Documentacion Sophos Firewall

Sophos Firewall v19.
5
Administrador certificado de Sophos
Agenda del curso
1 Descripción general de Sophos Firewall 8 Protección Web
2 Implementación de Sophos Firewall 9 Control de aplicaciones
3 Introducción a Sophos Firewall 10 Acceso remoto
4 Base Firewall 11 Protección inalámbrica
5 Protección de red 12 Registro e informes
6 Conexiones de sitio a sitio 13 Administración central de cortafuegos
7 Autenticación 14 Revisión del curso

Información adicional
Cuando vea este icono, puede encontrar

información adicional en las notas del
folleto del estudiante
Información adicional
en las notas
Glosario de términos técnicos
Un glosario de términos técnicos utilizados a lo largo del

curso se puede encontrar en el artículo de la base de
conocimientos KB-000034650
https://support.sophos.com/support/s/article/KB-000034650
COMENTARIOS SOBRE LA CAPACITACIÓN
Los comentarios son siempre bienvenidos

Por favor envíe un correo electrónico
globaltraining@sophos.com
Descripción general de Sophos Firewall
¿Qué es Sophos Firewall?
Sophos Firewall
Version: 19.0v1
En este capítulo aprenderá las CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS

funciones clave realizadas por
 Experiencia de Sophos Central e InterceptX
Sophos Firewall.  Conocimiento práctico de redes, incluidas
subredes, enrutamiento, VLAN y VPN
 Experiencia en la configuración de dispositivos
de seguridad de red
 Conocimiento de algoritmos y certificados
fundamentales de cifrado y hashing
DURACIÓN
10 minutos
Firewall de próxima Protección todo en uno Protección escolar

generación
Cumplimiento y control asequibles
Consolide, simplifique y ahorre
Visibilidad, protección y respuesta y sencillos
Integración de endpoints Nube pública

SD-WAN & Sucursal
Retail, sucursal, ICS Y SD-WAN Seguridad sincronizada y respuesta Protección para Azure y redes
automatizada híbridas
Exponga los riesgos ocultos

Véalo La visibilidad superior de la actividad de riesgo, el tráfico sospechoso y
las amenazas avanzadas le ayuda a recuperar el control de su red.
Detenga las amenazas desconocidas

Basta Las potentes tecnologías de protección de última generación, como el aprendizaje
profundo y la prevención de intrusiones, mantienen su organización segura.
Aislar sistemas infectados

Asegúrelo Automatic threat response instantly identifies and isolates
compromised systems on your network and stops threats from spreading.
Véalo
Véalo
Basta
Asegúrelo
Basta
Firewall de próxima generación Firewall de aplicaciones web
Sistema de prevención de intrusiones Protección avanzada contra amenazas

Véalo
Visibilidad y control de aplicaciones Seguridad sincronizada
Protección web e inspección SSL Aprendizaje profundo

Basta
Sandboxing Correo electrónico, DLP, cifrado
Protección inalámbrica RED y VPN
Asegúrelo
Asegúrelo
Servidor de malware Sophos Firewall Sophos Central
Véalo Phishing
Servers
Email
Sophos Firewall
Host Infectado
Basta Security Heartbeat™

Internet
Dispositivos
Asegúrelo
Ataque de ransomware
Arquitectura Xstream
Descifrado TLS 1.3
Motor de inspección profunda de

paquetes
Xstreme Network Fastpath

Descripción general de Zero Trust
Confianza
Zero Trust es una mentalidad de

ciberseguridad basada en el principio de
No confíes en nada, comprueba todo
Descripción general de Zero Trust
Usuarios remotos Confianza
SaaS
ZTNA y firewalls
Sophos Central
Acceso perimetral de ZT ZTNA

SD-RED servicio
SD-WAN VPN
AWS Azure
APX Acceso a la red principal Switch

Dispositivos
Segmentación de red !
Switch
Aplicaciones
Switch
Internet
Sophos Firewall
Usuarios
Protección de movimiento lateral
Local Area Network
Huésped infectado
Switch
Internet
Endpoint
Sophos Firewall
Servidor de aplicaciones
Question 1 of 2
La protección del movimiento lateral es posible gracias a cuál de
las siguientes opciones?
Protección avanzada
Seguridad sincronizada
contra amenazas
Sistema de prevención de
Sandboxing
intrusiones
Question 1 of 2
La protección del movimiento lateral es posible gracias a cuál de
las siguientes opciones?
Advanced Threat
Synchronized Security
Protection
Intrusion Prevention
Sandboxing
System
Question 2 of 2
¿Elija 2 características de la arquitectura Xstream?
Descifrado TLS 1.3 Aprendizaje profundo
Visibilidad y control de Inspección profunda de

aplicaciones paquetes
Question 2 of 2
¿Elija 2 características de la arquitectura Xstream?
TLS 1.3 Decryption Deep Learning
Application Visibility and

Deep Packet Inspection
Control
Revisión del capítulo
Un dispositivo de seguridad de red integral, con un firewall basado en zonas y políticas

basadas en identidad en su núcleo
Puede exponer riesgos ocultos, detener amenazas desconocidas y aislar sistemas

infectados
Admite ZTNA al proporcionar segmentación de red y protección de movimiento lateral.

Implementación de Sophos Firewall
Opciones de implementación
de Sophos Firewall y
escenarios comunes
Sophos Firewall
Version: 19.5v1
Opciones de implementación de Sophos Firewall y escenarios comunes
En este capítulo aprenderá qué CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS

plataformas se pueden utilizar
 Cómo actúa Sophos Firewall como firewall basado
para implementar Sophos en zonas con políticas basadas en identidad
Firewall y algunas de las formas  Las múltiples capas de protección proporcionadas
para detectar y bloquear ataques
comunes en que se implementa.
DURACIÓN
11 minutos
Opciones de implementación
Hardware Software
Sophos XGS y XG Devices Intel Compatible Hardware
Virtual Cloud
Hyper-V, VMWare,
Azure, AWS, Nutanix
Xen Server, KVM
RENDIMIENTO Y PROTECCIÓN
Aspectos destacados de la serie XGS
ARQUITECTURA DE PROCESADOR DUAL

La gestión inteligente y eficiente
del tráfico libera recursos para
tareas intensivas
PORT DENSITY AND DIVERSITY
Combina una CPU multinúcleo con un

procesador Xstream Flow dedicado
para la aceleración de hardware
La amplia gama de opciones de

conectividad integradas y adicionales
proporcionan flexibilidad
Descripción general del hardware de la serie XGS
Unidad de
procesamiento de red
(NPU) + memoria
CPU + memoria de 64
NPU
bits
Optional modules for

network port
Puertos de red fijos expansion
Compatibilidad con Falla al cablear

PoE
Modelos de la serie XGS
Modelos de escritorio
Modelos 1U
(1.75 inches)
Modelos 2U
(3 inches)
Modelos de escritorio XGS
87/87w 107/107w 116/116w 126/126w 136/136w

CPU (núcleos/hilos) 2/2 4/4 2/4
MEMORIA 4 GB 6 GB 8 GB
ALMACENAMIENTO 16 GB 64 GB
PUERTOS FIJOS 5 9 14
MÓDEM VDSL SFP Optional
3G/4G MÓDULO n/a Opcional
POWER unica Fuente de alimentación doble opcional
Modelos inalámbricos XGS
87w 107w 116w 126w 136w

ANTENA 2 3
RADIOS 1
NORMAS 802.11a/b/g/n/ac Dual Band
MÓDULO n/a 2x2 MIMO 802.11n/ac Dual Band
INALÁMBRICO
OPCIONAL
XGS 1U Models
XGS 3100 XGS 4300

2100 2300 3100 3300 4300 4500
CPU (núcleos/hilos) 2/4 2/4 4/4 4/8 6/12 8/16
MEMORIA 8 GB 12 GB 16 GB 32 GB
ALMACENAMIENTO 120 GB 240 GB 2 x 240 GB
SW RAID
PUERTOS FIJOS 10 12
BAHÍAS DE FLEXIPORT 1
PODER Fuente de
alimentación
PSU externa opcional intercambiable en
caliente opcional
XGS 2U Models
XGS 5500 XGS 6500

5500 6500
CPU (núcleos/hilos) 16/32 24/48
MEMORIA 64 GB 80 GB
ALMACENAMIENTO 2 x 480 HW RAID 2 x 480 HW RAID
FIXED PORTS 16 20
BAHÍAS DE FLEXIPORT 2
BAHÍAS DE EXPANSIÓN NIC 1 2
PODER 2 2
Módulos FlexiPort
4 Port 10 GbE SPF+ 8 Port GbE SFP
4 Port 2.5 GbE PoE 4 Port GbE copper 8 Port GbE

(1U only) (2 bypass pairs)
4 Port GbE PoE 2 Port GbE Fibre (LC) Bypass

& 4 Port GbE & 4 Port GbE SFP+
Compatibilidad con la interfaz Breakout
Additional information in
Plataformas de virtualización compatibles the notes
Before installing, turn off guest additions and services, and stop automated backups and snapshots
Microsoft Hyper-V VMware KVM
Citrix XenApp Nutanix Prism

Modo Gateway
WAN zona
Internet Port B
Port A Port C
Sophos DMZ zone
LAN zone
Firewall
Modo Bridge
WAN zone Existente

+ Seguridad sincronizada
Cortafuegos + Prevención de intrusiones
+ Protección avanzada contra amenazas
Internet Port B + Puente de zonas LAN y DMZ
Port A Port C
Sophos DMZ zone
LAN zone
Firewall
Firewall de aplicaciones web
Desbordamientos de búfer
WAN zone Existing
Firewall
Internet Port B + Firewall de aplicaciones web
Port A Port C
Sophos DMZ zone
LAN zone
Firewall
Inyección SQL Web Server App Server

Escalada de privilegios
Modo Discover Existing
Firewall
WAN zone
Existing Firewall
Internet
Switch
LAN zone Port D DMZ zone

Port A Discover mode
Management enabled port
port
+ Port Mirroring
Sophos + Security Audit Report
Firewall
Question 1 of 3
¿En qué plataformas en la nube es compatible Sophos Firewall?
Amazon Web Google Cloud

Microsoft Azure
Services (AWS) Platform (GCP)
Nutanix Oracle
Question 1 of 3
¿En qué plataformas en la nube es compatible Sophos Firewall?
Amazon Web Google Cloud

Microsoft Azure
Services (AWS) Platform (GCP)
Nutanix Oracle
Question 2 of 3
¿Cuántas radios tienen los modelos inalámbricos de la serie XGS?
Answer
Question 2 of 3
¿Cuántas radios tienen los modelos inalámbricos de la serie XGS?
1
Answer
Question 3 of 3
VERDADERO o FALSO: El número de puertos se puede ampliar
utilizando módulos adicionales.
VERDADERO FALSO
Question 3 of 3
VERDADERO o FALSO: El número de puertos se puede ampliar
utilizando módulos adicionales.
VERDADERO FALSO
Sophos Firewall se puede implementar utilizando dispositivos de hardware de las series

XGS y XG, prácticamente en las instalaciones y en la nube, o utilizando hardware
compatible con Intel
Los dispositivos de la serie XGS tienen una CPU de 64 bits y una unidad de
procesamiento de red (NPU) separada, ambas con su propia memoria. La serie XGS es
compatible con fuentes de alimentación duales, PoE, falla por cable y expansión con
módulos FlexiPort
Sophos Firewall se puede implementar para su uso de varias maneras, las más comunes
son el modo de puerta de enlace predeterminado, como puente transparente, para la
protección del servidor web y en modo de descubrimiento
Consideraciones para
implementar Sophos Firewall
en escenarios comunes
Sophos Firewall
Version: 19.0v1
Consideraciones para implementar Sophos Firewall en
escenarios comunes
En este capítulo aprenderá sobre CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
las características de los
 Despliegue de Sophos Firewall en el modo de
diferentes modos de gateway predeterminado
implementación de Sophos  Otras opciones de implementación como puente
transparente, para la protección del servidor web y
Firewall. en modo de detección
DURACIÓN
15 minutos
Modos de implementación
Modo Gateway Modo Bridge
• Más utilizados • Totalmente transparente

• Opción predeterminada • Solución drop-in
Modo Mixed Modo Discover
• Puerta de enlace y puente • También se llama TAP

• Configuraciones complejas • Supervisión y presentación de
informes únicamente
Descripción general del modo Gateway
Modo de implementación más común
Requerido para:
• Concentrador VPN
• Múltiples vínculos WAN
•
LAN Zone WAN Zone

Internet
Network: 192.168.0.0/24
Gateway: 192.168.0.1
Sophos Firewall
Ejemplo de modo Gateway
LAN WAN
ISP 1
Sophos Firewall
ISP 2
Ejemplo de modo Gateway
LAN WAN
ISP 1
Sophos Firewall
DMZ
ISP 2
Descripción general del modo Bridge
• Se usa en línea con la implementación
existente
• Sin cambios en la topología
• Úselo como solución directa
LAN IP:
192.168.0.1/24
Internet
Network: 192.168.0.0/24 Sophos Firewall Firewall
Default Gateway: 192.168.0.1
El modo puente también se conoce como modo transparente, modo en línea y modo drop-in
Ejemplo de modo Bridge
Internet
Sophos Firewall providing Existing Firewall
Web Filtering
Synchronized Security
Advanced Threat Protection
IPS
Application Control
…
..
.
Modo Bridge
 ARP transparente
 Procesamiento de tráfico de varias subredes
 VLAN de filtro
 Captación de conexión a mitad de flujo
No soporta:
• Uso de Sophos Firewall como concentrador VPN
• Múltiples vínculos WAN
Falla al cablear the notes
Modo normal Modo de derivación
LAN WAN LAN LAN LAN LAN LAN WAN LAN LAN LAN LAN
BP BP
3/4 3/4
Bypass pair
1 2 3 4 5 6 1/2 1 2 3 4 5 6 1/2
# xgs-ftw [-s|-e|-d|-a] <bypass_pair>
# xgs-ftw -s Show status
# xgs-ftw -e 1 Enable bypass for pair 1
# xgs-ftw -d 1 Disable bypass for pair 1
# xgs-ftw -a 1 Enable bypass for pair 1 when failure occurs

Interfaces Bridge
Modo Mixed
• Combinación de los modos Bridge y Gateway

• Funciona con varios pares de puentes/múltiples
puentes
Creación de interfaces bridge
Nombre, nombre del hardware

y descripción
Seleccionar interfaces
y zonas
Dirección IP y subred para el puente

Ejemplo de modo Mixed
Internet
SOPHOS Es posible que

Sophos Firewall Protection
algunos equipos
aún estén
conectados a
En redes muy través de un
pequeñas, los conmutador
Switch
equipos pueden
estar conectados
directamente a
Sophos Firewall
• Puerto LAN interno

Internet
• Puerto inalámbrico
interno
Port B
WiFi • Puerto WAN externo
Port C
Port A
Puente Puerto A Bridge permite que el tráfico pase de forma

y Puerto C transparente entre redes
LAN
Internet
IP: 60.60.60.1
• Sin modo mixto Proxy

IP:60.60.60.10 IP:60.60.60.11 IP:60.60.60.12 IP:60.60.60.13
GW: 60.60.60.1 GW: 60.60.60.1 GW: 60.60.60.1 GW: 60.60.60.1
• Servidores públicos
• Proxy dedicado para acceso LAN a 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.100

