remetenteRejeitar: não entregue e notifique o remetente Solta: não entregueSolta: não entregue Vamos dar uma olhada agora em como o Email Protection está configurado. Nas configurações de SMTP ( PROTEGER> Email> Vamos dar uma olhada agora em como o Email Protection está configurado. Nas configurações de SMTP ( PROTEGER> Email> Configurações gerais) você pode configurar o nome do host SMTP e ativar a proteção no nível da conexão, incluindo reputação de IP e Configurações gerais) você pode configurar o nome do host SMTP e ativar a proteção no nível da conexão, incluindo reputação de IP e proteção contra DoS. Ao operar no modo MTA, é importante que você configure o Nome do host SMTP que o XG Firewall usa para conversar com outros servidores de correio com um nome de host publicamente resolvível. Se você não fizer isso, alguns servidores de email poderão rejeitar os emails que estão sendo enviados pelo XG Firewall. Especifique o tamanho máximo do arquivo (em KB) para digitalização. Os arquivos que excederem esse tamanho recebidos por SMTP / S não serão verificados. O tamanho padrão é 1 MB (1024 KB). Especifique 0 para usar o tamanho do arquivo padrão ou configurar a restrição de digitalização até 50 MB (51200 KB). As opções para lidar com e-mails grandes demais são: • Aceitar: todos os e-mails grandes são encaminhados para o destinatário sem digitalizar • Rejeitar: todos os e-mails grandes são rejeitados e o remetente é notificado • Descartar: todos os e-mails grandes são descartados, sem notificar o remetente Engenheiro de firewall XG - 429 C o n f i g u r a ç ã o d e p r o t e ç ã o d e e m a i l Com a reputação de IP ativada, você pode optar por rejeitar os e-mailsenviados por remetentes de spam conhecidos. Ao fazer isso durante a transmissão da mensagem, você pode reduzir o processamento exigido pelo Sophos XG Firewall. Para se proteger contra ataques de negação de serviço (DoS) SMTP, você pode limitar o número de conexões e a taxa de e-mails enviados no total e por host. Configurações Gerais Pode rejeitar emails de remetentes de spam durante a transmissão Configurar regras para o SMTP DoS proteção Engenheiro de firewall XG - 430 C o n f i g u r a ç ã o d e p r o t e ç ã o d e e m a i l As configurações do TLS são usadas para configurar a segurança da conexão entre o XG Firewall e o servidor de email de mesmo nível. Quando o servidor de email de mesmo nível oferecer suporte ao TLS, o XG Firewall o utilizará. A configuração é separada em SMTP, POP e IMAP. Para ambos, você pode selecionar o certificado a ser usado para a conexão, permitir ou não ao servidor de email ponto usar um certificado inválido, por exemplo, um certificado autoassinado e desativar os protocolos TLS herdados. Nota: enquanto estiver no modo MTA, é recomendável usar o certificado do servidor em vez do certificado da CA selecionado por padrão. Para conexões SMTP, você também pode especificar que uma conexão TLS é obrigatória para redes, hosts e domínios específicos. Para servidores internos, você pode optar por ignorar a negociação TLS. Configurações Gerais Engenheiro de firewall XG - 431 C o n f i g u r a ç ã o d e p r o t e ç ã o d e e m a i l Existem configurações adicionais ao usar o modo MTA. Rejeitar HELO inválido ou RDNS ausente: selecione essa opção se desejar rejeitar hosts que enviam argumentos HELO / EHLO inválidos ou não possuem entradas RDNS. Faça verificações rigorosas do RDNS: selecione esta opção se desejar rejeitar adicionalmente emails de hosts com registros RDNS inválidos. Um registro RDNS é inválido se o nome do host encontrado não resolver novamente para o endereço IP original. Verificar e-mails enviados: ative-o para verificar todo o tráfego de e-mails enviados. O email é colocado em quarentena se for infectado por malware ou marcado como Spam. Fora dessas opções, apenas 'Digitalizar e-mails enviados' é ativado por padrão. Configurações gerais - Modo MTA • Verificações adicionais de validação • Digitalizar email de saída HELO inválido ou nenhum RDNS RDNS está presente, mas é inválido Digitalizar correio de saída para spam e vírus Engenheiro de firewall XG - 432 C o n f i g u r a ç ã o d e p r o t e ç ã o d e e m a i l Configurações gerais - Modo MTA • Configurações do Smarthost o Retransmissões de email de saídao Retransmissões de email de saída Host IP ou host FQDN Smarthosts pode ser usado para melhorar a confiabilidade de sua entrega de email com retransmissões de saída, permitindo rotear email por meio de um conjunto alternativo de servidores (um host inteligente), em vez de diretamente para o servidor de destinatários. Perfeito em ambientes mais complexos e onde o email não é roteado diretamente pelo gateway Sophos. Smarthosts pode ser ativado em PROTEGER> Email> Configurações gerais. Um ou mais espertos devem ser selecionados e, se Smarthosts pode ser ativado em PROTEGER> Email> Configurações gerais. Um ou mais espertos devem ser selecionados e, se Smarthosts pode ser ativado em PROTEGER> Email> Configurações gerais. Um ou mais espertos devem ser selecionados e, se necessário, a porta pode ser modificada e as credenciais para autenticação fornecidas. Engenheiro de firewall XG - 433 C o n f i g u r a ç ã o d e p r o t e ç ã o d e e m a i l Para poder enviar emails para domínios externos, você precisa configurar quem pode retransmitir emails através do XG Firewall. Você pode especificar servidores que podem retransmitir emails para a Internet, como um servidor Exchange, na seção 'Retransmissão baseada em host'. Por padrão, o XG Firewall bloqueará a retransmissão de todos os hosts. Na maioria dos cenários, a opção 'Qualquer' pode ser deixada na seção de retransmissão de bloco e hosts específicos permitidos podem ser adicionados à seção de retransmissão de permissão. Na seção 'Host upstream', você pode controlar de quais redes ou hosts o XG Firewall aceitará emails de entrada. Este pode ser o seu ISP ou uma troca de correio externa. Por fim, os usuários podem retransmitir emails se autenticarem com o XG Firewall. Modo MTA - Configurações de retransmissão 0 0 Definir os computadores e redes que podem enviar email para a internet Defina os computadores e redes que podem enviar de entrada email para o XG de entrada email para o XG Firewall Definir os usuários que podem enviar email para a Internet quando autenticado Engenheiro de firewall XG - 434 C o n f i g u r a ç ã o d e p r o t e ç ã o d e e m a i l Para que o MTA possa aceitar conexões de e-mail recebidas, o serviço 'SMTP Relay' deve ser ativado para cada zona da qual a conexão se originará. Modo MTA - Acesso ao dispositivo 0 0 Ativar retransmissão SMTP para cada conexão de entrada de zona será originada de Engenheiro de firewall XG - 435 C o n f i g u r a ç ã o d e p r o t e ç ã o d e e m a i l Configuração de Política Engenheiro de firewall XG - 436 C o n f i g u r a ç ã o d e P o l í t i c a Agora que o MTA está configurado, nos próximos slides, veremos como configurar as políticas de email. Modo MTA - Políticas de Email • Protocolos do servidor versus protocolos do cliente o Política padrão apenas para protocolos do clienteo Política padrão apenas para protocolos do cliente Engenheiro de firewall XG - 437 C o n f i g u r a ç ã o d e P o l í t i c a No modo MTA, as políticas são aplicadas aos domínios, o destinatário ou o remetente. Se o destinatário corresponder, será considerado correio de entrada; se o remetente corresponder, será considerado correio de saída; se o remetente e o destinatário corresponderem, o destinatário terá precedência. Você precisa adicionar um ou mais domínios à política. Você pode optar por rotear o email usando um host estático ou um registro MX. Se você estiver usando um host estático, que é a opção mais comum, poderá selecionar um ou mais servidores. Configure a ação global para a regra. Na maioria dos casos, será 'Aceitar', opcionalmente com criptografia SPX, mas a política pode ser definida para rejeitar email. Modo MTA - Política de Email SMTP Adicione o domínio a ser aplicado esta política para Selecione a ação global Rotear o tráfego por estática host ou MX Selecione o host estático Engenheiro de firewall XG - 438 C o n f i g u r a ç ã o d e P o l í t i c a Na próxima seção, você configura a proteção contra spam. Você precisa habilitar cada seção da política que deseja configurar. Primeiro, você configura as verificações de spam que deseja ativar. O SPF é a estrutura de política do remetente, que permite receber servidores de correio para validar que o email foi enviado de um endereço IP autorizado usando registros publicados no DNS para o domínio desse remetente. A ativação da lista cinza pode ajudar a bloquear mais spam no gateway, pois a maioria dos spam e vírus tenta entregar a mensagem apenas uma vez. Com a lista cinza ativada, o XG Firewall nega temporariamente a primeira tentativa de entrega de um email, solicitando ao servidor de envio que tente novamente. Na próxima tentativa, a mensagem é aceita e verificada como de costume. Se um servidor de correio passar nesse teste várias vezes, ele será adicionado automaticamente à lista de permissões, ou o administrador poderá atualizar os registros da lista de permissões manualmente ou usar predefinições incorporadas para remetentes comuns. A diferença entre os serviços RBL premium e padrão é que, com premium, não são esperados falsos positivos e, com o padrão, alguns falsos positivos podem ser possíveis. Em seguida, você pode definir asações a serem tomadas para spam e provável spam. As ações disponíveis são Nenhuma, Avisar, Quarentena e Descartar. O XG Firewall pode verificar se o endereço de email do destinatário é válido usando uma consulta SMTP no servidor de email do destinatário. Se o endereço de email estiver incorreto, o email será rejeitado, causando uma mensagem de devolução ao remetente. Isso reduz a carga no XG Firewall, pois ele não precisa Modo MTA - Política de Email SMTP Selecione as ações [None / Warn / Quarantine / Drop] Configure o spam Verificações Ativar verificação de destinatário por meio de frase de destaque ou Active Directory Engenheiro de firewall XG - 439 C o n f i g u r a ç ã o d e P o l í t i c a processe o email e fornece remetentes, incluindo clientes e parceiros valiosos, com uma resposta instantânea se eles digitarem incorretamente seu endereço de email. Se o endereço de email for válido, a mensagem será processada para spam e vírus normalmente. Engenheiro de firewall XG - 439 Na seção Proteção contra malware, você pode escolher entre usar um único mecanismo antivírus ou uma verificação de mecanismo duplo com o Sophos e o Avira. Ao contrário de uma atividade em tempo real, como a navegação na Web, a pequena latência adicional causada pelo uso da verificação antivírus dupla é invisível para os usuários finais, mas aumenta a carga de trabalho no dispositivo. Quando um vírus é detectado, você pode optar por não executar nenhuma ação, soltar a mensagem (padrão) ou quarentena. Opcionalmente, você também pode habilitar uma notificação ao remetente e optar por colocar em quarentena conteúdo não digitalizável, como anexos criptografados. O Sandstorm pode ser usado apenas com o Email Protection no modo MTA e está ativado na política SMTP. Você pode limitar o tamanho dos arquivos enviados ao Sandstorm para análise. O padrão é 10 MB e esse é o valor máximo. Modo MTA - Política de Email SMTP Antivírus único ou duplo verificação do mecanismo Selecione as ações Ativar tempestade de areia proteção Engenheiro de firewall XG - 440 C o n f i g u r a ç ã o d e P o l í t i c a A seção Proteção de arquivo permite selecionar os tipos de arquivos que você deseja bloquear em uma lista de seleção; isso preencherá automaticamente a Lista Branca MIME com tipos de arquivo. Você pode selecionar tipos de arquivos na Lista Branca MIME, e esses tipos de arquivos serão permitidos, todos os outros tipos de arquivos na lista serão bloqueados. Você também pode configurar para descartar mensagens que excedam um tamanho específico, medido em kilobytes. Modo MTA - Política de Email SMTP Engenheiro de firewall XG - 441 C o n f i g u r a ç ã o d e P o l í t i c a A seção Proteção de dados permite selecionar uma lista de controle de dados e aplicar uma ação a emails correspondentes. As ações disponíveis são Aceitar, Aceitar com SPX, que também permite selecionar um modelo para usar e Soltar. Além disso, você pode optar por notificar o remetente. Modo MTA - Política de Email SMTP Engenheiro de firewall XG - 442 C o n f i g u r a ç ã o d e P o l í t i c a Aqui você pode ver a política que configuramos, que mostra quais ações foram configuradas para cada uma das seções da política. Modo MTA - Política de Email SMTP Engenheiro de firewall XG - 443 C o n f i g u r a ç ã o d e P o l í t i c a A verificação de POP e IMAP possui uma única política de verificação de malware que pode ser editada, mas não pode ser excluída. Essa política permite selecionar mecanismos antivírus únicos ou duplos ou desativar a verificação de malware. POP e IMAP - Políticas • Verificação básica de malware Engenheiro de firewall XG - 444 C o n f i g u r a ç ã o d e P o l í t i c a As políticas de filtragem de conteúdo POP e IMAP são correspondidas no remetente e no destinatário. As mensagens podem ser filtradas com base em: • Se o email foi detectado como spam / provável spam ou parte de um surto de vírus • A rede de origem ou host do email • O tamanho da mensagem • Cabeçalhos de mensagens • Ou nenhuma filtragem pode ser aplicada, se você deseja aplicar a ação a todas as mensagens As ações disponíveis para POP e IMAP são para aceitar a mensagem ou adicionar um prefixo à linha de assunto. POP e IMAP - Políticas • Correspondência entre remetente e destinatário • Filtro: o Surto de spam ou víruso Surto de spam ou vírus o Fonteo