WAN
LAN: 192.168.0.0/24
PC: 192.168.0.160
GW: 192.168.0.100
Puerto A,B – Puente
Internet
Puerto C- Ruta
Port B -WAN
192.168.0.100
• Sophos Firewall en modo mixto Port C - LAN
Port A - DMZ IP: 60.60.60.1
• WAN y DMZ puenteados
IP:60.60.60.10 IP:60.60.60.11 IP:60.60.60.12

GW: 60.60.60.1 GW: 60.60.60.1 GW: 60.60.60.1
• Puerto LAN en modo Gateway
LAN: 192.168.0.0/24
PC: 192.168.0.160
GW: 192.168.0.100
Question 1 of 2
¿Qué funciones no son compatibles con Sophos Firewall
implementado en modo puente?
Protección de
Concentrador VPN Protección Web
correo electrónico
Múltiples enlaces
Descifrado TLS
WAN
Question 1 of 2
¿Qué funciones no son compatibles con Sophos Firewall
implementado en modo puente?
Protección de
Concentrador VPN Protección Web
correo electrónico
Múltiples enlaces
Descifrado TLS
WAN
Question 2 of 2
¿Qué comando se utiliza en la consola para habilitar el fail-to-wire
en los dispositivos de la serie XGS?
Question 2 of 2
¿Qué comando se utiliza en la consola para habilitar el fail-to-wire
en los dispositivos de la serie XGS?
xgs-ftw
Existen en términos generales cuatro modos de implementación para Sophos Firewall: puerta de enlace,
puente, mixto y descubrimiento. El modo mixto es una combinación del modo de puerta de enlace, el tipo
más común de implementación, y el modo puente, ya que no es un puente transparente puro.
El modo puente es un puente totalmente transparente que se implementa en línea sin cambiar la
topología de red. Como es transparente, no admite la terminación de VPN o múltiples enlaces
WAN
Fail-to-wire es una función de tolerancia a fallos en los dispositivos de la serie XGS que protege
sus comunicaciones empresariales esenciales en caso de un corte de energía. Lo usaría al
implementar en modo puente
Despliegue de Sophos Firewall
mediante el asistente de
configuración inicial
Sophos Firewall
Version: 19.0v1
Despliegue de Sophos Firewall mediante el asistente de
configuración inicial
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS

utilizar el Asistente de
configuración inicial para en zonas
configurar Sophos Firewall.  Las múltiples capas de protección proporcionadas
para detectar y bloquear ataques
DURACIÓN
10 minutos
Conexión de Sophos Firewall a la red
SOPHOS
Protection
1/LAN 2/WAN
El puerto WAN predeterminado
El puerto LAN predeterminado al
Se puede seleccionar un puerto
que conectarse para la diferente en el asistente de
configuración inicial configuración inicial
Interfaz de línea de comandos (CLI) the notes
SSH Console
Credenciales predeterminadas:
• Nombre de usuario: admin
• Contraseña: admin
Estas credenciales se cambian como parte del
asistente de configuración inicial
Simulación: Configuración de red mediante la CLI
En esta simulación, utilizará la CLI

para cambiar la dirección IP del
puerto de administración para que
esté en su rango de IP de LAN.
SIMULACIÓN DE LANZAMIENTO CONTINUAR
https://training.sophos.com/fw/simulation/CliConf/1/start.html
Administración Web
Default IP address: 172.16.16.16 (/24)

Port: 4444
WebAdmin URL: https://DeviceIP:4444
Asistente de configuración inicial
Set a new admin password
Update the firmware
Agree to the licence
Optionally:
• Restore a backup
configuration
• Connect as high-
availability spare
Configurar la conexión a
Internet
Este paso se omite si DHCP

configura el puerto WAN
Enter a hostname
Set the time zone

Registrar Sophos Firewall
Ingrese el número de serie,

esto se rellena previamente
en los dispositivos de
hardware
Opcionalmente:
• Iniciar una prueba
• Migrar una licencia UTM
• Aplazar el registro
•
Configurar la red LAN
Seleccione qué puertos

enlazar para crear la LAN
Seleccione la puerta de
enlace
Configurar la dirección IP
Opcionalmente, habilite
DHCP
Configure the LAN network
Select the LAN port
Select the gateway mode
Configure the IP address
Optionally enable DHCP

Enable protection in the

default outbound firewall
rule
Introduzca una dirección de

correo electrónico y un
remitente para las
notificaciones
Opcionalmente, especifique
un servidor de correo
interno para las
notificaciones
Opcionalmente, habilite las

copias de seguridad
automáticas e introduzca
una contraseña de cifrado
Simulación: Asistente de configuración inicial de Sophos
Firewall
En esta simulación, configurará

Sophos Firewall mediante el
asistente de configuración inicial.
LAUNCH SIMULATION CONTINUE
https://training.sophos.com/fw/simulation/InitialSetup/1/start.html
Clave maestra de almacenamiento seguro
Clave maestra de almacenamiento seguro the notes
Question 1 of 2
Ha recibido un nuevo hardware de Sophos Firewall. ¿Cuál es la
dirección IP predeterminada y el puerto que se utiliza para acceder
al dispositivo?
172.16.16.16:4444 172.16.16.16:443
172.16.16.254:18080 192.168.0.1:4444
Question 1 of 2
Ha recibido un nuevo hardware de Sophos Firewall. ¿Cuál es la
dirección IP predeterminada y el puerto que se utiliza para acceder
al dispositivo?
172.16.16.16:4444 172.16.16.16:443
172.16.16.254:18080 192.168.0.1:4444
Question 2 of 2
Está preparando un Sophos Firewall para su instalación en un sitio
remoto. El pedido de la licencia aún no se ha procesado. ¿Qué
opción de registro de dispositivo selecciona en el asistente de
configuración inicial?
Tengo un número de serie No tengo un número de

existente serie (Iniciar una prueba)
Me gustaría migrar mi No quiero registrarme

licencia UTM 9 ahora ahora
Question 2 of 2
Está preparando un Sophos Firewall para su instalación en un sitio
remoto. El pedido de la licencia aún no se ha procesado. ¿Qué
opción de registro de dispositivo selecciona en el asistente de
configuración inicial?
Tengo un número de serie No tengo un número de

existente serie (Iniciar una prueba)
Me gustaría migrar mi No quiero registrarme

licencia UTM 9 ahora ahora
La CLI se puede usar para cambiar la dirección IP del puerto de administración para que
pueda conectarse al WebAdmin para completar el asistente de configuración inicial
El Asistente para la instalación inicial proporciona una interfaz web para configurar y
registrar el firewall
La clave maestra de almacenamiento seguro se utiliza para proporcionar protección

adicional para los detalles de la cuenta y la contraseña almacenados en el dispositivo y
en las copias de seguridad de la configuración.
Tareas de laboratorio
Complete las tareas de laboratorio para la implementación de

Sophos Firewall:
 Tarea 1: Regístrese para una evaluación de Sophos Central
 Tarea 2: Activar Sophos Firewalls
Introducción a Sophos Firewall
Navegación y gestión de
Sophos Firewall
Sophos Firewall
Version: 19.5v1
Navegación y gestión de Sophos Firewall
Cuando haya completado este CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS

capítulo, estará familiarizado con
 Configuración de Sophos Firewall mediante el
Sophos Firewall WebAdmin y asistente de configuración inicial
comprenderá cómo utiliza los
objetos como bloques de
creación para la configuración de
reglas y políticas.
DURACIÓN
11 minutos
WebAdmin: Centro de control
WebAdmin: Menú principal
Información sobre la actividad

actual, informes y herramientas de
diagnóstico
Configurar directivas de reglas y

opciones relacionadas con las
características de protección
Configurar conectividad,
enrutamiento, autenticación y
configuración global
Configuración de acceso a
dispositivos, objetos y perfiles que se
usan en reglas y directivas
WebAdmin: Navegación con pestañas
WebAdmin: Configuración avanzada
Mostrar adicional
Configuración de informes
WebAdmin: Menú desplegable de administración
WebAdmin: Ayuda
WebAdmin: Visor de registros
Guías prácticas
View How-to videos

Objetos
Los objetos son los bloques de creación para reglas y políticas
Definir hosts, redes, servicios, grupos y perfiles
Se puede crear en línea al configurar reglas y políticas

Hosts
IP MAC FQDN
Hay tres tipos de objetos host en Sophos Firewall: IP, MAC y FQDN
Hosts
IP MAC FQDN
La versión de IP y el tipo de host no se

pueden cambiar después de la creación
Los grupos de hosts IP se pueden utilizar

para agrupar objetos de host IP para
direcciones IP, redes e intervalos de IP,
pero no listas de IP
Hosts
IP MAC FQDN
El tipo no se puede cambiar después de

Las listas están separadas por comas
haberlo creado
Hosts
IP MAC FQDN
Admite el prefijo comodín para resolver

subdominios
Se puede agrupar con grupos host de

FQDN
Servicios
Servicio basado en
Puertos TCP y UDP
Servicio basado en
Números de protocolo IP
Servicio basado en
tipos y códigos ICMP
Grupos de países
Perfiles
Horario Tiempo de entrada
Permitir o denegar una acción para una
Define un período de tiempo
programación
Recurrente o puntual
Cuota de surf Cuota de tráfico de red

Restricciones de ancho de banda
Restricciones de tiempo de navegación
Carga/descarga separada o combinada
Recurrente o puntual
Descifrado IPsec
Parámetros IKE para establecer túneles entre
Configuración para el descifrado TLS
dos firewalls
Acceso al dispositivo
Roles para administradores
Actualizaciones de firmware
Upload firmware
Boot firmware image
Boot with factory

default configuration
Actualizaciones de firmware
Tres actualizaciones de firmware gratuitas

Las actualizaciones obligatorias durante el asistente de instalación inicial no
cuentan
Las actualizaciones de patrones no se ven afectadas
Question 1 of 2
En el ejemplo que se muestra London Servers es
FQDN Host Grupo de hosts IP
Grupo host de FQDN IPv4 Host
CONTINUE
Question 1 of 2
En el ejemplo que se muestra London Servers es
FQDN Host Grupo de hosts IP
Grupo host de FQDN IPv4 Host
CONTINUE
Question 2 of 2
¿Se pueden crear objetos de servicio para cuál de los siguientes?
Puertos TCP/UDP Número de protocolo IP
Tipo y código ICMP Todos estos
CONTINUE
Question 2 of 2
¿Se pueden crear objetos de servicio para cuál de los siguientes?
Puertos TCP/UDP Número de protocolo IP
Tipo y código ICMP Todos estos
CONTINUE
El menú principal es la herramienta de navegación principal y se divide en cuatro

secciones. Las páginas se dividen en pestañas para acceder a cada área de configuración
Cada página proporciona un enlace a ayuda contextual
Se utilizan dos tipos de objetos (hosts y servicios, y perfiles) como bloques de creación
para la configuración de reglas y políticas.
Introducción a las zonas e
interfaces en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Introducción a las zonas e interfaces en Sophos Firewall
en este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS

utilizar Sophos Firewall
 Navegación y gestión de Sophos Firewall mediante
WebAdmin para configurar zonas WebAdmin
e interfaces de red.
DURACIÓN
8 minutos
Interfaces y zonas
El firewall se suministra con interfaces físicas y virtuales
Una interfaz física es, por ejemplo, Port1, PortA o eth0
Una interfaz virtual es una representación lógica, por ejemplo un

alias
Una zona es una agrupación de interfaces

Zonas
Sophos Firewall
LAN 1
Internet
LAN Zone
DMZ WAN Zone
LAN 2
Zona de servidores
hospedados
Zonas Las zonas se crean y administran en:
CONFIGURAR > zonas de > de red
AF [2]1
LAN – más segura por defecto Para redes internas
WAN: para interfaces externas que proporcionan acceso a Internet

DMZ: para alojar servidores de acceso público
VPN: no tiene un puerto físico o una interfaz asignada
WiFi – para proporcionar seguridad para redes inalámbricas

Diapositiva 134
AF [2]1 There's a lot of audio for this slide so let's show and remove a pointer and summary for each zone type. Example
included for LAN.
Anne Fuller; 22/01/2022
Crear Zonas
Elija si se trata de una zona LAN

o DMZ
Servicios de autenticación de
Acceso para gestionar Sophos clientes
Firewall
Otros servicios proporcionados

Servicios de red
por Sophos Firewall
Activity
Hacer coincidir la zona con su descripción
Esta es la única zona que no tiene asignado

WiFi
un puerto físico o una interfaz
Esta zona es para alojar servidores de

LAN
acceso público
Esta zona sirve para proporcionar seguridad

VPN
a las redes inalámbricas
Esta es la zona más segura de forma

WAN
predeterminada y es para sus redes internas
Esta zona se utiliza para interfaces externas

DMZ
que proporcionan acceso a Internet
Activity
La respuesta correcta se muestra a continuación
Esta es la única zona que no tiene asignado

VPN
un puerto físico o una interfaz
Esta zona es para alojar servidores de

DMZ
acceso público
Esta zona sirve para proporcionar seguridad

WiFi
a las redes inalámbricas
Esta es la zona más segura de forma

LAN
predeterminada y es para sus redes internas
Esta zona se utiliza para interfaces externas

WAN
que proporcionan acceso a Internet
Interfaces de red
Configuración de interfaces Las interfaces se configuran en:
CONFIGURAR > interfaces de > de red
A las interfaces se les puede dar un

nombre descriptivo
Las interfaces deben asignarse a una

zona
Configuración de interfaces
Las interfaces se pueden

configurar para IPv4 o
IPv6 o ambos
EK1
RC17
Tipos de interfaz
BRIDGE: Permite utilizar dos o más interfaces para crear una interfaz transparente de puente de
capa 2 o 3 para una comunicación fluida entre interfaces
ALIAS: Una dirección IP adicional agregada a una interfaz
VLAN: Una interfaz LAN virtual creada en una interfaz de Sophos Firewall existente, utilizada
cuando Sophos Firewall necesita realizar enrutamiento o etiquetado entre VLAN
LAG: Un grupo de interfaces que actúan como una sola conexión que puede
proporcionar redundancia y mayor velocidad entre dos dispositivos.
RED: Se utiliza para conectar los dispositivos Ethernet remotos de Sophos al firewall de Sophos
Diapositiva 141
EK1 In the audio, may want to pause to give the student time to read
Ed Korsgaard; 16/02/2022
RC17 For e-learning add a continue button for this slide so that students can read this and move on when they want
to.
Rebecca Cook; 21/02/2022
Interfaz Bridge
Se asignan dos puertos

físicos a esta interfaz de
puente
Interfaz alias
Se agrega una interfaz
Alias para la interfaz
física de GuestAP
Actividad
Haga coincidir el tipo de interfaz con su descripción
Una dirección IP adicional agregada a una

Bridge
interfaz
Crea una interfaz transparente de capa 2 o 3

Alias
para una comunicación fluida
Puede proporcionar redundancia y mayor

VLAN
velocidad entre dos dispositivos
Conecta los dispositivos remotos de Sophos

LAG
al Sophos Firewall
Se crea en una interfaz existente y se puede

RED
utilizar para realizar el etiquetado
Activity
Alias
Una dirección IP adicional agregada a una
interfaz
Bridge Crea una interfaz transparente de capa 2 o

para una comunicación fluida
LAG
Puede proporcionar redundancia y mayor
velocidad entre dos dispositivos
Conecta los dispositivos remotos de Sophos