Fonte o Tamanhoo Tamanho o Cabeçalhoo Cabeçalho o Nenhumo Nenhum • Açao o Aceitaro Aceitar o Assunto do prefixoo Assunto do prefixo Engenheiro de firewall XG - 445 C o n f i g u r a ç ã o d e P o l í t i c a Agora, examinaremos as diferenças ao configurar políticas de email no modo legado. Existem duas diferenças principais: • A primeira é que as políticas SMTP são divididas em políticas separadas de malware e varredura de conteúdo • A segunda é que as políticas são configuradas com base no remetente e destinatário A configuração das regras POP e IMAP é a mesma para o MTA e o modo herdado. Modo herdado - Políticas de e-mail Varredura separada de malware e conteúdo políticas Políticas configuradas no remetente e destinatário Engenheiro de firewall XG - 446 C o n f i g u r a ç ã o d e P o l í t i c a Controle de dados e criptografia Engenheiro de firewall XG - 447 C o n t r o l e d e d a d o s e c r i p t o g r a f i a Além de verificar o e-mail em busca de malware e spam, o Sophos XG Firewall pode ajudar a impedir que dados confidenciais sejam enviados por engano. O Sophos XG Firewall vem com listas de controle de conteúdo predefinidas (CCLs) criadas e mantidas pelo SophosLabs, que podem ser usadas para detectar dados confidenciais e sensíveis, incluindo dados médicos e financeiros. As CCLs são categorizadas por tipo e região, facilitando a seleção das regras mais relevantes para você ao criar suas próprias políticas. Lista de controle de dados • Use regras predefinidas • Filtrar regras por tipo e região • Configurar em Proteger> Email> Lista de Controle de Dados Configurar em Proteger> Email> Lista de Controle de Dados Engenheiro de firewall XG - 448 C o n t r o l e d e d a d o s e c r i p t o g r a f i a O Secure PDF Exchange (SPX) fornece uma maneira fácil de enviar emails criptografados sem a necessidade de trocar chaves ou certificados com o destinatário. O email original é convertido em PDF, juntamente com todos os anexos, e depois criptografado. O SPX suporta criptografia AES de 128 e 256 bits, para que você possa ter certeza de que seus dados estão completamente seguros. Troca segura de PDF (SPX) • Não requer troca de chaves ou certificados • Criptografia AES de 128 ou 256 bits • Modelos personalizáveis • Fácil configuração • O conteúdo pode ser verificado antes de ser criptografado Engenheiro de firewall XG - 449 C o n t r o l e d e d a d o s e c r i p t o g r a f i a Troca segura de PDF (SPX) o O SPX está selecionado em uma Política de Emailo O SPX está selecionado em uma Política de Email • Os emails são criptografados quando… o Criptografia está selecionada no plug-in Sophos Outlooko Criptografia está selecionada no plug-in Sophos Outlook Há duas maneiras de um email ser criptografado pelo SPX: 1. Primeiro, quando o Sophos XG Firewall detecta o cabeçalho X do X-Sophos-SPX-Encrypt. Isso é adicionado a um email usando o plug-in Sophos Outlook. O plug-in pode ser baixado como um MSI no console da Web em CONFIGURAR> Autenticação> o plug-in Sophos Outlook. O plug-in pode ser baixado como um MSI no console da Web em CONFIGURAR> Autenticação> Downloads de clientes e também do Portal do usuárioDownloads de clientes e também do Portal do usuário 2. O outro gatilho de criptografia ocorre quando o email corresponde a uma regra de verificação em que um modelo SPX foi selecionado Engenheiro de firewall XG - 450 C o n t r o l e d e d a d o s e c r i p t o g r a f i a Modelos SPX •Crie modelos SPX no o CONFIGURAR> Email> Criptografiao CONFIGURAR> Email> Criptografia • Define o Como a senha é definidao Como a senha é definida o O nível de criptografiao O nível de criptografia o Modelo de email do destinatárioo Modelo de email do destinatário Selecione a senha tipo requerido O modelo SPX define como a senha de criptografia será definida, o nível de criptografia a ser usado e o modelo de email que será usado. As opções para definir a senha de criptografia são: • Especificado pelo remetente, onde o remetente fornece uma senha no campo assunto, que é removida à medida que passa pelo firewall • Senha única gerada para cada email, em que o firewall irá gerar uma nova senha para cada email e enviar uma cópia ao remetente do email • Gerado e armazenado para o destinatário, o que permite ao firewall gerar uma senha e salvá-la para esse destinatário. Uma cópia ainda é enviada ao remetente para que ele possa comunicá-la ao destinatário. • Especificado pelo destinatário. Nesse caso, o destinatário recebe um email de notificação contendo um link que leva ao Portal de registro de senhas para definir uma senha. Após o registro, o destinatário pode visualizar o correio criptografado atual e qualquer correio criptografado futuro usando a mesma senha deste ou de outros remetentes da mesma organização Para o remetente especificado e as senhas geradas pelo sistema, o remetente é responsável por comunicar a senha ao destinatário. Isso geralmente seria feito por meio de um canal de comunicação separado, por exemplo, por SMS ou telefone. Engenheiro de firewall XG - 451 C o n t r o l e d e d a d o s e c r i p t o g r a f i a Modelos SPX • Senha especificada pelo remetente John Kate 1. John envia um email com dados confidenciais e especifica a senha na linha de assunto 5. Kate recebe a senha e descriptografa o email 2. O firewall criptografa o email como PDF e o envia para o Kate 4. John envia a senha por outro modo seguro 3. Kate recebe o email do modelo com o correio original como anexo PDF criptografado * * * * * * * * Agora, examinaremos o fluxo de trabalho das diferentes maneiras em que a senha é definida, começando com o local em que a senha é especificada pelo remetente. Em todos esses exemplos, o email será criptografado porque corresponde a uma regra de verificação criada no firewall. 1. John envia um email confidencial que corresponderá a uma regra de verificação no firewall que possui um modelo SPX selecionado. Ele inclui uma senha na linha de assunto 2. O firewall recebe o email e o converte em PDF, criptografa e depois o anexa a um email de modelo. Este email é enviado para Kate e explica como o SPX funciona 3. Kate recebe o email com o PDF criptografado anexado, mas ainda não tem a senha para abri-lo 4. John precisa fornecer a senha ao Kate através de um canal separado e seguro. Pode ser por telefone, via SMS ou IM 5. Kate agora pode descriptografar o email usando a senha de John Engenheiro de firewall XG - 452 C o n t r o l e d e d a d o s e c r i p t o g r a f i a Modelos SPX • Senha gerada pelo Sophos XG Firewall John Kate * * * * * * * * 1. John envia um email com dados confidenciais 2. O Sophos XG Firewall cria senha, criptografa o email como PDF e o envia para o Kate 3. O Sophos XG Firewall envia a senha ao remetente - John 4. Kate recebe correio modelo com correio original como anexo PDF criptografado 5. John envia a senha por outro modo seguro 6. Kate recebe a senha e descriptografa o e-mail Agora vamos ver o caso em que a senha é gerada pelo Sophos XG Firewall. 