RED
al Sophos Firewall
Se crea en una interfaz existente y se puede

VLAN
utilizar para realizar el etiquetado
Tipos de interfaz
TUNNEL: Las interfaces de túnel se crean utilizando un tipo de VPN IPsec, que permite que
se use el enrutamiento estándar para enviar tráfico a través de la VPN
WiFi: Una red inalámbrica en la que el tráfico se enruta de vuelta al Sophos Firewall desde el
punto de acceso en lugar de directamente a la red a la que está conectado el punto de acceso
Simulación: Crear zonas e interfaces

zonas e interfaces en Sophos
Firewall.
https://training.sophos.com/fw/simulation/ZonesAndInterfaces/1/start.html
Question 1 of 1
¿En cuál de estas zonas se configura una interfaz con una puerta
de enlace?
LAN WAN
DMZ Todos estos

Question 1 of 1
¿En cuál de estas zonas se configura una interfaz con una puerta
de enlace?
LAN WAN
DMZ Todos estos

Una zona es un grupo lógico de redes. Cada interfaz de firewall está asociada a una sola
zona, lo que significa que el tráfico se puede administrar mediante zonas
Las interfaces de red se asignan a una zona, que determina qué configuración IP
se puede configurar
Los tipos de túnel IPsec e interfaz inalámbrica se crean como parte de la configuración
de otras funciones en Sophos Firewall. Estos utilizan una configuración de zona
separada
Configuración avanzada de la
interfaz en Sophos Firewall
Sophos Firewall
Version: 19.5v1
Configuración avanzada de la interfaz en Sophos Firewall
En este capítulo aprenderá las CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS

opciones de configuración
 Los tipos de interfaz compatibles con Sophos
avanzadas que están disponibles Firewall
para las interfaces físicas y  Configuración de interfaces de firewall
virtuales.
DURACIÓN
9 minutos
Interfaces
Editar interfaz
Detección de la configuración del vínculo de la interfaz
Configuración de MTU y MSS
Interfaces de puente: filtrado VLAN
Definir qué VLAN pueden

pasar a través del puente
Información adicional en
Interfaces de puente: Configuración avanzada las notas
Permitir difusión ARP está

habilitado de forma Filtrar tramas Ethernet
predeterminada utilizando el ID de 4
dígitos
Activar el protocolo
de árbol de expansión
(STP)
Información adicional en
Interfaces de puente sin dirección IP las notas
VLANs
Crear múltiples interfaces VLAN en una sola interfaz física
Permite tráfico etiquetado y no etiquetado en la misma interfaz
El soporte de VLAN sigue los estándares IEEE 802.1q
No es necesario configurar la interfaz física
Soporta hasta 4096 VLAN

0, 1 y 4095 están reservados
Las VLAN 2 – 4094 son configurables
Configuración de VLAN
Interfaz
y Zona
VLAN ID
Dirección IP para la
interfaz VLAN
Link Aggregation the notes
Combine múltiples puertos/interfaces para crear una única

interfaz lógica
Ventajas:
• Escala el uso del ancho de banda según el número de enlaces
• Proporciona redundancia de vínculos con conmutación por error y conmutación por recuperación
• Facilita el uso compartido de la carga entre enlaces
• No requiere cambios en la implementación de red existente ni hardware adicional
Modos LAG compatibles:

• Active-Backup proporciona conmutación por error de vínculos
• LACP (802.3ad) proporciona conmutación por error y equilibrio de carga
• Todos los dispositivos conectados deben ser compatibles con LACP
• Las interfaces miembro deben ser del mismo tipo y velocidad
• Todos los enlaces deben ser full-duplex
Redundancia de enlaces
‘Modo LAG de Active-Backup gestionado por Sophos Firewall
Soporta dispositivos que no entienden LACP
Puede conmutación por error entre enlaces de diferentes velocidades
Question 1 of 2
Desea mostrar la configuración de MTU para PortA. Has escrito
Mostrar red y un espacio. Ahora escriba el resto del comando.
show network
Question 1 of 2
Desea mostrar la configuración de MTU para PortA. Has escrito
Mostrar red y un espacio. Ahora escriba el resto del comando.
show network mtu-mss PortA

Question 2 of 2
Haga coincidir el ID de VLAN con su descripción
0 Se puede asignar a interfaces
Se utiliza para tramas etiquetadas con

1 prioridad cuando no se conoce la VLAN
Cuando se configura, actúa como un

2-4094
puerto troncal para el vSwitch
4095 Reservado para la LAN física

Question 2 of 2
Match the VLAN ID to its description
2-4094 Se puede asignar a interfaces
Se utiliza para tramas etiquetadas con

0
prioridad cuando no se conoce la VLAN
Cuando se configura, actúa como un

4095 puerto troncal para el vSwitch
1 Reservado para la LAN física

Puede configurar la MTU y el MSS para las interfaces utilizando 'Configuración avanzada'
en el WebAdmin o desde la consola
Puede crear múltiples interfaces VLAN en una sola interfaz física y permitir el tráfico
etiquetado y no etiquetado en la misma interfaz física
LAG combina múltiples enlaces físicos en un solo enlace lógico para aumentar el ancho
de banda y hacer que la conmutación por error automática esté disponible
Introducción al enrutamiento
y SD-WAN en Sophos Firewall
Sophos Firewall
Version: 19.5v1
Introduction to Routing and SD-WAN on Sophos Firewall
In this chapter you will learn how RECOMMENDED KNOWLEDGE AND EXPERIENCE
to configure routing and SD-WAN  Navigating and Managing the Sophos Firewall using
on Sophos Firewall. the WebAdmin
DURATION
20 minutes
Enrutamiento
Ruta predeterminada
Red conectada directamente

¿A dónde envío esto para llegar a
su destino?
Enrutamiento
Gateway
Red conectada
indirectamente
¿A dónde envío esto para llegar a
su destino?
Tipos de ruta configurable
ESTÁTICO SD-WAN DYNAMIC
El tipo más simple de Enrutamiento basado en Las rutas se aprenden
ruta configurable muchos atributos comunicándose con
Puede enrutar a una puerta
otros dispositivos de
Tráfico enviado a una de enlace específica enrutamiento en la red
puerta de enlace
específica basada Supervisión del estado de la
únicamente en el destino puerta de enlace
Puede seleccionar una puerta

de enlace basada en métricas
de calidad o equilibrio de
carga
Las rutas estáticas se configuran en:
Rutas estáticas CONFIGURAR > Rutas estáticas >
enrutamiento
Red que no está conectada directamente

a Sophos Firewall
Puerta de enlace e interfaz para enrutar

el tráfico
Las rutas estáticas se configuran en:
Rutas estáticas CONFIGURAR > Rutas estáticas >
enrutamiento
Comparar distancias entre

protocolos de enrutamiento
Selección de ruta entre rutas

estáticas
Simulación: Crear una ruta estática
En esta simulación, configurará una

ruta estática en Sophos Firewall.
SIMULACIÓN DE LANZAMIENTO CONTINUE
https://training.sophos.com/fw/simulation/StaticRoutes/1/start.html
Gateways Las puertas de enlace se configuran en:
CONFIGURAR > Enrutamiento > puertas de enlace
Gateways Las puertas de enlace se configuran en:
Detalles de la puerta de
enlace
Supervisión del estado de

la puerta de enlace
Rutas SD-WAN Las rutas SD-WAN se configuran en:
CONFIGURAR > Rutas de enrutamiento > SD-WAN
Rutas SD-WAN Las rutas SD-WAN se configuran en:
CONFIGURAR > Rutas de enrutamiento > SD-WAN
Precedencia de enrutamiento the notes
Rutas de comprobación de estado
Static Routes
Precedencia
Protocolos de Rutas Rutas SSL

Redes
enrutamiento
conectadas
dinámico Unicast VPN
directamente Precedencia de
ruta configurable
Rutas SD-WAN
Rutas VPN IPsec
Ruta predeterminada (WAN Link Manager)

Routing Precedence the notes
console> system route_precedence show

Default routing Precedence:
1. Static routes
2. SD-WAN policy routes
3. VPN routes
console> system route_precedence set sdwan_policyroute vpn static
Multiple Internet Connections
ISP 1 ISP 2
Administrador de enlaces WAN Administrador de enlaces WAN configurado en:
CONFIGURAR > administrador de enlaces WAN de red > WAN
Administrador de enlaces WAN Administrador de enlaces WAN configurado en:
Tipo de puerta de enlace: Activa o de

copia de seguridad
Comportamiento de
conmutación por error y
conmutación por recuperación
Reglas para detectar puertas de
enlace activas fallidas
Perfiles SD-WAN
Latency 5ms
Latency 134ms
Selección de tráfico mediante rutas SD-WAN

Selección de enlaces basada en SLA
Perfiles SD-WAN
Latency 5ms
Latency 134ms
Equilibrio de carga mediante rutas SD-WAN

Selección de enlaces basada en SLA
Perfiles SD-WAN
Dirección IP de origen
Dirección IP de destino
Dirección IP de origen y destino
Conexión
Perfiles SD-WAN
Seleccione hasta 8 puertas de

enlace
Perfiles SD-WAN
Perfiles SD-WAN
Seleccionar criterios de rendimiento

para SLA
Perfiles SD-WAN
Sondeo a través de una conexión Ping o TCP
Configurar uno o dos destinos de sondeo
Personalizar la
configuración de
comprobación de estado
Perfiles SD-WAN
Perfiles SD-WAN
Perfiles SD-WAN
Demostración de perfiles SD-WAN
En estas demostraciones verá cómo

configurar un perfil SD-WAN para
múltiples conexiones a Internet.
JUEGA LA PRIMERA DEMO DE AVAILBLE GATEWAY JUGAR PRIMERA DEMO DE EQUILIBRIO DE CARGA CONTINUE
FIRST AVAILABLE GATEWAY: https://training.sophos.com/fw/demo/SdWanProfile/1/play.html

LOAD BALANCING: https://training.sophos.com/fw/demo/SdWanLoadBalancing/1/play.html
Question 1 of 2
¿Cuántas puertas de enlace puede incluir en un perfil SD-WAN?
Question 1 of 2
¿Cuántas puertas de enlace puede incluir en un perfil SD-WAN?
8
Question 2 of 2
Coloque los tipos de ruta en el orden de prioridad predeterminado correcto
Ruta predeterminada Prioridad máxima
Rutas estáticas
Rutas VPN
Rutas SD-WAN Prioridad más baja

Question 2 of 2
Coloque los tipos de ruta en el orden de prioridad
predeterminado correcto
Static Routes Prioridad máxima
SD-WAN Routes
VPN Routes
Default Route Prioridad más baja

La prioridad de ruta predeterminada en Sophos Firewall son rutas estáticas, rutas SD-WAN, rutas VPN y, a
continuación, la ruta predeterminada. Las rutas estáticas se componen de redes conectadas directamente,
protocolos de enrutamiento dinámico y rutas de unidifusión estáticas.
El administrador de enlaces WAN se utiliza para administrar enlaces de Internet. Puede configurar
vínculos como activos o de copia de seguridad y personalizar la configuración de conmutación por error
y conmutación por recuperación y la supervisión del estado. Las puertas de enlace se utilizan para crear
puertas de enlace supervisadas por el estado para su uso con rutas y perfiles SD-WAN.
Los perfiles SD-WAN proporcionan administración de enlaces que le permiten definir estrategias de
enrutamiento a través de múltiples puertas de enlace, redireccionar el tráfico en función del rendimiento y
la estabilidad del enlace, optimizar el rendimiento de la red y garantizar la continuidad
Configuración avanzada de
enrutamiento en Sophos
Firewall
Sophos Firewall
Version: 19.5v1
Configuración avanzada de enrutamiento en Sophos
Firewall
En este capítulo aprenderá cómo CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
Sophos Firewall enruta el tráfico,
 Configuración de rutas estáticas
cómo gestionar gateways y cómo  Creación de puertas de enlace y rutas SD-WAN
configurar perfiles y rutas SD-
WAN.
DURACIÓN
30 minutos
Enrutamiento the notes
Static Routes
Precedencia
Redes Protocolos de
conectadas enrutamiento Rutas Rutas SSL
directamente dinámico Unicast VPN Precedencia de
ruta configurable
Rutas SD-WAN
Rutas VPN IPsec

PBR: Ruta basada en políticas (SD-WAN)
RTG: Ruta a través de la puerta de enlace
Enrutamiento de paquetes MLM: Gestión de enlaces múltiples
Marcar si hay una

coincidencia de PBR
Coincidencia de Recorrer el enrutamiento
Recorra el reglas de firewall completo según la
enrutamiento realizada en la zona precedencia
completo y marque post-NAT y la IP pre- PBR, VPN, principal, todo
la zona de destino NAT
Llega el Pre- Búsqueda RTG -> Enrutamie Búsqueda Paquete

Firewall
paquete enrutamiento NAT MLM nto NAT entregado
1 2 3 4 5 6 7 8
Búsqueda de NAT Marque si hay una DNAT o NAT completo
para DNAT/reglas coincidencia para RTG según la regla que
coincide en # 3
NAT completas
o
Si el tráfico WAN sin Búsqueda de NAT para
Zona de destino PBR y sin marca RTG, la mejor coincidencia
actualizada según entonces marque SNAT o regla NAT
DNAT para MLM vinculada
PBR: Ruta basada en políticas (SD-WAN)
Coincidir cuando
Sophos Firewall
XG135_XN02_SFOS 18.0.0# ip rul ls
envía tráfico a sí
0: from all lookup local
mismo
51: from all fwmark 0x4002 lookup gw2
51: from all fwmark 0x4001 lookup gw1 Igualar PBR si está marcado
Rutas estáticas que
53: from all lookup main
incluyen redes
estáticas, dinámicas
54: from all fwmark 0x200 lookup routeipsec0
y conectadas 150: from all fwmark 0x8002 lookup gw2
150: from all fwmark 0x8001 lookup gw1 RTG y MLM
directamente
Direcciones IP de 151: from 192.168.254.1 lookup wanlink2
interfaz WAN 151: from 10.101.102.127 lookup wanlink1 Tráfico generado por el sistema
220: from all iif lo lookup 220 y VPN IPsec
221: from all lookup multilink
Añadido por Linux 32766: from all lookup main Sin marca
kernel 32767: from all lookup default MLM para el tráfico generado por el sistema
La mayoría del tráfico no pasa por este punto
Ruta predeterminada de IPv6
El tráfico generalmente no llegará a este punto
Enrutamiento de paquetes
XG135_XN02_SFOS 18.0.0# ip route list table wanlink1

default via 10.1.1.250 dev PortB proto static src 10.1.1.100
prohibit default proto static metric 1
principal
103.226.184.250 dev Port2_ppp proto kernel scope link src 10.250.18.43
192.168.30.0/24 via 192.168.100.2 dev Port1 proto zebra
Directivas de enrutamiento 192.168.31.0/24 via 192.168.100.2 dev Port1 proto zebra
0 from all lookup local 192.168.100.0/24 dev Port1 proto kernel scope link src 192.168.100.1
1 From all fwmark 0x1001 lookup gw1

gw1
51 from all fwmark 0x4001 lookup gw1 Tablas de enrutamiento
main default via 103.226.184.250 dev Port2_ppp proto static