1. John envia um email confidencial que corresponderá a uma regra de verificação no firewall que possui um modelo SPX selecionado 2. O firewall recebe o email e o converte em PDF, criptografa e depois o anexa a um email de modelo. Este email é enviado para Kate e explica como o SPX funciona 3. O Sophos XG Firewall envia a senha de criptografia ao remetente, neste exemplo que é John 4. Kate recebe o email com o PDF criptografado anexado, mas ainda não tem a senha para abri-lo 5. John precisa fornecer a senha ao Kate através de um canal separado e seguro. Pode ser por telefone, via SMS ou IM 6. Kate agora pode descriptografar o email usando a senha de John Se a opção de gerar a senha uma vez e armazená-la for selecionada, na próxima vez que um email for enviado para Kate, ela poderá usar a mesma senha para abri-la, sem que John precise reenviar uma nova senha a cada vez. Engenheiro de firewall XG - 453 C o n t r o l e d e d a d o s e c r i p t o g r a f i a Modelos SPX • Senha especificada pelo destinatário John Kate 1. John envia email com dados confidenciais 5. Kate recebe e-mail e descriptografa usando sua senha 2. O Sophos XG Firewall envia e-mail de registro ao destinatário 3. Kate cria senha para criptografar mensagens 4. O Sophos XG Firewall criptografa o email e o envia para o Kate Finalmente, vamos percorrer o processo quando o destinatário criar sua própria senha. 1. John envia um email confidencial que corresponderá a uma regra de verificação no firewall que possui um modelo SPX selecionado 2. O firewall recebe o email e verifica se o Kate possui uma senha para criptografar o email. Se não houver senha para Kate, o firewall envia um e-mail com um link para o portal de registro automático e solicita que ela defina uma senha 3. Kate recebe o email e segue o link para o portal de auto-registro onde cria uma senha 4. O XG Firewall criptografa o email com a senha criada por Kate e a envia para ela 5. Kate recebe o email e pode descriptografá-lo usando a senha que havia definido no portal Na próxima vez que um email for enviado para o Kate, ele será criptografado e enviado para ela usando a mesma senha. Engenheiro de firewall XG - 454 C o n t r o l e d e d a d o s e c r i p t o g r a f i a Configuração SPX Nome do host a ser usado no URL do portal de resposta Limitar conexões ao IP de origem específico endereços Definir a porta do portal de resposta Por quanto tempo o URL de resposta estará ativo Modelo a ser usado quando a criptografia é usuário iniciado Com o modelo SPX criado, agora você pode configurar o SPX e começar a usá-lo. Nas configurações do SPX, você pode selecionar o modelo padrão. Este é o modelo que será usado quando um email for criptografado porque o usuário o solicitou com o plug-in do Outlook ou quando o cabeçalho x foi adicionado de outra maneira. Você também pode definir as configurações do portal de resposta. Esses são: Por quanto tempo o URL de resposta ficará ativo. Depois que o URL expirar, o Resposta O botão no PDF criptografado não Por quanto tempo o URL de resposta ficará ativo. Depois que o URL expirar, o Resposta O botão no PDF criptografado não Por quanto tempo o URL de resposta ficará ativo. Depois que o URL expirar, o Resposta O botão no PDF criptografado não funcionará mais. O nome do host a ser usado para a URL do portal de resposta. Se nenhum nome de host for selecionado aqui, o XG Firewall usará o endereço IP da LAN como padrão. Você pode restringir o acesso ao portal de resposta a apenas uma lista de IPs específicos. A porta usada para o portal de resposta também pode ser personalizada. Engenheiro de firewall XG - 455 C o n t r o l e d e d a d o s e c r i p t o g r a f i a Portal de Resposta do SPX Botão de resposta dentro criptografado PDF HTTPS Porta 8094 O Portal de Resposta do SPX, permite que os destinatários dos emails criptografados com SPX garantam que suas respostas sejam seguras, mesmo quando eles não tiverem o SPX ou outro mecanismo de criptografia de email. Para acessar o portal de respostas, o destinatário clica no botão de resposta no PDF criptografado. O portal de resposta é baseado na Web e é executado sobre HTTPS na porta 8094. Engenheiro de firewall XG - 456 C o n t r o l e d e d a d o s e cr i p t o g r a f i a O portal de resposta do SPX é ativado no modelo do SPX, o que significa que ele não precisa ser ativado para todas as pessoas que recebem emails do SPX, apenas para aqueles que usam o modelo. Isso seria configurado nas políticas de email. Opcionalmente, você também pode incluir o corpo da mensagem original na resposta segura, no entanto, recomendamos que você faça isso apenas se estiver restringindo o acesso ao portal de respostas seguras a uma lista definida de IPs. Portal de Resposta do SPX • Ativar no modelo SPX • Incluir opcionalmente o corpo da mensagem original Engenheiro de firewall XG - 457 C o n t r o l e d e d a d o s e c r i p t o g r a f i a Gerenciamento de quarentena Engenheiro de firewall XG - 458 G e r e n c i a m e n t o d e q u a r e n t e n a Além de os administradores poderem gerenciar a quarentena por meio do console da web, existem dois outros métodos que permitem aos usuários gerenciar seus próprios itens em quarentena; e-mails de resumo da quarentena e o Portal do usuário. Vamos examinar primeiro os e-mails de resumo da quarentena. O email do resumo da quarentena contém uma lista dos emails recém-colocados em quarentena que foram colocados em quarentena desde o último resumo. Quando ativado, o firewall pode enviar o resumo da quarentena na frequência selecionada, a cada número definido de horas, diariamente em um horário definido ou apenas em dias específicos em um horário definido. Para cada email no resumo da quarentena, há um link que pode ser usado para liberar o email. Observe que o resumo da quarentena será criado no idioma usado no WebAdmin. Digest Emails • Lista de itens recém-colocados em quarentena • Link para liberar e-mail • Ativar / desativar por usuário • Definir padrões de endereço para excluir Engenheiro de firewall XG - 459 G e r e n c i a m e n t o d e q u a r e n t e n a No Portal do usuário, todos os emails em quarentena para esse usuário podem ser visualizados. Os usuários não podem liberar emails infectados, pois isso coloca a rede interna em risco. Os emails em quarentena podem ser filtrados com base no motivo pelo qual foram enviados para a quarentena e existem filtros de texto para pesquisa por remetente e assunto. Os e-mails podem ser liberados individualmente usando o ícone à direita ou a varredura de vários e-mails pode ser selecionada e liberada em conjunto. Quarentena gerenciada pelo usuário Portal do Usuário Engenheiro de firewall XG - 460 G e r e n c i a m e n t o d e q u a r e n t e n a Os usuários também podem gerenciar uma lista pessoal de