52 from all lookup main prohibit default proto static metric 1
gw1
53 from all fwmark 0x200 lookup
routeipsec0 gw2
gw2
150 from all fwmark 0x8001 lookup gw1
multilink
default via 192.168.8.1 dev WWAN1 proto static
221 from all lookup multilink
multilink
default proto static
nexthop via 103.226.184.250 dev Port2_ppp weight 1
nexthop via 192.168.8.1 dev WWAN1 weight 1
Configuración de la prioridad de enrutamiento the notes
• Route precedence can be managed on the console

• ByDefault
default,routing
static routes have the highest precedence
Precedence:
1. Static routes
3. VPN routes
console> system route_precedence set sdwan_policyroute static vpn
Routing Precedence:
2. Static routes
3. VPN routes
console>
Gestión de pasarelas
Administrador de enlaces WAN Administrador de gateway

Todas las puertas de enlace,
Administrar puertas de enlace
puertas de enlace WAN
predeterminadas solo en
predeterminadas también
vínculos WAN
están disponibles aquí
Agregar nuevas puertas de
No se pueden crear nuevas
enlace para su uso en el
puertas de enlace
enrutamiento
Network > WAN link manager Routing > Gateways

Administrador de enlaces WAN

Administrador de enlaces WAN
Puerta de enlace
activa o de copia
de seguridad
Prioridad de
puerta de enlace
Reglas de conmutación por error de WAN Link Manager
Backup Gateway
Activation method
Weight setting
Session handling
Informe de tráfico de WAN Link Manager
Administrador de pasarela
Administrador de gateway
Gateways
• Interfaces soportadas
• •Supported interfaces IPv4 IPv6
Static  
DHCP  
PPPoE 
Bridge  
LAG (Link Aggregation Group)  
VLAN (Virtual LAN)  
WWAN (Wireless WAN) 
IPsec Tunnel (xfrm)  
• •Unsupported interfaces
Interfaces no compatibles
o IPsec,
• IPsec, GRE,GRE, IP Tunnels,
IP Tunnels, SSL VPNSSL VPN site-to-site
site-to-site
Rutas SD-WAN
• El enrutamiento SD-WAN influye en las decisiones de la tabla de
enrutamiento
• Admite escenarios de enrutamiento avanzados
• Compatibilidad con gateway basada en interfaz y próximo salto
• Configurado mediante hosts de puerta de enlace y reglas de ruta SD-WAN
• Criterios de selección de tráfico basados en aplicaciones de usuario y grupo
• SD-WAN sincronizada
• Los perfiles SD-WAN seleccionan la puerta de enlace en función
de la calidad del enlace o las conexiones de equilibrio de carga
Perfiles SD-WAN
Configurar para redundancia Proporciona redundancia y rendimiento

Puede usar SLA para seleccionar el mejor Puede usar SLA para seleccionar puertas de
enlace enlace para incluir
Modos de equilibrio de carga
ROUND ROBIN Todo el tráfico se distribuye entre las puertas de enlace a su vez
PERSISTENCIA DE LA SESIÓN
El tráfico desde la misma dirección IP de origen siempre se envía a

DIRECCIÓN IP DE ORIGEN
través de la misma puerta de enlace
DIRECCIÓN IP DE El tráfico a la misma dirección IP de destino siempre se envía a través

DESTINO de la misma puerta de enlace
DIRECCIÓN IP DE ORIGEN
El tráfico que tiene la misma dirección IP de origen y destino siempre
Y DIRECCIÓN IP DE
se envía a través de la misma puerta de enlace
DESTINO
El tráfico de una conexión siempre se envía a través de la misma

CONEXIÓN
puerta de enlace
SLA de perfil SD-WAN
Seleccionar criterios de rendimiento

para SLA
SLA de perfil SD-WAN
Configurar un SLA personalizado mediante una

combinación de latencia, fluctuación de fase y
pérdida de paquetes
Comprobación del estado del perfil SD-WAN
Probe via Ping or TCP connection
Configure one or two probe targets
Customize the health

check settings
Comprobación del estado del perfil SD-WAN
El tamaño de muestra del SLA forma una ventana deslizante para determinar el rendimiento del vínculo
Tamaño de muestra de SLA
1s
Probes
Intervalo entre
comprobaciones
Primer veredicto del SLA El enlace está caído El enlace está activo
Latencia: 150ms (5 respuestas consecutivas)
Jitter: 50ms (3 fallos consecutivos)
Latencia: 150ms
Pérdida: 0%
Jitter: 50ms
Pérdida: 0%
En este ejemplo, el tamaño de la muestra es 5. El tamaño de muestra predeterminado es 30.

Comportamiento de comprobación de estado y SLA para la
primera puerta de enlace disponible
SLA habilitado Comprobación de Comportamiento

estado habilitada
Se supone que todas las puertas de enlace están activas y se

OFF OFF
utilizará la primera puerta de enlace
OFF ON Se utilizará la primera puerta de enlace que esté disponible
Se utilizará la pasarela con la mejor calidad basada en el SLA

ON ON
Comportamiento de comprobación de estado y SLA para el
equilibrio de carga
Comprobación de
SLA habilitado Comportamiento
estado habilitada
Se supone que todas las puertas de enlace están activas y

OFF OFF
se incluyen para Equilibrio de carga
Equilibre la carga tan pronto como al menos una puerta de

OFF ON
enlace esté disponible
Equilibre la carga tan pronto como haya al menos una puerta

ON ON de enlace disponible que cumpla con el SLA
Incluya solo puertas de enlace que cumplan el SLA
Comportamiento del SLA
¿Qué sucede si ninguna puerta de enlace cumple el SLA?
PRIMERO DISPONIBLE GATEWAY EQUILIBRIO DE CARGA

Perfiles SD-WAN
1Gbps
500Mbps
250Mbps
Perfiles SD-WAN
console> show routing reroute-connection

Reroute status of live connections: on
console> set routing reroute-connection

disable enable
Registro SD-WAN
Rutas SD-WAN
Configuración de ruta SD-WAN
Configuración de ruta SD-WAN
Seleccione la puerta de enlace

mediante un perfil SD-WAN
Seleccionar manualmente una

puerta de enlace principal y de copia
de seguridad
Estado de la ruta SD-WAN
La puerta de enlace principal o de copia de seguridad está activa y la ruta SD-
WAN está activa
Las puertas de enlace están inactivas y la ruta SD-WAN no está activa

Anular la supervisión de la puerta de enlace está desactivada
Las puertas de enlace están inactivas y la supervisión de la puerta de enlace

de anulación está activada La ruta SD-WAN está activa
Desplácese sobre el icono de

estado para ver los estados de
las puertas de enlace y la
configuración de supervisión
de la puerta de enlace
Comportamiento de enrutamiento SD-WAN basado en
aplicaciones
• El enrutamiento basado en aplicaciones utiliza rutas aprendidas
• La primera conexión desde una aplicación se enruta a través de la ruta predeterminada
• Una vez aprendidas, las conexiones posteriores se adherirán a las rutas basadas en
aplicaciones
• Nota: Las rutas de aplicaciones aprendidas se vacían al reiniciar
• El motor DPI admite rutas basadas en aplicaciones para todas las aplicaciones
• El proxy web heredado no admite rutas basadas en aplicaciones para
microaplicaciones
• Se admiten aplicaciones de patrones y aplicaciones de seguridad sincronizada
• Las rutas basadas en aplicaciones requieren una licencia activa de Web Protection
• Debe cumplirse una de las siguientes condiciones:
• La clasificación de aplicaciones está activada
• Se aplica una directiva de filtro de aplicaciones a la regla de firewall
• La aplicación forma parte de las firmas de descarga y fluye a través de snort
SD-WAN migró rutas de políticas IPv4 e IPv6
Las siguientes reglas se aplican a las rutas migradas:
• Sophos Firewall prefija automáticamente el ID de la regla del firewall al nombre

de la ruta SD-WAN
• Sophos Firewall utiliza el ID de regla del cortafuegos para hacer coincidir el tráfico con
las rutas migradas
• Las rutas SD-WAN no tienen configuración basada en zonas
• No puede cambiar la secuencia de rutas SD-WAN migradas, ya que corresponden a la
secuencia de reglas del firewall
• Si elimina la regla de firewall, se elimina la ruta SD-WAN migrada
• Solo puede editar las puertas de enlace y la decisión de supervisión de la puerta de enlace
Matching Reply Packets
Las rutas SD-WAN coincidirán con los paquetes de respuesta
en nuevas instalaciones de Sophos Firewall
Las rutas SD-WAN no coincidirán con los paquetes de respuesta

Para actualizaciones o donde se restaura un archivo de configuración anterior a V18
Habilitar y deshabilitar paquetes de respuesta de enrutamiento con rutas SD-WAN a

través de la consola
Zonas para puertas de enlace personalizadas
Assign any zone to a custom

gateway (except VPN)
-
Custom gateways don’t
participate in load balancing
-
Custom gateway zones are not
applied where a migrated SD-
WAN route applies to the traffic
-
VPN lookups are not performed
when the WAN zone is marked
through a gateway
Puerta de enlace personalizada con zona
Ruta SD-WAN seleccionando tráfico para puerta de

enlace
Prioridad de ruta: la ruta SD-WAN debe ser la
primera
Regla de firewall para permitir el tráfico
Regla NAT para realizar DNAT y SNAT

SUBNET
SOPHOS FIREWALL
Puerto único configurado en la

172.16.16.16 zona WAN
GATEWAY
INTERRUPTOR/
ENRUTADOR 172.16.16.250
172.16.16.10 Puerta de enlace personalizada en

la zona LAN
SUBNET
SOPHOS FIREWALL
El tráfico entrante se envía a Sophos Firewall

172.16.16.16
GATEWAY
SWITCH/
ROUTER 172.16.16.250
172.16.16.10
SFVUNL_HV01_SFOS 18.0.4 MR-4# conntrack -E | grep orig-dport=80
[NEW] proto=tcp proto-no=6 timeout=120 state=SYN_SENT orig-src=172.16.16.250
orig-dst=172.16.16.16 orig-sport=56060 orig-dport=80 [UNREPLIED] reply-
src=172.16.16.10 reply-dst=172.16.16.16 reply-sport=80 reply-dport=56060 mark=0x4001
id=3702756992 masterid=0 devin=PortA devout=PortA nseid=16777421 ips=0 sslvpnid=0
webfltid=0 appfltid=0 icapid=0 policytype=1 fwid=2 natid=4 fw_action=1 bwid=0 appid=0
appcatid=0 hbappid=0 hbappcatid=0 dpioffload=0x1 sigoffload=0 inzone=2 outzone=1
devinindex=5 devoutindex=5 hb_src=0 hb_dst=0 flags0=0x400a0000200008
flags1=0x50400800000 flagvalues=3,21,41,43,54,87,98,104,106 catid=0 user=0 luserid=0
usergp=0 hotspotuserid=0 hotspotid=0 dst_mac=00:15:5d:02:05:58
src_mac=00:15:5d:02:05:12 startstamp=1616516496 microflow[0]=INVALID
microflow[1]=INVALID hostrev[0]=0 hostrev[1]=0 ipspid=0 diffserv=0 loindex=5
tlsruleid=0 ips_nfqueue=1 sess_verdict=0 gwoff=0 cluster_node=0 current_state[0]=31
current_state[1]=0 vlan_id=0 inmark=0x8003 brinindex=0 sessionid=362
sessionidrev=27596 session_update_rev=2 dnat_done=3 upclass=0:0 dnclass=0:0
pbrid_dir0=3 pbrid_dir1=0 nhop_id[0]=65535 nhop_id[1]=65535 nhop_rev[0]=0
nhop_rev[1]=0 conn_fp_id=NOT_OFFLOADED
Question 1 of 2
¿Qué comando ejecutaría en la consola para ver qué tipo de rutas
se están procesando primero?
Question 1 of 2
system route_precedence show

Question 2 of 2
¿Qué parámetros se pueden utilizar para configurar el SLA en un
perfil SD-WAN?
Bandwidth Latency Uptime
Jitter Packet Loss Weight

Question 2 of 2
¿Qué parámetros se pueden utilizar para configurar el SLA en un
perfil SD-WAN?
Bandwidth Latency Uptime
Jitter Packet Loss Weight

Sophos Firewall marca el tráfico entrante con las rutas correspondientes y la zona de
destino antes de aplicar DNAT. Las rutas se procesan en orden de precedencia antes de
aplicar SNAT
Sophos Firewall tiene el administrador de enlaces WAN para configurar el equilibrio y la
conmutación por error de los enlaces de Internet. También existe el administrador de
puertas de enlace para crear y administrar puertas de enlace personalizadas para el
enrutamiento SD-WAN.
Los perfiles SD-WAN proporcionan una selección de enlaces basada en la calidad y el
rendimiento del enlace mediante latencia, fluctuación, pérdida de paquetes o una
combinación de los tres. Las rutas SD-WAN proporcionan potentes opciones de selección
de tráfico, que pueden aprovechar los perfiles SD-WAN para la selección de enlaces
Resolución de problemas de
enrutamiento en Sophos
Firewall
Sophos Firewall
Version: 19.0v2
Resolución de problemas de enrutamiento en Sophos
Firewall
Sophos Firewall enruta los
 Enrutamiento y SD-WAN en Sophos Firewall
paquetes y cómo abordar la  Uso de registros y captura de paquetes para ayudar
solución de problemas con el análisis de causa raíz
relacionados con el
enrutamiento.
DURACIÓN
17 minutos
Enrutamiento the notes
Rutas estáticas
Protocolos
Precedencia
Redes Rutas Rutas SSL

de
conectadas
directamente
enrutamient Unicast VPN
o dinámico Precedencia de
ruta configurable
Rutas SD-WAN
Rutas VPN IPsec

PBR: Ruta basada en políticas
Marcar si hay una

coincidencia de PBR
Coincidencia de Recorrer el
Recorra el reglas de firewall enrutamiento
enrutamiento realizada en la zona completo según la
completo y marque post-NAT y la IP pre- precedencia
la zona de destino NAT PBR, VPN, Main, All
Packet NAT RTG -> NAT Packet