permissões e bloqueios de endereços e domínios de email. O email permitido ainda será verificado quanto a malware, mas não estará sujeito a verificações de spam. Listas de permissões e bloqueios gerenciadas pelo usuário Portal do Usuário Permitir e bloquear endereços de email e domínios Engenheiro de firewall XG - 461 G e r e n c i a m e n t o d e q u a r e n t e n a Laboratório 7: Proteção de email • Conclua as seguintes tarefas em Laboratório 7Conclua as seguintes tarefas em Laboratório 7 ▪ Tarefa 7.1: Habilitar e configurar resumos de quarentena ▪ Tarefa 7.2: Configurar uma política de Proteção de Email ▪ Tarefa 7.3: Configurar controle de dados e criptografia SPX ▪ Tarefa 7.4: Gerenciamento de quarentena do usuário • Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa 6.8 do Laboratório 6 Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria Conclua as seguintes tarefas em Laboratório 7Conclua as seguintes tarefas em Laboratório 7 • Tarefa 7.1: Habilitar e configurar resumos de quarentena • Tarefa 7.2: Configurar uma política de Proteção de Email • Tarefa 7.3: Configurar controle de dados e criptografia SPX • Tarefa 7.4: Gerenciamento de quarentena do usuário Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa do Laboratório 6 6.8 Engenheiro de firewall XG - 463 Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento para analisá-las. Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo. Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir. Revisão do módulo • Na conclusão deste módulo, você deve agora ser capaz de: ✓ Explique as diferenças entre os dois modos de implantação do Email Protection✓ Explique as diferenças entre os dois modos de implantação do Email Protection ✓ Definir configurações globais, incluindo configurações de retransmissão✓ Definir configurações globais, incluindo configurações de retransmissão ✓ Configurar políticas SMTP para o modo MTA e o modo herdado✓ Configurar políticas SMTP para o modo MTA e o modo herdado ✓ Configurar políticas para protocolos de clientes✓ Configurar políticas para protocolos de clientes ✓ Crie listas de controle de dados e use-as na política✓ Crie listas de controle de dados e use-as na política ✓ Configurar criptografia usando o SPX✓ Configurar criptografia usando o SPX ✓ Gerenciar a quarentena usando resumos e o Portal do usuário✓ Gerenciar a quarentena usando resumos e o Portal do usuário Engenheiro de firewall XG - 464 Olá, este é o curso de treinamento certificado pela Sophos para o XG Firewall. Este é o Módulo 8: Proteção sem fio. Engenheiro Certificado Sophos Sophos XG Firewall ET80 - Proteção sem fio ET808 Versão de março de 2019: 17.5v1 Versão do produto: Sophos XG Firewall 17.5 © 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos. Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários. Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a qualquer momento sem aviso prévio. A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP. Engenheiro Certificado Sophos Sophos XG Firewall Módulo 8: Proteção sem fio Versão 17.5 Engenheiro de firewall XG - 467 Proteção sem fio Redes sem fio de demonstração Visão geral da implantação sem fio Pontos de acesso • Visão geral da proteção sem fio • Pontos de acesso • Configurando redes sem fio • Modos de segurança • Implantando pontos de acesso • Wireless incorporado • Implantando a proteção sem fio • Configurando pontos de acesso • Criando comprovantes As soluções de rede sem fio para uso em empresas precisam fornecer um sinal rápido, confiável e ininterrupto para todo o escritório. Em um ambiente de escritório, é importante que as redes sem fio ofereçam fortes opções de segurança e possam ser facilmente implantadas e gerenciadas centralmente. Neste módulo, você aprenderá como implantar e gerenciar centralmente os pontos de acesso Sophos no XG Firewall e configurar redes sem fio e pontos de acesso. Engenheiro de firewall XG - 468 Visão geral sem fio Engenheiro de firewall XG - 470 V i s ã o g e r a l s e m f i o As redes sem fio gerenciadas pelo Sophos XG Firewall podem fornecer acesso limitado ou total à Internet e aos recursos na rede interna da empresa, com a mesma segurança dos computadores que estão se conectando a partir de uma conexãode rede física. Além de poder implantar pontos de acesso sem fio no escritório principal, você também pode implantar e gerenciar pontos de acesso sem fio nas filiais por meio de uma conexão RED. Os hóspedes podem se conectar a uma rede sem fio separada, que pode ser transmitida pelos mesmos pontos de acesso que as redes sem fio da empresa interna. As redes de convidados podem fornecer acesso à Internet usando a mesma ou diferentes políticas de filtragem da Web que os clientes internos. O Sophos XG Firewall pode proteger as redes internas contra o acesso de computadores que se conectam a redes sem fio convidadas, mesmo usando os mesmos pontos de acesso que os dispositivos na rede interna. Visão geral da proteção sem fio Laptop da empresa conectado à empresa sem fio rede Laptop convidado conectado à rede de convidados Laptop da empresa conectado à empresa sem fio rede Conexões de rede Acesso ao laptop da empresa Acesso ao laptop do convidado Computadores e servidores internos conectados ao rede AP55 AP55 Internet RED15 Firewall XG Engenheiro de firewall XG - 471 V i s ã o g e r a l s e m f i o Modelos de ponto de acesso AP Series Série APX 802.11ac-wave2 AP15 / AP15c Rádio duplo 2x2: 2 AP55 / AP55c Rádio duplo 2x2: 2 AP100 / AP100c Rádio duplo 3x3: 3 AP100x Rádio duplo 3x3: 3 APX 120 Rádio duplo 2x2: 2 APX320 Rádio 2x2: 2 Dual 2x2: 2 Dual 5 GHz APX530 Rádio duplo 3x3: 3 APX740 Rádio duplo 4x4: 4 Compare pontos de acesso Continuar • Rádio duplo 2x2: 2 • 2x2: 2 Dual 5GHz • 8 SSIDs por rádio • Sites pequenos / médios • Rádio duplo 3x3: 3 • 8 SSIDs por rádio • Interior • Sites Médios • Rádio duplo 4x4: 4 • 8 SSIDs por rádio • Interior • Sites grandes • Rádio duplo 2x2: 2 • 8 SSIDs • Interior • Sites pequenos • Rádio duplo 2x2: 2 • 8 SSIDs por rádio • Interior • Sites Médios • Rádio duplo 3x3: 3 • 8 SSIDs por rádio • Interior • Sites grandes • Rádio duplo 3x3: 3 • 8 SSIDs por rádio • Exterior • Sites grandes • Rádio duplo 2x2: 2 • 8 SSIDs • Interior • Sites pequenos Existem duas séries de pontos de acesso, AP e APX. Os modelos de ponto de acesso AP incluem o AP15, 55 e 100, cada um com duas versões. Um que pode ser colocado em uma mesa ou montado em uma parede e outro que pode ser montado em uma parede ou teto, indicado com um C no nome do modelo. O modelo 100x foi projetado para uso externo. A série APX de modelos de ponto de acesso oferece suporte ao padrão WLAN 802.11ac Wave 2.0. Selecione Compare pontos de acesso para comparar mais especificações técnicas para cada ponto de acesso, como alternativa, clique em Continuar.Selecione Compare pontos de acesso para comparar mais especificações técnicas para cada ponto de acesso, como alternativa, clique em Continuar.Selecione Compare pontos de acesso para comparar mais especificações técnicas para cada ponto de acesso, como alternativa, clique em Continuar.Selecione Compare pontos de acesso para comparar mais especificações técnicas para cada ponto de acesso, como alternativa, clique em Continuar. Engenheiro de firewall XG - 472 V i s ã o g e r a l s e m f i o Modelos de ponto de acesso - Série AP AP 15 / AP 15C AP 55 / AP 55C AP 100 / AP 100C AP 100X Desdobramento, desenvolvimento SOHO para ambiente interno Indoor Medium Enterprise Empresa de nível interno IP67 Outdoor de nível empresarial Rendimento máximo 300 Mbps 300 Mbps + 867 Gbps 450 Mbps + 1,3 Gbps 450 Mbps + 1,3 Gbps Vários SSIDs 8 8 por rádio (16 no total) 8 por rádio (16 no total) 8 por rádio (16 no total) Interfaces LAN 1 x 10/100/1000 Base TX 1 x 10/100/1000 Base TX 1 x 10/100/1000 Base TX 1 x 10/100/1000 Base TX Padrões de WLAN de suporte 802.11 b / g / n 2,4 GHz (O AP 15C também suporta 802.11 ac e 5Ghz) 802.11 b / g / n / ac 2,4 GHz e 5 GHz 802.11 b / g / n / ac 2,4 GHz e 5 GHz 802.11 b / g / n / ac 2,4 GHz e 5 GHz Power over Ethernet 802.3af 802.3at 802.3at 802.3at Número de rádios 1 2 2 2 Recursos MIMO 2x2: 2 2x2: 2 3x3: 3 3x3: 3 Continuar Todos os modelos, exceto os menores AP15s, suportam 802.11 a / b / g / n e ac nas bandas de 2.4Ghz e 5GHz com dois rádios, enquanto o AP15 possui um único rádio que suporta 802.11 b / g / n na banda de 2.4GHz. O AP15C suporta 802.11 ac e a banda de 5GHz, no entanto, como possui apenas um rádio, ele pode usar apenas 2.4GHz ou 5GHz, não os dois ao mesmo tempo. Os pontos de acesso Sophos podem transmitir até oito SSIDs por rádio, de modo que os modelos AP 15 podem transmitir até oito SSIDs e os outros modelos podem transmitir até dezesseis. Esta tabela fornece uma comparação dos modelos de acesso. Engenheiro de firewall XG - 473 V i s ã o g e r a l s e m f i o Modelos de ponto de acesso - Série APX APX320 APX530 APX740 Desdobramento, desenvolvimento Interior; montagem em mesa, parede ou teto Interior; montagem em mesa, parede ou teto Interior; montagem em mesa, parede ou teto Rendimento máximo 300 Mbps + 867 Gbps 450 Mbps + 1,7 Gbps 450 Mbps + 1,7 Gbps Vários SSIDs 8 por rádio (16 no total) 8 por rádio (16 no total) 8 por rádio (16 no total) Interfaces LAN 1 x porta serial do console do conector RJ45 1 x Ethernet RJ45 10/100/1000 com PoE 1 x porta serial do console do conector RJ45 1 x porta Ethernet 10/100/1000 RJ45 1 x Ethernet 10/100/1000 RJ45 com PoE 1 x porta serial do console do conector RJ45 1 x porta Ethernet 10/100/1000 RJ45 1 x Ethernet 10/100/1000 RJ45 com PoE Padrões de WLAN de suporte 802.11 a / b / g / n / ac 802.11 a / b / g / n / ac 802.11 a / b / g / n / ac Power over Ethernet 802.3af 802.3at 802.3at Número de rádios 1 banda dupla de 2,4 GHz / 5 GHz 1 banda única de 5 GHz 1 x baixa energia Bluetooth (BLE) 1 banda única de 2,4 GHz 1 banda única de 5 GHz 1 x baixa energia Bluetooth (BLE) 1 banda única de 2,4 GHz 1 banda única de 5 GHz 1 x baixa energia Bluetooth (BLE) Recursos MIMO 2x2 3x3 4x4 Continuar Todas as três séries APX são otimizadas para montagem na parede e no teto e são todas para uso interno. Esta tabela fornece uma comparação desses modelos. Engenheiro de firewall XG - 474 V i s ã o g e r a l s e m f i o Redes sem fio Engenheiro de firewall XG - 475 R e d e s s e m f i o Redes sem fio • Criar em PROTEGER> Redes sem fio> Redes sem fioCriar em PROTEGER> Redes sem fio> Redes sem fio Uma rede sem fio é uma configuração implantada nos pontos de acesso para permitir que os clientes se conectem ao ambiente sem fio. Pode haver algumas redes sem fio no XG que foram criadas como parte da configuração do dispositivo. Eles podem ser usados, modificados ou excluídos, dependendo de suas necessidades. Para criar uma nova rede sem fio, comece navegando para PROTEGER> Redes sem fio> Redes sem fio e clique Para criar uma nova rede sem fio, comece navegando para PROTEGER> Redes sem fio> Redes sem fio e clique Para criar uma nova rede sem fio, comece navegando para PROTEGER> Redes sem fio> Redes sem fio e clique no Adicionar botão no canto superior direito.no Adicionar botão no canto superior direito.no Adicionar botão no canto superior direito. Engenheiro de firewall XG - 476 R e d e s s e m f i o Configuração de rede sem fio Nome e descrição Não visível ao público Nome publicamente visível do SSID WEP Aberto WPA Pessoal / Empresa WPA2 Pessoal / Empresa Ponte de zona separada para AP LAN Bridge para VLAN Zona de tráfego Sub-rede para a rede sem fio Comece digitando um nome para a rede sem fio e, opcionalmente, uma descrição. O nome e a descrição são vistos apenas pelos usuários que têm acesso ao console de administração. Digite o SSID para a rede sem fio. Esse é o nome da rede sem fio que é visível publicamente. É usado para identificar a rede para os usuários que irão conectar seus dispositivos. O Modo de segurança define o tipo de criptografia a ser usado. Os modos suportados são WPA2, WPA e WEP. As práticas recomendadas nos orientam a usar o WPA2sobre qualquer outro tipo de criptografia, e o WEP deve ser evitado, a menos que os clientes não suportem qualquer forma de WPA. O tráfego do cliente pode ser tratado de três maneiras: • Encaminhado para o Sophos XG Firewall usando uma zona separada para isolá-lo da rede interna • Roteado para a mesma rede à qual o ponto de acesso está conectado (ponte para a LAN do AP) • Encaminhado para uma VLAN específica Isso será abordado com mais detalhes nos slides a seguir. Selecione a zona para a nova rede sem fio. A zona padrão será WiFi, mas pode ser configurada para qualquer zona criada. Por fim, atribua à nova rede sem fio um intervalo de IP. Observe que, dependendo da opção Tráfego do cliente selecionada, as últimas opções podem não ser necessárias. Por exemplo, se Bridge to VLAN estiver selecionado, em vez de Zone e IP Address, ele solicitará o ID da VLAN para o qual fazer a ponte. Engenheiro de firewall XG - 477 R e d e s s e m f i o Configuração de rede sem fio AES TKIP 2,4 GHz 5 GHz Ative e desative o wireless em certas vezes Se os clientes podem se ver SSID não é transmitido Lista de permissões e lista negra de endereços MAC Nas configurações avançadas de uma configuração de rede sem fio, várias configurações opcionais podem ser modificadas. Para os modos de segurança WPA ou WPA2, podemos selecionar o tipo de criptografia que gostaríamos de usar entre o cliente e o ponto de acesso. Pode ser o AES, que é o mais seguro, ou o TKIP ou um modo compatível que suporte o AES e o TKIP. A configuração Frequency Band permite controlar quais rádios estão ativados no ponto de acesso. As opções incluem ativar o rádio de 2,4 GHz, o rádio de 5 GHz ou ambos os rádios simultaneamente. O acesso baseado em tempo permite que um administrador ligue e desligue a rede sem fio configurando uma programação