Pre-routing Firewall Routing
Arrives Lookup MLM Lookup Delivered
1 2 3 4 5 6 7 8
Marque si hay una DNAT o NAT completo
Búsqueda de NAT coincidencia para según la regla que
para DNAT/reglas RTG coincide en # 3
NAT completas o
Si el tráfico WAN sin Búsqueda de NAT para
Zona de destino PBR y sin marca la mejor coincidencia
actualizada según RTG, entonces SNAT o regla NAT
DNAT marque para MLM vinculada
PBR: Ruta basada en políticas
Coincidir cuando
Sophos Firewall XG135_XN02_SFOS 18.0.0# ip rule list
envía tráfico a sí 0: from all lookup local Seleccione la puerta de enlace
mismo o a una 50: from all fwmark 0x1001 lookup gw1 para la sonda de estado
dirección de difusión
51: from all fwmark 0x4002 lookup gw2 Igualar PBR si está
Rutas estáticas que 51: from all fwmark 0x4001 lookup gw1 marcado
incluyen redes 53: from all lookup main
estáticas, dinámicas 54: from all fwmark 0x200 lookup routeipsec0
y conectadas 150: from all fwmark 0x8002 lookup gw2
directamente 150: from all fwmark 0x8001 lookup gw1 RTG y MLM
Direcciones IP de 151: from 192.168.254.1 lookup wanlink2
interfaz WAN 151: from 10.101.102.127 lookup wanlink1
Tráfico generado por el sistema
220: from all iif lo lookup 220
y VPN IPsec
Añadido por Linux 221: from all lookup multilink
kernel 32766: from all lookup main
32767: from all lookup default
Sin marca
MLM para el tráfico generado por el sistema
Ruta predeterminada de IPv6 La mayoría del tráfico no pasa por este punto
El tráfico generalmente no llegará a este punto
XG135_XN02_SFOS 18.0.0# ip route list table wanlink1

default via 10.1.1.250 dev PortB proto static src 10.1.1.100
principal
103.226.184.250 dev Port2_ppp proto kernel scope link src 10.250.18.43
192.168.30.0/24 via 192.168.100.2 dev Port1 proto zebra
Directivas de enrutamiento 192.168.31.0/24 via 192.168.100.2 dev Port1 proto zebra
0 from all lookup local 192.168.100.0/24 dev Port1 proto kernel scope link src 192.168.100.1
1 From all fwmark 0x1001 lookup gw1

gw1
51 from all fwmark 0x4001 lookup gw1 Tablas de
default via 103.226.184.250 dev Port2_ppp proto static
52 from all lookup main enrutamiento
53 from all fwmark 0x200 lookup main
routeipsec0 gw1
gw2
gw2
default via 192.168.8.1 dev WWAN1 proto static
multilink prohibit default proto static metric 1
221 from all lookup multilink
Multienlace
default proto static
nexthop via 103.226.184.250 dev Port2_ppp weight 1
nexthop via 192.168.8.1 dev WWAN1 weight 1
SFVUNL_VM01_SFOS 19.0.0 EAP2-Build271# conntrack -L | grep 216.137.44
proto=tcp proto-no=6 timeout=116 state=LAST_ACK orig-src=192.168.250.37
orig-dst=216.137.44.126 orig-sport=50288 orig-dport=443 packets=9 bytes=953
reply-src=216.137.44.126 reply-dst=192.168.250.37 reply-sport=443 reply-
dport=50288 packets=9 bytes=5911 [ASSURED] mark=0x4005 use=1 id=3960153370
masterid=2924641482 devin= devout=PortG nseid=0 ips=0 sslvpnid=0 webfltid=13
appfltid=0 icapid=0 policytype=1 fwid=10 natid=2 fw_action=1 bwid=0 appid=100
appcatid=5 hbappid=0 hbappcatid=0 dpioffload=0x33 sigoffload=0 inzone=1
outzone=2 devinindex=0 devoutindex=11 hb_src=0 hb_dst=0
flags0=0x10c0020000280a0b flags1=0x90020a00000
flagvalues=0,1,3,9,11,19,21,41,54,55,60,85,87,93,104,107 catid=29 user=0
luserid=0 usergp=0 hotspotuserid=0 hotspotid=0 dst_mac=00:0c:29:ac:be:7e
src_mac=00:0c:29:7d:03:ef startstamp=1647594231 microflow[0]=INVALID
tlsruleid=0 ips_nfqueue=0 sess_verdict=0 gwoff=0 cluster_node=0
current_state[0]=2992 current_state[1]=2992 vlan_id=0 inmark=0x0 brinindex=0
sessionid=796 sessionidrev=9536 session_update_rev=4 dnat_done=0 upclass=0:0
dnclass=0:0 pbrid[0]=4 pbrid[1]=0 profileid[0]=2 profileid[1]=0
conn_fp_id=NOT_OFFLOADED
Precedencia de ruta the notes
• La prioridad de ruta se puede administrar en la consola

• De forma predeterminada, las rutas estáticas tienen la prioridad más alta

1. Static routes
3. VPN routes
Rutas de políticas de SD-WAN
• Las rutas de políticas en Sophos Firewalls actualizadas desde la versión 17.5
o anterior no coinciden en los paquetes de respuesta o en el tráfico
generado por el sistema
• Habilitar nuevo comportamiento a través de la consola
•
console> set routing sd-wan-policy-route reply-packet enable
Turned on SD-WAN policy route for reply packets.
console> set routing sd-wan-policy-route system-generate-traffic
enable
Turned on SD-WAN policy route for system-generated traffic.
Comprobaciones de estado
Comprobación del estado de la puerta de enlace Comprobación del estado del perfil SD-WAN
• Utilizado por enrutamiento predeterminado • Independiente de una comprobación de estado de

la puerta de enlace
(MLM), RTG
• Cada perfil realiza comprobaciones de estado o
• SD-WAN primaria y copia de seguridad sondeos independientes para todas las puertas de
enlace seleccionadas
• Uno no anula decisión del otro
Objetivos de sonda de perfil SD-WAN
El primer destino de sondeo se utiliza para realizar la comprobación de
estado
Si el primer destino de la sonda no está disponible, se utiliza el segundo
destino de la sonda
El segundo destino de sondeo se seguirá utilizando hasta que deje de estar disponible
y, a continuación, el firewall volverá a intentar el primer destino de sondeo
Si ambos destinos de sondeo no están disponibles, la comprobación de
estado falla, la puerta de enlace no está disponible
Ninguna puerta de enlace cumple con el SLA para el perfil SD-
WAN
SLA not met

Link 1
Link 2
SLA not met Sophos
Internet SLA not met Firewall
Link 3
267
Columnas del visor de registros SD-WAN
Visor de registros SD-WAN
Perfiles y puertas de enlace en los registros the notes

proto=tcp proto-no=6 timeout=116 state=LAST_ACK orig-
src=192.168.250.37 orig-dst=216.137.44.126 orig-sport=50288 orig-
dport=443 packets=9 bytes=953 reply-src=216.137.44.126 reply-
dst=192.168.250.37 reply-sport=443 reply-dport=50288 packets=9
bytes=5911 [ASSURED] mark=0x4005 use=1 id=3960153370
masterid=2924641482 devin= devout=PortG
Puertas de enlace en los registros the notes

proto=tcp proto-no=6 timeout=10716 state=ESTABLISHED orig-
src=192.168.251.82 orig-dst=216.137.44.16 orig-sport=60176 orig-
dport=443 packets=12 bytes=1736 reply-src=216.137.44.16 reply-
dst=192.168.251.82 reply-sport=443 reply-dport=60176 packets=12
bytes=6407 [ASSURED] mark=0x4006 use=1 id=2579810943
masterid=3796052363 devin= devout=PortH
Comportamiento de enrutamiento de directivas basado en
aplicaciones
• El enrutamiento basado en aplicaciones utiliza rutas aprendidas
• La primera conexión desde una aplicación se enruta a través de la ruta predeterminada
• Una vez aprendidas, las conexiones posteriores se adherirán a las rutas basadas en
aplicaciones
• Nota: Las rutas de aplicaciones aprendidas se vacían al reiniciar
• El motor DPI admite rutas basadas en aplicaciones para todas las aplicaciones
• El proxy web heredado no admite rutas basadas en aplicaciones para micro
aplicaciones
• Se admiten aplicaciones de patrones y aplicaciones de seguridad sincronizada
• Las rutas basadas en aplicaciones requieren una licencia activa de Web Protección
• Debe cumplirse una de las siguientes condiciones:
• La clasificación de aplicaciones está activada
• Se aplica una directiva de filtro de aplicaciones a la regla de firewall
• La aplicación forma parte de las firmas de descarga y fluye a través de snort
Solución de problemas de enrutamiento de directivas basadas
en aplicaciones
ipset -L appset
SFVUNL_HV01_SFOS 18.0.1 MR-1-Build396# ipset -L appset
Name: appset
Type: bitmap:appset
Revision: 0
Header: size 20000
Size in memory: 640064
References: 1
Members:
APPSETID=10004,TYPE=app
family:IPv4,proto:tcp,dstip:13.227.223.100,dstport:80,srcip:any
,srcport:any
APPSETID=1,TYPE=appobj
appid
10004
Recursos de red inaccesibles 1
Oficina central: Londres

LAN
LON-DC.SOPHOS.LOCAL
IP: 172.16.16.10 (/24)
LON-GW1.SOPHOS.WWW
WAN IP: 10.1.1.100 & 10.3.3.100 (/24)
10.100.100.65 (/29)
10.1.1.250 (/24)
MPLS
10.2.2.250 (/24)
10.3.3.250 (/24) 10.100.100.70 (/29)
Sucursal: Nueva York NY-GW.SOPHOS.WWW

WAN IP: 10.2.2.200 & 10.3.3.200 (/24)
LAN
NY-SRV.SOPHOS.LOCAL
IP: 192.168.16.30 (/24)
London Gateway 1
New York Gateway

London Gateway 1
New York Gateway
Sophos Firmware Version SFOS 18.0.1 MR-1-Build396

2. VPN routes
3. Static routes
console>
console> show routing sd-wan-policy-route reply-packet
SD-WAN policy route is turned off for reply packets.
console>
console> set routing sd-wan-policy-route reply-packet enable
Turned on SD-WAN policy route for reply packets.
console>
Herramientas adicionales the notes
console> tcpdump 'host 192.168.16.30 and port 80'

tcpdump: verbose output suppressed, use -v or -vv for full protocol
decode
listening on any, link-type LINUX_SLL (Linux cooked v1), capture size
262144 bytes
09:03:23.168107 PortA, IN: IP 172.16.16.10.52963 > 192.168.16.30.80:
Flags [SEW], seq 1539452074, win 8192, options [mss 1460,nop,wscale
8,nop,nop,sackOK], length 0
Save output to a file

console> tcpdump ‘host 192.168.16.30 and port 80 –w /tmp/dump.pcap’
Upload file to server

SFVUNL_HV01_SFOS 18.0.1 MR-1-Build396# scp /tmp/dump.pcap
user@servername:/folder/location/
Herramientas adicionales
SFVUNL_HV01_SFOS 18.0.1 MR-1-Build396# conntrack -L | grep 192.168.16.30
conntrack v1.4.5 (conntrack-tools): 29 flow entries have been shown.
proto=udp proto-no=17 timeout=7 orig-src=192.168.16.30 orig-
dst=172.16.16.10 orig-sport=58027 orig-dport=53 packets=1 bytes=65 reply-
src=172.16.16.10 reply-dst=192.168.16.30 reply-sport=53 reply-dport=58027
packets=1 bytes=131 mark=0x0 helper=dns use=1 id=3787356544 masterid=0
devin=PortG devout=LanBr nseid=0 ips=0 sslvpnid=0 webfltid=0 appfltid=0
icapid=0 policytype=1 fwid=6 natid=0 fw_action=1 bwid=0 appid=
SFVUNL_HV01_SFOS 18.0.1 MR-1-Build396# conntrack -E -p tcp --dport 443 -d

192.168.16.30
[NEW] proto=tcp proto-no=6 timeout=120 state=SYN_SENT orig-
src=172.16.16.10 orig-dst=192.168.16.30 orig-sport=56171 orig-dport=443
Question 1 of 3
Organice las rutas en orden de prioridad predeterminada, con la
prioridad más alta en la parte superior.
Sumamente
Rutas de políticas de SD-WAN Arrastre aquí
Precedencia
Ruta predeterminada Arrastre aquí
Rutas de comprobación de estado Arrastre aquí
Rutas VPN Arrastre aquí
Menor
Rutas estáticas Arrastre aquí
Precedencia
Question 1 of 3
Organice las rutas en orden de prioridad predeterminada, con la
prioridad más alta en la parte superior.
Sumamente
Drag herede estado
Rutas de comprobación
Precedencia
Rutas
Dragestáticas
here
Rutas deDrag here

políticas de SD-WAN
Rutas VPN
Drag here
Menor
Ruta predeterminada
Drag here
Precedencia
Question 2 of 3
Question 2 of 3
Mostrar route_precedence sistema

Question 3 of 3
¿Qué comando ejecutaría en el shell avanzado para ver la tabla de
rutas?
Question 3 of 3
¿Qué comando ejecutaría en el shell avanzado para ver la tabla de
rutas?
Lista de reglas IP
Chapter Review
La prioridad de ruta predeterminada son las rutas de comprobación de estado, las rutas estáticas, las rutas
de políticas SD-WAN, las rutas VPN y, a continuación, la ruta predeterminada derivada del equilibrio de
puertas de enlace activas
La prioridad de ruta para rutas estáticas, SD-WAN y VPN se puede cambiar en la

consola
Si Sophos Firewall utiliza rutas SD-WAcontrolledN para el tráfico de respuesta y el tráfico

generado por el sistema es a través de la consola
Configuración de DNS y DHCP
en Sophos Firewall
Sophos Firewall
Version: 19.0v2
Configuración de DNS y DHCP en Sophos Firewall

configurar los ajustes de DNS y
DHCP en Sophos Firewall. WebAdmin
DURACIÓN
5 minutos
DNS en Sophos Firewall
Hay tres formas de asignar servidores DNS a Sophos Firewall:
1. Desde su servidor DHCP
2. Desde la configuración de la interfaz PPPoE enviada

por su proveedor de Internet
3. Manualmente, mediante la asignación de entradas

estáticas del servidor
Configuración de DNS DNS se configura en:
CONFIGURAR > red > DNS
Seleccione cómo
Sophos Firewall
obtiene servidores
DNS
Configurar hasta
tres servidores
DNS para IPv4 e
IPv6
Servidor DNS
Preferencia entre servidores DNS IPv4 e

IPv6
Registros DNS alojados por Sophos

Firewall
Rutas de solicitud DNS
Configurar el servidor DNS que se utilizará para buscar hosts en el

dominio sophos.local
Configurar el servidor DNS que se utilizará para buscar direcciones IP en la red

172.16.16.0/24
Simulación: Configurar rutas de solicitud DNS
En esta simulación, configurará las

rutas de solicitud DNS en Sophos
Firewall.
https://training.sophos.com/fw/simulation/ConfigureDNS/1/start.html
DNS dinámico El DNS dinámico se configura en:
CONFIGURAR > red > DNS dinámico
Servidor DHCP DHCP está configurado en:
CONFIGURAR > red > DHCP
Cada servidor DHCP se asigna a una interfaz
El rango de dirección IP que arrendará

Retransmisión DHCP
La interfaz donde se encuentran los clientes
La dirección IP del servidor DHCP para

retransmitir solicitudes de
Question 1 of 2
¿Cuántos servidores admite Sophos Firewall para DNS estático?
Question 1 of 2
¿Cuántos servidores admite Sophos Firewall para DNS estático?
3
Question 2 of 2
Tiene un servidor DHCP existente. ¿Qué configuración permite a
Sophos Firewall reenviar solicitudes de arrendamiento a esto?
Forwarding DHCP dinámico
Relay
Question 2 of 2
Tiene un servidor DHCP existente. ¿Qué configuración permite a
Sophos Firewall reenviar solicitudes de arrendamiento a esto?
Forwarding DHCP dinámico
Relay
Chapter Review
Los servidores DNS se pueden asignar a Sophos Firewall mediante DHCP, desde la
configuración de la interfaz PPPoE y manualmente
Las rutas de solicitud DNS definen qué servidor DNS se debe usar para buscar hosts en el
dominio seleccionado
Sophos Firewall puede proporcionar DHCP a cualquier red que esté conectada a él.
También puede pasar solicitudes a otro servidor DHCP.
Gestión del acceso a
dispositivos y certificados en
Sophos Firewall
Sophos Firewall
Version: 19.0v1
Gestión del acceso a dispositivos y certificados en Sophos
Firewall
controlar el acceso a los servicios
de administración y agregar un WebAdminSophos
certificado para reemplazar el
predeterminado
'ApplianceCertificate'.
DURACIÓN
10 minutos
Controlar el acceso a los servicios locales
Los servicios locales son servicios de gestión de Sophos Firewall