para uso. Isso permite que os administradores limitem o uso da rede sem fio, por exemplo, apenas ao horário comercial, para garantir que usuários não autorizados não tentem se conectar após o término do dia útil. O isolamento do cliente permite que os clientes conectados à rede sem fio não possam interagir entre si. Isso é útil nas redes de convidados, pois evita que usuários potencialmente mal-intencionados da rede de convidados interajam com outros usuários. A opção Ocultar SSID permite que o SSID da rede sem fio não seja transmitido ao público e, portanto, alguém precisaria conhecer o SSID para ingressar na rede. A filtragem de MAC tem duas opções disponíveis. Esses são: • Restringindo o acesso a uma lista específica de endereços MAC permitidos • Bloqueando o acesso a uma lista específica de endereços MAC Ao usar a filtragem MAC como uma medida de segurança adicional, um administrador pode ajudar a proteger seus Engenheiro de firewall XG - 478 R e d e s s e m f i o rede sem fio, permitindo apenas uma determinada lista de usuários ou bloqueando endereços MAC maliciosos conhecidos. Engenheiro de firewall XG - 478 A transição rápida do BSS (conjunto de serviços básicos) permite que a negociação principal e a solicitação de recursos sem fio ocorram simultaneamente, a fim de permitir transferências rápidas e seguras entre as estações base, para fornecer conectividade perfeita para dispositivos sem fio à medida que eles se movimentam. Isso é suportado apenas nas redes WPA2 Personal e Enterprise. Os clientes também devem apoiar 802.11r também. Para ativar a transição rápida, use a opção nas configurações avançadas da configuração de rede sem fio. Os pontos de acesso anunciarão suporte para WPA-PSK / Enterprise e FT-PSK / Enterprise, para que eles possam realizar roaming normal para clientes que não são capazes de transição rápida. Transição BSS rápida • IEEE 802.11r o Também conhecida como Fast BSS Transition (FT)o Também conhecida como Fast BSS Transition (FT) • Suporte para redes WPA2 (PSK e Enterprise) • Habilitado em configurações avançadas de rede sem fio • Os pontos de acesso anunciam suporte para WPA-PSK / Enterprise e FTPSK / Enterprise • O cliente deve ser compatível com IEEE 802.11r o Caso contrário, o roaming normal é realizadoo Caso contrário, o roaming normal é realizado Engenheiro de firewall XG - 479 R e d e s s e m f i o Modos de segurança: Bridge para AP LAN Gestão Tráfego Clientes sem fio Interruptor Ponto de acesso Rede local Firewall XG Tráfego Internet Vamos agora dar uma olhada nos diferentes modos de segurança disponíveis na configuração de rede sem fio do XG Firewall. Começamos com Ponte para AP LAN.Começamos com Ponte para AP LAN. A configuração Bridge to APLAN é usada quando o tráfego precisa ser roteado para a rede à qual o ponto de acesso está diretamente conectado. Com o Bridge to AP LAN, o tráfego nunca é enviado para o XG Firewall pelo ponto de acesso; em vez disso, simplesmente pega o tráfego e o lança diretamente na LAN na qual está conectado. O XG Firewall é usado apenas para o gerenciamento do ponto de acesso e para coletar informações de log do ponto de acesso. Engenheiro de firewall XG - 480 T r a f f i c T r a f f i c R e d e s s e m f i o d e t r á f e g o Modos de segurança: Bridge to VLAN Tráfego de gerenciamento da VLAN Y Tráfego marcado Switch gerenciado Tráfego de visitantes da VLAN Z Porta do tronco Clientes sem fio Ponto de acesso Rede local VLAN X Internet do firewall XG Proximo é Ponte para VLAN.Proximo é Ponte para VLAN. Em uma configuração de Bridge to VLAN, o tráfego sem fio é marcado pelo ponto de acesso, permitindo que os switches upstream, ou o XG Firewall, identifiquem que o tráfego está associado a uma VLAN específica. Isso permite que a rede sem fio estenda essa VLAN sem fio. O ponto de acesso deve estar conectado a um tronco ou porta híbrida no switch para poder ler os tags VLAN e rotear o tráfego corretamente. Novamente, o XG Firewall ainda se comunica com o ponto de acesso para gerenciamento e coleta de log, mas pode não estar necessariamente envolvido no roteamento do tráfego. Observe que, para transmitir uma ponte para a rede sem fio da VLAN, o ponto de acesso deve ser configurado para usar uma VLAN para gerenciamento de tráfego. As opções de ponte para VLAN só ficam disponíveis depois que você define uma VLAN para gerenciamento. Engenheiro de firewall XG - 481 T r á f e g o V L A N X T r á f e g o V A L N Z C o n v i d a d o T r á f e g o R e d e s s e m f i o Modos de segurança: Zona separada Gerenciamento bloqueado pelo firewall regra VXLAN Clientes sem fio Interruptor Ponto de acesso Rede local no eth5 Internet do firewall XG Por fim, temos o Zona separada configuração.Por fim, temos o Zona separada configuração.Por fim, temos o Zona separada configuração. A zona separada permite que um administrador segmente o tráfego sem fio sem usar uma VLAN, o que geralmente é muito útil em ambientes menores que podem não usar comutadores gerenciados ou ter um ambiente de rede complexo, mas que ainda desejam proteger o tráfego sem fio, por exemplo, para acesso de convidados. Com uma configuração de zona separada, todo o tráfego é alimentado em um túnel VXLAN por uma interface sem fio no XG Firewall. A partir daí, o XG Firewall o tratará como qualquer outro tráfego proveniente de uma interface. Por padrão, a interface é chamada wlan <NÚMERO>. Esse tráfego deve ser roteado para qualquer rede permitida, interna ou externamente, e é necessário criar regras para permitir esse tráfego. Ao configurar uma zona separada, algumas etapas adicionais que você pode precisar executar incluem: • Crie um servidor DHCP para a rede sem fio nessa interface • Adicione a interface às redes permitidas para DNS, se for uma rede convidada • Crie regras de firewall e NAT que incluem proteção da Web, políticas de IPS e quaisquer outros módulos de segurança para proteger os usuários Engenheiro de firewall XG - 482 T r á f e g o Re d e s s e m f i o Atividade Combine o modo de segurança com sua descrição Ponte para LAN AP Ponte para VLAN Zona separada Cria uma VXLAN entre o ponto de acesso e uma interface sem fio no XG Firewall O tráfego é roteado para a rede à qual o ponto de acesso está conectado O tráfego é roteado para uma VLAN específica pelo primeiro dispositivo encontrado que pode rotear o tráfego da VLAN Engenheiro de firewall XG - 483 R e d e s s e m f i o Atividade A resposta correta é mostrada abaixo Cria uma VXLAN entre o ponto de acesso e uma interface sem fio no XG Firewall O tráfego é roteado para a rede à qual o ponto de acesso está conectado O tráfego é roteado para uma VLAN específica pelo primeiro dispositivo encontrado que pode rotear o tráfego da VLAN Ponte para LAN AP Ponte para a zona separada da VLAN Engenheiro de firewall XG - 484 R e d e s s e m f i o Desdobramento, desenvolvimento Engenheiro de firewall XG - 485 D e s d o b r a m e n t o , d e s e n v o l v i m e n t o Desdobramento, desenvolvimento • O ponto de acesso obtém um endereço IP e um gateway de um servidor DHCP • O ponto de acesso tenta conectar-se ao 1.2.3.4 (o IP mágico) • O Sophos XG Firewall redireciona os pacotes destinados ao 1.2.3.4 para si próprio o O IP mágico pode ser definido usando uma opção DHCP especialo O IP mágico pode ser definido usando uma opção DHCP especial - OPTION_IP, OxEA, / * wireless-security-magic-ip * / - Código da opção 234 - O Sophos XG Firewall incluirá seu próprio IP como o IP mágico em sua própria configuração DHCP Endereço IP e gateway DHCP Conecte-se ao 1.2.3.4 Intercepte e responda Ponto de acessoFirewall XG Para fins de solução de problemas, é muito útil entender como o firewall XG encontra e registra pontos de acesso para uso com a Proteção Sem Fio. Quando um ponto de acesso é conectado à rede e obtém um endereço IP de um servidor DHCP, o AP tenta se conectar ao XG Firewall usando o endereço 'IP mágico' de 1.2.3.4, que é um endereço de Internet válido. Quando a Segurança sem fio está ativada, o Sophos XG Firewall redireciona todos os pacotes destinados ao endereço 1.2.3.4 para si mesmo e responde de volta ao ponto de acesso que enviou a solicitação. Se o firewall XG não estiver no caminho para a Internet, por exemplo, ele não é o gateway padrão da rede, uma opção DHCP especial para selecionar o Sophos XG Firewall de destino: {OPTION_IP, 0xEA}, / * wireless-security-magic-ip * / pode ser usado. Por padrão, o XG Firewall configurará e passará essa opção se estiver configurado como um servidor DHCP para a rede. Quando um AP Sophos está conectado à rede, o AP usa difusões de solicitação DHCP. O ponto de acesso que atua como um cliente DHCP usa uma lista de solicitações de parâmetros em sua mensagem DHCP Discover que solicita determinados parâmetros do servidor DHCP. Se o servidor DHCP fornecer o parâmetro especial, código 234, wireless-security-magic-ip, ele será usado como o endereço IP ao qual se conectar ao iniciar a conexão de controle. Para mais informações, consulte KBA 119131: http://www.sophos.com/en-us/support/knowledgebase/119131.aspx Engenheiro de firewall XG - 486 D e s d o b r a m e n t o , d e s e n v o l v i m e n t o Desdobramento, desenvolvimento 1 • Conecte o ponto de acesso a uma rede atrás do XG Firewall 2 • Navegar para: PROTEGER> Sem Navegar para: PROTEGER> Sem fio> Pontos de acesso 3 • Aceite o ponto de acesso pendente 4 • Veja o status para garantir que ele esteja conectado Para conectar um ponto de acesso ao Sophos XG Firewall, primeiro conecte fisicamente o ponto de acesso a uma rede conectada ao firewall. O ponto de acesso descobrirá o Sophos XG Firewall depois de obter um endereço DHCP. Depois disso, ele será exibido como um Ponto de acesso pendente dentro PROTEGER> Sem fio> Pontos de acesso. Após aceitar o ponto de acesso, selecionando as caixas de seleção e clicando no PROTEGER> Sem fio> Pontos de acesso. Após aceitar o ponto de acesso, selecionando as caixas de seleção e clicando no botão Aceitar, ele passará de um ponto de acesso pendente para um ponto de acesso ativo. Observe que o ponto de acesso pode ficar offline após ser aceito. Isso é normal, pois ele pode executar uma atualização de firmware diretamente após ser aceito, a fim de corresponder ao firmware do firewall. Isso normalmente leva entre 5 a 10 minutos. Engenheiro de firewall XG - 487 D e s d o b r a m e n t o , d e s e n v o l v i m e n t o Wireless incorporado • Como a conexão sem fio integrada difere dos pontos de acesso o Não se conecta através de uma interface de redeo Não se conecta através de uma interface de rede o Aparece como dispositivo localo Aparece como dispositivo local o Suporta 2.4Ghz ou 5Ghz com um único rádioo Suporta 2.4Ghz ou 5Ghz com um único rádioo Suporta 2.4Ghz ou 5Ghz com um único rádioo Suporta 2.4Ghz ou 5Ghz com um único rádio XG 85w XG 105w XG 115w XG 125w XG 135w Desdobramento, desenvolvimento Varejo / SOHO Desktop Escritório pequeno Escritório pequeno Filial pequena Área de Trabalho Filial crescente Área de Trabalho Taxa de transferência sem fio Até 300 Mbps Até 450 Mbps Até 450 Mbps Até 1,3 Gbps Até 1,3 Gbps Vários SSIDs 8 8 8 8 8 Portas 4 portas de cobre da GE 4 portas de cobre da GE 4 portas de cobre da GE 8 portas de cobre da GE 8 portas de cobre da GE WLAN suportada Padrões 802.11a / b / g / n 2,4 GHz / 5 GHz 802.11a / b / g / n / ac 2,4 GHz / 5 GHz Número de rádios 1 1 1 1 1 Recursos MIMO 2x2: 2 3x3: 3 3x3: 3 3x3: 3 3x3: 3 A Sophos possui uma variedade de cinco dispositivos que incluem a conexão sem fio integrada, que fornece a mesma funcionalidade que o uso de um ponto de acesso Sophos sem a necessidade de hardware extra. Ao contrário de outros firewalls com conexão sem fio integrada, no entanto, a cobertura pode ser estendida conectando outros pontos de acesso Sophos, além de estender a cobertura sem fio. Todos os aparelhos com conexão sem fio integrada: • Possui três antenas externas que suportam 3x3 MIMO (Multiple In, Multiple Out), exceto o XG 85w, que possui 2 antenas, suportando 2x2 MIMO • Suporta frequências de 2,4 Ghz e 5 Ghz, no entanto, como eles têm apenas um rádio, podem usar apenas uma dessas frequências por vez O XG 85w suporta 802.11a / b / g / n até 300 Mbps, o XG 105w e XG 115w suportam até 450 Mbps, e o XG 125w e XG 135w suportam até 1,3 Gbps O XG 125w e o XG 135w também suportam 802.11ac na frequência de 5 Ghz até 1,3 Gbps. Isso poderá voltar a usar o 802.11n para clientes que não suportam o padrão 'ac'. Se o dispositivo sem fio embutido não puder cobrir todo o escritório, ele poderá ser estendido conectando pontos de acesso Sophos adicionais e usando-os da mesma forma que faria em dispositivos que não possuem dispositivos sem fio embutidos. Não há diferenças significativas entre o uso do ponto de acesso sem fio e Sophos embutido. Os principais itens a serem observados são: • Como a rede sem fio integrada faz parte do hardware e não está conectada através da rede, você não precisa adicionar nenhuma rede às 'interfaces permitidas' Engenheiro de firewall XG - 488 D e s d o b r a m e n t o , d e s e n v o l v i m e n t o • O wireless incorporado aparecerá como um 'dispositivo WiFi local' na lista de pontos de acesso. Não pode ser excluído desta lista e sempre estará ativo Engenheiro de firewall XG - 488 Ao trabalhar com a rede sem fio integrada em um XG Firewall, não é necessário aceitar o ponto de acesso interno. É um dispositivo local que está sempre ativo, desde que o recurso de proteção sem fio esteja ativo no dispositivo. É chamado LocalWifi0 e o nome não pode ser modificado. Ponto de acesso incorporado • Dispositivo local • Sempre ativo, não precisa ser aceito Engenheiro de firewall XG - 489 D e s d o b r a m e n t o , d e s e n v o l v i m e n t o Depois de configurar as redes sem fio e implantar os pontos
Compartilhar