Los ejemplos incluyen consolas de administración web y CLI, y servicios de autenticación
Las reglas de firewall no se pueden usar para controlar el acceso a los

servicios locales
Controle el acceso a los servicios de gestión de Sophos Firewall desde

zonas personalizadas y predeterminadas mediante la ACL (Lista de
control de acceso) del servicio local
Acceso a dispositivos El acceso a dispositivos se configura en:
SISTEMA > Administración > Acceso a Dispositivos
Prácticas recomendadas
BEST PRACTICES
Regla de excepción de ACL de servicio local
Agregar una regla de excepción de

ACL de servicio local
Excepciones de ACL de servicio local
Acceso de dispositivos para una zona
Certificados para la administración de firewalls
Certificado de confianza al
Certificado de dispositivo
predeterminado que no es de
usar Central Firewall
confianza Management
Certificados
Opciones para añadir un certificado a Sophos Firewall:
1 Upload Cargar un certificado firmado por una CA de confianza
2 Self-Signed Create a self-signed certificate that will be signed by the ‘Default’ signing CA
3 CSR Create a certificate signing request that will be signed by a trusted CA

Agregar un certificado firmado localmente
Generar certificado
firmado localmente
Direcciones IP utilizadas
para SAN
Certificados Los certificados se pueden ver en:
SISTEMA > Certificados > Certificados
Seleccione un certificado
Autoridades de certificación de verificación
• Incluye certificados para CA raíz de Internet de confianza comunes
• Cargar certificado para CA adicionales
•
Simulación: Importar certificados de CA
En esta simulación, importará

certificados de CA desde una
autoridad de certificación interna a
Sophos Firewall.
https://training.sophos.com/fw/simulation/ImportCACertificates/1/start.html
Firma de entidades emisoras de certificados
Dos Cas de firma predeterminadas:
• Valor predeterminado: se usa para crear certificados
• SecurityApplicance_SSL_CA: Se utiliza para el escaneo HTTPS y las conexiones TLS/SSL de correo electrónico.
Subir Cas adicionales:
• Proporcionar certificado y clave privada
• Se puede seleccionar para su uso en la protección web y de correo electrónico.
Simulación: Despliegue de certificados de CA de Sophos
Firewall
En esta simulación, descargará los
certificados de CA de Sophos
Firewall y los desplegará mediante
la directiva de grupo de Active
Directory.
https://training.sophos.com/fw/simulation/DeployCertificates/1/start.html
Question 1 of 2
¿Cuáles de estos se definen como "Servicios de administración" en
el acceso al dispositivo?
HTTPS SNMP
SSH Ping/Ping6
Question 1 of 2
¿Cuáles de estos se definen como "Servicios de administración" en
el acceso al dispositivo?
HTTPS SNMP
SSH Ping/Ping6
Question 2 of 2
Desea que un certificado esté firmado por una empresa de
terceros. ¿Qué opción elegir?
Upload Generate self-signed Generate CSR

Question 2 of 2
Desea que un certificado esté firmado por una empresa de
terceros. ¿Qué opción elegir?
Upload Generate self-signed Generate CSR

Las zonas que permiten el acceso a los servicios de administración se pueden

administrar en la página Acceso al dispositivo. Reglas de excepción de ACL de servicio
local restringidas por direcciones IP o por red
Los certificados se pueden agregar y utilizar en lugar del predeterminado

'ApplianceCertificate'
Sophos Firewall actúa como una autoridad de certificación con dos CA firmantes.
'Default' crea y firma certificados. 'SecurityAppliance_SSL_CA' crea certificados utilizados
en el escaneo web HTTPS y protege las conexiones de correo electrónico TLS/SSL
Consideraciones para
configurar el acceso a
dispositivos en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Consideraciones para configurar el acceso a dispositivos
en Sophos Firewall
proteger el acceso administrativo
 Uso de la página Acceso a dispositivos para
a Sophos Firewall y configurar administrar las zonas a las que se permite el acceso
cuándo se requiere CAPTCHA a los servicios de administración
para iniciar sesión.
DURACIÓN
10 minutos
Administración Web
Dirección IP predeterminada: 172.16.16.16

(/24)
Puerto: 4444
URL de WebAdmin: https://DeviceIP:4444
Portal de usuario
https://<Dirección IP del dispositivo Sophos>
Interfaz de línea de comandos (CLI) the notes
SSH Console
Credenciales
predeterminadas
Nombre de usuario: admin
Contraseña: admin
Esto se cambia como parte del
asistente de configuración inicial
Autenticación de clave pública SSH the notes
• Autenticar el acceso SSH mediante

claves
• Soportado:
• Algoritmos: RSA, DSA, ECDSA
• Longitudes de clave: 1024, 2048, 4096.
• Conectado:
• /log/sshd.log
ACL basada en zonas
Excepciones de ACL de servicio local
Seleccione Inferior o
Superior
Red de origen/host y
host de destino
Servicios
Reglas de excepción de ACL de servicio local
Protección del acceso administrativo
La configuración predeterminada de Acceso a dispositivos permite a

cualquier persona en la zona LAN acceder a la página de inicio de
sesión para el WebAdmin y conectarse al inicio de sesión SSH
Según la configuración predeterminada de la sección de acceso al

dispositivo, si tuviera que bloquear Sophos Firewall, ¿qué cambiaría?
Protección del acceso administrativo
Deshabilitar servicios
innecesarios en zonas
Deshabilitar el acceso
basado en zonas a los Deshabilite PING siempre
servicios de Opcionalmente, cree ACL que sea posible para
administración en conmutadores ayudar a evitar el
administrados o rutas descubrimiento y el
Create specific ACL para los servicios de sondeo
exception rules to allow administración
access to admin services Quite la retransmisión
from specific network SMTP y SNMP de
segments/hosts cualquier zona que no lo
requiera
Configuración CAPTCHA
No recomendamos deshabilitar CAPTCHA en la zona WAN

Configuración CAPTCHA the notes
CAPTCHA se puede habilitar o deshabilitar para VPN y zona WAN o solo para la zona VPN
console> system captcha-authentication-global show
Captcha authentication status:
Webadmin console: enabled
User portal: enabled
console> system captcha-authentication-vpn disable
Captcha authentication serves as an extra security defense against scripted

automated login attempts.
Are you sure you want to disable captcha authentication when they are exposed on
the VPN zone (Y/N) ?
y
Captcha authentication for the webadmin and user portal is disabled on the VPN
zone
console> system captcha-authentication-vpn enable
Captcha authentication for the webadmin and user portal is enabled on VPN zone
Configuración CAPTCHA
CAPTCHA se puede habilitar o deshabilitar para el portal de usuario y la consola de administración web por separado o juntos
console> system captcha-authentication-global disable for userportal
Captcha authentication serves as an extra security defense against scripted

automated login attempts.
Are you sure you want to disable captcha authentication (Y/N) ?

y
Captcha authentication for the user portal is disabled
console> system captcha-authentication-vpn show
Captcha authentication status on the VPN zone:
Webadmin console: enabled
User portal: disabled
console> system captcha-authentication-global enable for userportal
Captcha authentication for the user portal is enabled
Question 1 of 2
¿Cuál es el beneficio de la autenticación de clave pública SHA?
Cifra la sesión de usuario Permite el acceso a la CLI sin Permite excepciones

cuando no hay un certificado necesidad de compartir la específicas de ACL para el
de confianza disponible contraseña de administrador acceso al dispositivo
Question 1 of 2
¿Cuál es el beneficio de la autenticación de clave pública SHA?
Cifra la sesión de usuario Permite el acceso a la CLI sin Permite excepciones

cuando no hay un certificado necesidad de compartir la específicas de ACL para el
de confianza disponible contraseña de administrador acceso al dispositivo
Question 2 of 3
¿Cuál de estas afirmaciones sobre las reglas de excepción de ACL
de servicio local es verdadera?
Se deben crear reglas Se deben configurar reglas Solo se requiere la red/host

independientes para IPv4 e independientes para cada de origen. El host de destino
IPv6 servicio es opcional
Question 2 of 3
¿Cuál de estas afirmaciones sobre las reglas de excepción de ACL
de servicio local es verdadera?
Se deben crear reglas Se deben configurar reglas Solo se requiere la red/host

independientes para IPv4 e independientes para cada de origen. El host de destino
IPv6 servicio es opcional
Question 3 of 3
¿Cuáles de estas zonas tienen CAPTCHA habilitado de forma
predeterminada?
LAN DMZ
WAN VPN
WiFi
Question 3 of 3
¿Cuáles de estas zonas tienen CAPTCHA habilitado de forma
predeterminada?
LAN DMZ
WAN VPN
WiFi
Chapter Review
La autenticación de clave pública se puede configurar para un acceso seguro a la CLI.

Esto permite el acceso sin necesidad de compartir la contraseña de administrador
El acceso administrativo se puede proteger deshabilitando el acceso basado en zona a

los servicios y creando reglas de excepción de ACL de servicio local para permitir el
acceso a los servicios de administración desde segmentos de red o hosts específicos
Puede habilitar y deshabilitar el CAPTCHA globalmente, tanto para la zona WAN como
para la VPN, o solo para la zona VPN. La configuración se gestiona a través de la consola
Introducción a la
configuración del tráfico en
Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuración del tráfico de red en Sophos Firewall

configurar las opciones globales
para la configuración del tráfico, WebAdmin
incluida la configuración de
directiva predeterminada y los
diferentes tipos de directiva de
configuración de tráfico que
puede crear.
DURATION
8 minutes
Conformación del tráfico
¿Cuáles son algunos ejemplos de escenarios en los que se puede

implementar la configuración del tráfico para ayudar a optimizar y
administrar el rendimiento de la red?
Proteja la continuidad del negocio
Priorizar o garantizar el ancho de banda para los servicios en la nube
Limite el ancho de banda de las aplicaciones de gran ancho de banda no críticas para el negocio
Controlar el uso del ancho de banda de las redes de invitados

Configuración de configuración Los ajustes de configuración de tráfico se configuran en:
CONFIGURAR > Configuración de configuración de servicios del sistema
de tráfico > de configuración de tráfico
Suma del ancho de banda

máximo de todos los vínculos
WAN en KBps
Los ajustes de configuración de tráfico se configuran en:
CONFIGURAR > Servicios del sistema > Configuración de configuración del tráfico
Configuración de configuración de tráfico

Los ajustes de configuración de tráfico se configuran en:
Configuración de configuración CONFIGURAR > Servicios del sistema > Configuración de
de tráfico configuración del tráfico
Default traffic shaping policy

for firewall.
Las directivas de configuración de tráfico se configuran en:
CONFIGURAR > Servicios del sistema > Conformación del tráfico
A qué se aplicará la política de

configuración del tráfico
Ejemplo de directivas de configuración de tráfico
Aplicación de la configuración del tráfico - Web
Question 1 of 2
¿Cuáles son los diferentes tipos de políticas de configuración de
tráfico que puede crear?
Usuarios Servidores Rules
Correos electrónicos Categorías web Aplicaciones

Question 1 of 2
¿Cuáles son los diferentes tipos de políticas de configuración de
tráfico que puede crear?
Usuarios Servidores Reglas
Correos electrónicos Categorías web Aplicaciones

Question 2 of 2
¿ Qué necesita configurar antes de poder empezar a usar traffic
shaping?
Ancho de banda WAN Directiva Optimice para tiempo

total predeterminada real
Question 2 of 2
¿Qué necesita configurar antes de poder empezar a usar traffic
shaping?
Ancho de banda WAN Directiva Optimice para tiempo

total predeterminada real
El ancho de banda total de la WAN debe configurarse antes de utilizar la configuración

del tráfico
Puede configurar una directiva de configuración de tráfico predeterminada para todo el

tráfico que no tenga aplicada una directiva
Se pueden crear políticas de configuración de tráfico para usuarios, reglas, categorías

web y aplicaciones
Complete las tareas de laboratorio para Introducción a Sophos

Firewall:
 Tarea 1: Varios vínculos WAN
 Tarea 2: Perfiles WAN SD
 Tarea 3: Crear una ruta basada en directivas para un escenario MPLS
 Tarea 4: Configurar el acceso a dispositivos
 Tarea 5: Interfaces de puente
Base Firewall
Introducción al firewall y las
reglas NAT en Sophos Firewall
Sophos Firewall
Version: 19.0v2
Introducción al firewall y las reglas NAT en Sophos Firewall

crear y administrar reglas de
firewall y NAT. en zonas con políticas basadas en identidad
WebAdmin
DURACIÓN
17 minutos
Reglas de firewall
Las reglas de firewall y NAT se procesan en orden
Se utiliza la primera regla para hacer coincidir
Si no hay ninguna regla de firewall coincidente, el tráfico

se interrumpe
Creación de reglas de firewall
Propiedades de la
regla
Criterios de
coincidencia
Creating Firewall Rules
Exclusiones
NAT vinculada
Características de
seguridad
Simulación: Crear una regla de firewall
En esta simulación, modificará la regla de

firewall predeterminada para permitir el
tráfico saliente de zonas adicionales y, a
continuación, creará reglas de firewall
para permitir el tráfico hacia y desde la
sucursal de Nueva York a través de MPLS.
https://training.sophos.com/fw/simulation/FirewallRule/1/start.html
Administración de reglas de firewall
Rule position Rule ID
Red octagon for drop/reject rules

Web server protection firewall rule
Network rule
Rule group
Grey for disabled rules
User rule
Green for allow rules

Cualquier
Usuario/red
Red
Usuario
WAF
Reglas NAT
Puede crear una regla NAT

Se recomienda configurar las
vinculada que coincida con Las reglas NAT aún requieren
reglas NAT de forma
los mismos criterios que la reglas de firewall para
independiente mediante la
regla de firewall a la que está permitir el tráfico
tabla NAT
vinculada.
Administración de reglas NAT
Vídeo sobre el uso de

NAT
Configuración de reglas NAT
Criterios coincidentes
Traducciones
Criterios coincidentes
Anular la traducción de
origen para interfaces
de salida específicas
Escenario SNAT enmascarado
WAN: Port2
LAN: VLAN33
DMZ: Port6
LAN: Port1
Regla SNAT predeterminada
Translation
Matching criteria
Simulación: Configurar reglas NAT
En esta simulación, eliminará la
regla NAT vinculada para la regla de
firewall predeterminada,
desvinculará la regla NAT para la
protección del correo electrónico y
creará una regla NAT para el tráfico
MPLS.
https://training.sophos.com/fw/simulation/NatRule/1/start.html
Escenario DNAT
IP address: 172.30.30.50
Zone: DMZ
Client Server
Sophos Firewall
Dirección IP de #Port2
Port: 80
Asistente de acceso al servidor (DNAT)
Regla de firewall DNAT
Interface on the Sophos Firewall
Zone of internal
server
Reglas DNAT
Políticas reflexivas y de bucle invertido
Política reflexiva Política de bucle invertido
SNAT
(Mascarada) app.sophostraining.xyz
app.sophostraining.xyz SNAT
Application
Servidor Server
Aplicación
Usuario Interno
Interno Usuario
Simulación: Crear una regla DNAT mediante el Asistente de
acceso al servidor
En esta simulación, publicará un

servidor utilizando una regla DNAT
creada mediante el asistente de
acceso al servidor.
https://training.sophos.com/fw/simulation/DnatRule/1/start.html
Question 1 of 5
VERDADERO o FALSO: Las reglas NAT se procesan en orden de
arriba a abajo.
VERDADERO FALSO
Question 1 of 5
VERDADERO o FALSO: Las reglas NAT se procesan en orden de
arriba a abajo.
FALSO
VERDADERO
Question 2 of 5
Haga coincidir el icono del firewall con la descripción.
Una regla de firewall deshabilitada
Una regla de firewall de usuario
Una regla de firewall de aplicaciones web
Una regla de firewall que eliminará o rechazará el tráfico

Question 2 of 5
Haga coincidir el icono del firewall con la descripción.
Una regla de firewall deshabilitada
Una regla de firewall de usuario
Una regla de firewall de aplicaciones web
Una regla de firewall que eliminará o rechazará el tráfico

Question 3 of 5
VERDADERO o FALSO: Se evalúan todas las reglas del cortafuegos y
se utiliza la mejor coincidencia.
VERDADERO FALSO
Question 3 of 5
VERDADERO o FALSO: Se evalúan todas las reglas del cortafuegos y
se utiliza la mejor coincidencia.
VERDADERO FALSO
Question 4 of 5
¿Cuáles de los siguientes 3 criterios coinciden que Sophos Firewall
utiliza para asignar automáticamente reglas de firewall a grupos?
Red de destino Zona de origen Servicios
Zona de destino Tipo de regla Red de origen

Question 4 of 5
¿Cuáles de los siguientes 3 criterios coinciden que Sophos Firewall
utiliza para asignar automáticamente reglas de firewall a grupos?
Red de destino Zona de origen Servicios
Zona de destino Tipo de regla Red de origen

Question 5 of 5
Complete la oración a continuación:
Al crear una regla de firewall para DNAT, seleccione
La zona de destino ______.
Pre-NAT Post-NAT
Question 5 of 5
Complete la oración a continuación:
Al crear una regla de firewall para DNAT, seleccione
La zona de destino ______.
Pre-NAT Post-NAT
Las reglas de firewall y NAT se procesan en orden y se utiliza la primera regla para que
coincida
Si no se coincide con ninguna regla de firewall, el tráfico se eliminará
Las reglas de firewall del tráfico DNAT utilizan la zona post-NAT y la dirección IP pre-NAT
Gestión avanzada de reglas de
firewall en Sophos Firewall
Sophos Firewall
Version: 19.5v1
Advanced Firewall Rule Management on Sophos Firewall

fluyen los paquetes a través del
 Creación y administración de reglas de firewall
firewall, cómo se descargan en la
ruta rápida y cómo ordenar las
reglas de firewall para el
rendimiento y la protección.
DURACIÓN
28 minutos
Marco de firewall the notes
Incoming packets Outgoing packets
PREENRUTAMIENTO ENRUTAMIENTO FORWARD POSTROUTING
5. Filtro
1. Procesamiento de paquetes RAW
6. Falta de
2. Conntrack 7. Filtro
3. Falta de 8. Conntrack
4. DNAT
9. NAT
Tables
Filtro de paquetes
NAT
Marco de firewall the notes
Incoming packets Outgoing packets
PREENRUTAMIENTO ENRUTAMIENTO ENRUTAMIENTO SALIDA POSTROUTING
1. Procesamiento de paquetes 8. Conntrack 10. Falta de

RAW 9. NAT 11. Filtro
2. Conntrack 12. Falta de
3. Falta de
ENTRADA 13. Filtro
4. DNAT 14. Conntrack
15. NAT
5. Falta de SALIDA ENRUTAMIENTO
6. Filtro
7. Conntrack
Tables Local Processes

Apache
SSLVPN
Access
Server
Filtro de paquetes
Proxy
Proxy
HTTP
IPsec
WAF
Mail
AV
NAT
Arquitectura Xstream
SSL Inspección Motor DPI FastPath de flujo de red

Alto rendimiento, alta capacidad Protección integral contra amenazas Descarga inteligente del
de conexión en todos los puertos, en un único motor DPI de streaming procesamiento de tráfico para
protocolos y aplicaciones de alto rendimiento transferir tráfico de confianza a
velocidades de cable
Controles de nivel empresarial Análisis sin proxy del tráfico para AV,
IPS, amenazas web, control de La descarga puede ser controlada a
para optimizar la seguridad, la través de políticas o de forma
aplicaciones e inspección SSL
privacidad y el rendimiento inteligente por el motor DPI en función
de las características del tráfico para
El descifrado del tráfico proporciona
Soporte para TLS 1.3 y todos los acelerar el tráfico importante de
una protección más eficaz contra las
conjuntos de cifrado modernos aplicaciones en la nube
aplicaciones que cambian de patrón
Conexión inicial
Pila de cortafuegos Motor DPI
• Gestión de conexiones • Procesamiento de DPI de transmisión
• Permitir, bloquear, asegurar decisiones • Descarga inteligente
• DoS y QoS • Filtrado web sin proxy
• Política e inspección de SSL
FastPath
• FastPath virtual o acelerado por hardware
• Reenvío de paquetes – descarga L2 y L3
• Entrega directa al motor DPI
Descarga completa de FastPath
FastPath
•
Entrega inicial de paquetes al motor DPI
FastPath
•
Descarga de firewall
• Gestión de conexiones • Procesamiento de DPI de
• Permitir, bloquear, asegurar transmisión
decisiones • Descarga inteligente
FastPath
Descarga completa de FastPath
• Gestión de conexiones • Procesamiento de DPI de
• Permitir, bloquear, asegurar transmisión
decisiones • Descarga inteligente
FastPath
• Virtual or hardware accelerated FastPath
• Forwarding packets – offloading L2& L3
• Direct delivery to DPI engine
Descarga de FastPath
Motor DPI
App
TLS /
IPS AV
SSL
Web
Camino lento Camino lento
DoS VPN FW Adquisición de datos (DAQ) VPN QoS
FastPath
Flujo clasificado
Descargar DoS, VPN
y acciones de DPI Engine
firewall
App
TLS /
IPS AV
SSL
Web
FastPath
DPI Engine
App
TLS /
IPS AV
SSL
Web
DoS VPN FW FastPath VPN QoS

Descarga de FastPath Aplicación identificada y
IPS determina que no hay
archivos para que AV escanee y
que el flujo es confiable
Motor DPI
App
TLS /
IPS AV
SSL
Web
SlowPath SlowPath

Motor DPI
App
TLS /
IPS AV
SSL
Web

Virtual FastPath frente a FastPath de flujo de red
Virtual FastPath (VFP) FastPath de flujo de red (NFP)
Serie XG Serie XGS
Virtual SF
Software SF CPU CPU
Procesami
ento de
FastPath
Procesador Xstream Flow
Chip de red Chip de red Chip de red Chip de red

Flujo FastPath de la serie XGS | Paquetes iniciales the notes
CPU
IPS
DAQ DAQ
IPS API
SlowPath
PCI Express
FP2SP API
SP2FP API
FastPath
Procesador Xstream Flow
Flujo FastPath de la serie XGS | Paquetes iniciales
CPU
IPS
DAQ DAQ
Programa FastPath con
información de estado relevante
por ejemplo, GOTO IPS
IPS API
SlowPath
PCI Express
FP2SP API
SP2FP API
FastPath
Xstream Flow Processor
Flujo FastPath de la serie XGS | Descarga de FastPath a IPS
CPU
IPS
DAQ DAQ
IPS API
SlowPath
PCI Express
FP2SP API
SP2FP API
FastPath
Flujo FastPath de la serie XGS | Descarga de FastPath a IPS
CPU
Update connection verdict
e.g., CUT THROUGH IPS
DAQ DAQ
IPS API
SlowPath
PCI Express
FP2SP API
SP2FP API
FastPath
Flujo FastPath de la serie XGS | Descarga de FastPath
CPU
IPS
DAQ DAQ
IPS API
SlowPath
PCI Express
FP2SP API
SP2FP API
FastPath
Flujo FastPath de la serie XGS | Volver a SlowPath
CPU
IPS
DAQ DAQ
IPS API
SlowPath
PCI Express
FP2SP API FastPath puede actualizar
SlowPath para devolver
SP2FP API una conexión
FastPath
Descarga de TLS FastPath
DPI Engine
App
TLS IPS AV
Web
SlowPath SlowPath
DoS VPN FW TLS VPN QoS
FastPath
Currently available for XGS 4300/4500/5500/6500

Comprobación de la descarga de FastPath
console> system firewall-acceleration show
Firewall Acceleration is Enabled in Configuration.
Firewall Acceleration is Loaded.
console>
XGS2100_RL01_SFOS 18.5.0 EAP3-Build247# conntrack –L
proto=tcp proto-no=6 timeout=10796 state=ESTABLISHED orig-src=172.16.16.17 orig-
src=50.16.7.188 reply-dst=192.168.29.14 reply-sport=443 reply-dport=65119 packets=22
bytes=5389 [ASSURED] mark=0x8001 use=1 id=2395119104 masterid=0 devin=Port1
devout=Port2 nseid=16777233 ips=0 sslvpnid=0 webfltid=0 appfltid=0 icapid=0
policytype=1 fwid=5 natid=2 fw_action=1 bwid=0 appid=100 appcatid=5 hbappid=0
hbappcatid=0 dpioffload=0x3f sigoffload=0 inzone=1 outzone=2 devinindex=10
devoutindex=11 hb_src=0 hb_dst=0 flags0=0x800a0000200008 flags1=0x5c106804000
flagvalues=3,21,41,43,55,78,87,89,90,96,102,103,104,106 catid=6 user=0 luserid=0
usergp=0 hotspotuserid=0 hotspotid=0 dst_mac=7c:5a:1c:bc:06:ae
src_mac=e8:d8:d1:45:62:89 startstamp=1617256585 microflowid[0]=5777 microflowrev[0]=0
microflowid[1]=5916 microflowrev[1]=0 hostrev[0]=3 hostrev[1]=3 ipspid=0 diffserv=0
loindex=11 tlsruleid=0 ips_nfqueue=1 sess_verdict=2 gwoff=0 cluster_node=0
current_state[0]=13 current_state[1]=13 vlan_id=0 inmark=0x0 brinindex=0 sessionid=82
sessionidrev=22265 session_update_rev=12 dnat_done=0 upclass=0:0 dnclass=0:0
pbrid_dir0=0 pbrid_dir1=0 nhop_id[0]=8 nhop_id[1]=10 nhop_rev[0]=0 nhop_rev[1]=0
conn_fp_id=74 conn_fp_rev=0
XGS2100_RL01_SFOS 18.5.0 EAP3-Build247# usfp_table_print.sh worker_sys_cnt
FPCNTR_RX_WIRE : 570376
FPCNTR_RX_KN : 96262
FPCNTR_RX_IPS : 8220
FPCNTR_RX_INJECT : 1231
FPCNTR_TX_DROP : 12
FPCNTR_TX_WIRE : 495911
FPCNTR_TX_KN : 171046
FPCNTR_TX_IPS : 9120
FPCNTR_FROM_WIRE_TO_KN_FORCED : 1928
FPCNTR_FROM_WIRE_TO_KN_NON_ACCEL : 541
FPCNTR_FROM_WIRE_TO_KN_FW_REV_MISMATCH : 79
FPCNTR_FROM_WIRE_TO_KN_CONN_REV_MISMATCH : 1
FPCNTR_FROM_WIRE_TO_KN_CONN_RECLAIM_PENDING : 2
FPCNTR_FROM_WIRE_TO_KN_CONN_RECLAIMED : 16
FPCNTR_FROM_WIRE_TO_KN_TCP_FIN_SYN_RST : 29
FPCNTR_FROM_WIRE_TO_KN_MFLOW_NOT_ACTIVE : 168449
FPCNTR_FROM_WIRE_TO_IPS_INSPECT : 9120
FPCNTR_FROM_WIRE_TO_WIRE_VERDICT_CUT_THRU : 390210
FPCNTR_FROM_INJECT_DROP_MFLOW_REV_MISMATCHED : 2
FPCNTR_FROM_INJECT_DROP_MFLOW_NOT_ACTIVE : 10
FPCNTR_FROM_INJECT_TO_WIRE : 1219
FPCNTR_FROM_KN_TO_WIRE : 96262
FPCNTR_FROM_IPS_TO_WIRE : 8220
FastPath y tcpdump
console> tcpdump “proto 1”
07:01:39.890534 Port1, IN: IP 172.16.16.17 > 8.8.8.8: ICMP echo request, id 1, seq 375, length 40
07:01:39.917063 Port1, OUT: IP 8.8.8.8 > 172.16.16.17: ICMP echo reply, id 1, seq 375, length 40
07:01:39.917067 oct0, OUT: IP 8.8.8.8 > 172.16.16.17: ICMP echo reply, id 1, seq 375, length 40
07:01:40.912820 Port1, IN: IP 172.16.16.17 > 8.8.8.8: ICMP echo request, id 1, seq 376, length 40
07:01:40.939961 Port1, OUT: IP 8.8.8.8 > 172.16.16.17: ICMP echo reply, id 1, seq 376, length 40
07:01:40.939969 oct0, OUT: IP 8.8.8.8 > 172.16.16.17: ICMP echo reply, id 1, seq 376, length 40
Mejora del uso de FastPath con la directiva
Tráfico que coincide con una

regla de firewall sin procesos
DPI habilitados
Tráfico que coincide con una Tráfico que coincide con IPS
regla de firewall sin procesos reglas habilitadas con
DPI habilitados SophosLabs descargar firmas
Tráfico que coincide con una regla

de firewall con una directiva IPS
establecida en 'omitir sesión'

Tráfico que no requiere
establecida en 'omitir sesión' descifrado TLS
Tráfico que coincide con una Tráfico que no requiere

regla de firewall con una descifrado TLS
directiva IPS establecida en
'omitir sesión'’

regla de firewall con el control
de aplicaciones

Tráfico que no requiere
establecida en 'omitir sesión' descifrado TLS

Tráfico que no utiliza el proxy
regla de firewall con el control
web heredado
de aplicaciones
Reglas de firewall the notes
Reglas de firewall the notes
Escenario 1 - Introducción
Guest
Wi-Fi
WAN
LAN
Escenario 1 - Reglas
Escenario 2 - Introducción
Users
VLAN DMZ
Guest
VLAN
WAN
Employee
Wi-Fi Server VoIP
VLAN VLAN
Catch All rule

A block rule for P2P traffic
Catch All rule

A rule for their VOIP phones

A rule for employee web browsing
Catch All rule


A rule to allow servers in the server VLAN to access the Internet for updates
A rule to allow guests to access the Internet over the guest VLAN
Catch All rule

Scenario 2 - Rules

A rule to allow LAN to DMZ access so employees can use the shared resources
A rule to allow servers in the server VLAN to access the Internet for updates
A rule to allow guests to access the Internet over the guest VLAN
A rule to allow WAN to DMZ access for shared resources

Pregunta 1 de 2
Le está explicando a un colega cómo ordenar las reglas de firewall.

¿Cuáles 2 de las siguientes son reglas básicas que sugiere que
sigan?
Cuanto más específica sea la Cuanto más amplia sea la Todas las reglas permitidas
regla, más cerca de la parte regla, más cerca de la parte creadas solo para iniciar sesión
superior debería estar superior debería estar deben estar en la parte superior
Las reglas que se procesan A menos que sea una regla

general, las reglas de denegación
con mayor frecuencia deben deben estar en la parte superior
estar más abajo por seguridad.
Question 1 of 2
Le está explicando a un colega cómo ordenar las reglas de firewall.
¿Cuáles 2 de las siguientes son reglas básicas que sugiere que
sigan?
Cuanto más específica sea la Cuanto más amplia sea la Todas las reglas permitidas
regla, más cerca de la parte regla, más cerca de la parte creadas solo para iniciar sesión
superior debería estar superior debería estar deben estar en la parte superior
Las reglas que se procesan A menos que sea una regla

general, las reglas de denegación
con mayor frecuencia deben deben estar en la parte superior
estar más abajo por seguridad.
Question 2 of 2
Solicite estas reglas de firewall para obtener la mejor eficiencia y
seguridad
Drag here
Drag here
Drag here
Drag here
Drag here
Question 2 of 2
jmEl orden correcto se muestra a continuación
Drag here
Drag here
Drag here
Drag here
Drag here
FastPath puede descargar tráfico para aumentar la velocidad de las conexiones, pero
no todo el tráfico se descargará. Se pueden crear reglas de firewall para maximizar la
cantidad de tráfico descargado en FastPath
Las reglas de firewall se pueden ordenar para el rendimiento y la protección. Los grupos
de reglas de firewall pueden ayudar a organizar dispositivos que tienen muchas reglas
Las reglas generales son; Cuanto más específica sea la regla, más cerca de la parte
superior debería estar la regla, las reglas que se procesan con más frecuencia deberían
estar por encima de otras reglas y, a menos que sea un cajón de sastre, las reglas de
denegación deben estar en la parte superior por seguridad.
reglas de firewall en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Resolución de problemas de reglas de firewall en Sophos
Firewall
solucionar problemas comunes
 Creación y administración de reglas de firewall
con la configuración de reglas de  Uso de la CLI y el Shell avanzado para la solución de
firewall en Sophos Firewall. problemas
DURACIÓN
7 minutos
Solución de problemas de reglas de firewall
Causas comunes de • Orden de reglas

problemas de reglas de • Configuración de reglas
firewall • Políticas aplicadas
• Confirmar qué regla de firewall coincide el tráfico

¿Por dónde empezar? • Comprobar qué políticas se están aplicando
• Revisar la configuración de la regla
Si se utilizan reglas bidireccionales para permitir la entrada

y salida de tráfico (por ejemplo, para una VPN de sitio a
Propina sitio) y el tráfico solo funciona en una dirección, es
probable que sea una regla de firewall mal configurada
Los servidores no pueden descargar actualizaciones 1
Identificar qué regla de firewall coincide el tráfico

Policy Type
1: Network Firewall Rule
2: Firewall Rule with User Matching
3: Web Server Protection Rule
SFVUNL_HV01_SFOS 18.0.1 MR-1-Build396# conntrack -L | grep 8.8.4.4

proto=icmp proto-no=1 timeout=29 orig-src=172.16.16.10 orig-dst=8.8.4.4 type=8
code=0 id=1 packets=62 bytes=3720 reply-src=8.8.4.4 reply-dst=10.1.1.100 type=0 code=0
id=1 packets=62 bytes=3720 mark=0x8001 use=1 id=3759341184 masterid=0 devin=PortA
devout=PortB nseid=0 ips=3 sslvpnid=0 webfltid=4 appfltid=8 icapid=0 policytype=1
fwid=5 natid=2 fw_action=1 bwid=0 appid=0 appcatid=0 hbappid=0 hbappcatid=0
dpioffload=0 sigoffload=0 inzone=1 outzone=2 devinindex=5 devoutindex=6 hb_src=0
hb_dst=0 flags0=0x10800a080220000a flags1=0xd0020a00000
flagvalues=1,3,21,25,35,41,43,55,60,85,87,93,104,106,107 catid=0 user=0 luserid=0
usergp=0 hotspotuserid=0 hotspotid=0 dst_mac=00:15:5d:02:05:29
src_mac=00:15:5d:02:05:0d startstamp=1594637940 microflow[0]=INVALID
current_state[1]=26 vlan_id=0 inmark=0x0 brinindex=19 sessionid=237 sessionidrev=15229
session_update_rev=0 dnat_done=0 upclass=0:0 dnclass=0:0 pbrid_dir0=0 pbrid_dir1=0
nhop_id[0]=65535 nhop_id[1]=65535 nhop_rev[0]=0 nhop_rev[1]=0 conn_fp_id=NOT_OFFLOADED
Question 1 of 1
En el visor de registros puede ver qué tipo de regla de firewall se
está emparejando; red, usuario o servidor web. ¿Qué tipo de regla
coincidiría si el tipo de directiva fuera 2?
Regla de firewall de
Regla de firewall de red protección de servidor
usuario
web
Question 1 of 1
En el visor de registros puede ver qué tipo de regla de firewall se
está emparejando; red, usuario o servidor web. ¿Qué tipo de regla
coincidiría si el tipo de directiva fuera 2?
Regla de firewall de red protección de servidor
usuario
web
L
as causas más comunes de problemas de reglas de firewall son el orden de las reglas, la
configuración de las reglas y las directivas aplicadas a la regla.
Puede confirmar qué regla de firewall se está emparejando mediante la captura de

paquetes o el visor de registros en WebAdmin, o conntrack en el shell avanzado
El visor de registros muestra qué tipo de regla de firewall coincide, una regla de red, una
regla de usuario o una regla de protección de servidor web
NAT en Sophos Firewall
Sophos Firewall
Version: 19.0v2
Configuración de NAT empresarial en Sophos Firewall

Sophos Firewall procesa las
 Creación y administración de reglas NAT
reglas NAT y cómo configurar los
diferentes tipos de NAT
compatibles.
DURATION
15 minutos
Configuración de NAT
Puede crear una regla NAT

Las reglas NAT tienen una vinculada que coincida con Las reglas NAT aún requieren
tabla separada de las reglas los mismos criterios que la reglas de firewall para
de firewall regla de firewall a la que está permitir el tráfico
vinculada.
Flujo de paquetes NAT Coincidencia de
Búsqueda de NAT
reglas de firewall
para DNAT/reglas
realizada en la
NAT completas
zona post-NAT y
la IP pre-NAT
Llega el Búsqueda Paquete

Marca Zona DNAT Firewall NAT
paquete NAT entregado
1 2 3 4 5 6 7
DNAT o NAT completo
La zona de
según la regla que
destino se
coincide en # 3
cambiará según la
o
regla DNAT si
Búsqueda de NAT para la
coincide en #3
mejor coincidencia SNAT
o regla NAT vinculada
Tipos de NAT admitidos the notes
SNAT (NAT de origen) Política de bucle invertido

Un clic en la interfaz de usuario
IP y puerto dinámicos (mapeados Permite que el tráfico interno acceda a los
internamente) servicios utilizando la IP pública de Sophos
Cambiar el puerto de origen y/o la dirección IP Firewa
DNAT (NAT de destino) Directiva NAT vinculada

Muchos a uno, uno a uno, uno a muchos Regla SNAT que coincidirá con los mismos
Cambiar el puerto de destino y/o la dirección IP criterios que una regla de firewall vinculada
Política reflexiva
Un clic en la interfaz de usuario Equilibrio de carga NAT
Permite que el tráfico atraviese la NAT en la Round robin, aleatorio, IP pegajosa, primero
dirección opuesta vivo, uno a uno
Configuración de NAT
Vídeo sobre el uso de

NAT
Escenario SNAT enmascarado
WAN: Port2
LAN: VLAN33
DMZ: Port6
LAN: Port1
Regla SNAT predeterminada
Traducción
Criterios
coincidentes
Escenario DNAT
IP address: 172.30.30.50
IP address of #eth1 Port: 4567
Port: 80 Zone: DMZ
Client Server
Sophos Firewall
Escenario DNAT
REGLA DE FIREWALL REGLA NAT
Regla NAT reflexiva
SNAT
(Mascarada)
app.sophostraining.xyz
Aplicación
Servidor
Interno
Usuario
Regla NAT de bucle invertido
SNAT app.sophostraining.xyz
Application
Server
Internal
User
Escenarios NAT
NTP Proxy Aplicación del servidor DNS
Sophos Firewall Público no confiable Sophos Firewall

realiza un DNAT Servidor DNS secuestra la
en las solicitudes solicitud de DNS y la
redirige a un
NTP que se le
servidor DNS
envían interno de confianza
NTP Request DNS Request
Sophos Firewall Sophos Firewall
NTP Server Servidor DNS

interno
Watch Demo Watch Demo
Escenario de proxy NTP
DNS Server Enforcement Scenario
Cosas para recordar...
• Para las reglas NAT vinculadas, el criterio de coincidencia es el ID de regla del firewall
• Esto también tiene en cuenta los usuarios y las restricciones de programación.
• Cuando se migra desde v17.5, se conserva todo el orden de reglas para firewall y NAT
Cosas para recordar...
• Las directivas NAT de invalidación/NAT específicas de la puerta de enlace no forman parte de la regla
NAT
• Usar la opción Anular la traducción de origen desde interfaces de salida específicas
• Las reglas DNAT tienen prioridad sobre el acceso al dispositivo

• Por ejemplo, una regla DNAT en el puerto 22 traducirá el destino y no se podrá acceder a Sophos
Firewall en ese puerto.
Política NAT local
Establecer la dirección IP de origen para el tráfico generado por el sistema a
destinos específicos
COMPORTAMIENTO PREDETERMINADO COMPORTAMIENTO DE LA POLÍTICA DE NAT LOCAL
172.16.16.16 192.168.37.5 172.16.16.16 192.168.37.5

Source: 192.168.37.5 Source: 172.16.16.16
Destination: Destination:
Sophos 10.1.50.17 Sophos 172.29.52.9
Firewall Firewall
Política NAT local
10.81.1.7 10.81.1.29
VPN
SITIO A SITIO B
172.16.16.16 MPLS 192.168.16.16
10.250.1.1 10.250.1.2
172.16.16.10
Domain Controller
STAS
consola> set advanced-firewall sys-traffic-nat add destination

172.16.16.10 netmask 255.255.255.255 snatip 192.168.16.16
Question 1 of 2
VERDADERO o FALSO: Las reglas DNAT tienen prioridad sobre el
acceso al dispositivo.
VERDADERO FALSO
Question 1 of 2
VERDADERO o FALSO: Las reglas DNAT tienen prioridad sobre el
acceso al dispositivo.
VERDADERO FALSO
Question 2 of 2
Haga coincidir el tipo de regla NAT con su descripción.
Política de bucle
invertido
Regla reflexiva
Drag here Drag here

Para cuando los usuarios internos utilizan la dirección IP
pública o el nombre de host para acceder a un recurso Crea un SNAT a partir de orígenes internos a Internet
Question 2 of 2
Haga coincidir el tipo de regla NAT con su descripción.
Política de bucle Regla reflexiva

Drag here Drag here
invertido
Para cuando los usuarios internos utilizan la dirección IP
Crea un SNAT a partir de orígenes internos a Internet
pública o el nombre de host para acceder a un recurso
Las reglas del firewall coinciden en la zona post-NAT y la dirección IP pre-NAT
La regla SNAT predeterminada agregará automáticamente interfaces de zona WAN a la

configuración de la interfaz de salida
Puede utilizar directivas NAT locales para establecer la dirección IP de origen para el
tráfico generado por el sistema a destinos seleccionados
reglas NAT en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Troubleshooting NAT Rules on Sophos Firewall
solucionar problemas de
 Creación y administración de reglas NAT
configuración comunes con  Uso de la CLI y el Shell avanzado para la solución de
reglas NAT. problemas
DURATION
8 minutos
Proceso NAT
Coincidencia de
Búsqueda de NAT reglas de firewall
para DNAT/reglas realizada en la zona
NAT completas post-NAT y la IP pre-
NAT
Packet Packet
Marking NAT Lookup Zone DNAT Firewall NAT
Arrives Delivered
1 2 3 4 5 6 7
Destination zone DNAT or Full NAT
will be changed as per rule
as per DNAT rule matched in #3
if matched in #3 or
NAT lookup for
the best match
SNAT or linked
NAT rule
Solución de problemas de reglas NAT the notes
Causas comunes de problemas con las reglas NAT
• Orden de reglas Las reglas DNAT tienen

• Configuración de reglas
• Reglas de firewall
prioridad sobre el acceso al
dispositivo
¿Por dónde empezar? Por ejemplo, una regla DNAT en el

puerto 22 traducirá el destino y no
• Confirmar a qué regla NAT coincide el tráfico se podrá acceder a Sophos Firewall
• Confirmar qué regla de firewall coincide el en ese puerto.
tráfico
No se puede acceder al servidor a través de DNAT 1
Las reglas de firewall para DNAT deben usar la zona

post-NAT y la dirección IP pre-NAT para el destino
No se puede acceder a Sophos Firewall a través de SSH 1
login as: admin

admin@firewall's password:
Access denied
admin@firewall's password:
2020-07-14 10:43:03 messageid="00001" log_type="Firewall" log_component="Firewall Rule"

log_subtype="Allowed" status="Allow" con_duration="136" fw_rule_id="13" nat_rule_id="4"
policy_type="1" user="" user_group="" web_policy_id="0" ips_policy_id="0" appfilter_policy_id="0"
app_name="SSH" app_risk="1" app_technology="Network Protocol" app_category="Infrastructure"
vlan_id="0" ether_type="Unknown (0x0000)" bridge_name="" bridge_display_name="" in_interface="PortA"
in_display_interface="PortA" out_interface="PortE" out_display_interface="PortE"
src_mac="00:15:5D:02:05:12" dst_mac="00:15:5D:02:05:61" src_ip="172.16.16.250" src_country="R1"
dst_ip="172.16.16.16" dst_country="R1" protocol="TCP" src_port="53295" dst_port="22"
packets_sent="15" packets_received="12" bytes_sent="2256" bytes_received="2459" src_trans_ip=""
src_trans_port="0" dst_trans_ip="172.30.30.50" dst_trans_port="0" src_zone_type="LAN" src_zone="LAN"
dst_zone_type="DMZ" dst_zone="DMZ" con_direction="" con_event="Stop" con_id="913903680"
virt_con_id="" hb_status="No Heartbeat" message="" appresolvedby="Signature" app_is_cloud="0"
Sophos Firmware Version SFOS 18.0.0 GA-Build321.HF052220.1
Main Menu
1. Network Configuration
2. System Configuration
3. Route Configuration
4. Device Console
5. Device Management
6. VPN Management
7. Shutdown/Reboot Device
0. Exit
Select Menu Number [0-7]:

SFVUNL_HV01_SFOS 18.0.0 GA-Build321.HF052220.1# conntrack -L | grep orig-dport=22 |

grep orig-src=172.16.16.250
proto=tcp proto-no=6 timeout=10795 state=ESTABLISHED orig-src=172.16.16.250 orig-
src=172.30.30.50 reply-dst=172.16.16.250 reply-sport=22 reply-dport=53908 packets=18
bytes=4939 [ASSURED] mark=0x0 use=1 id=3816980800 masterid=0 devin=PortA devout=PortE
nseid=16781785 ips=0 sslvpnid=0 webfltid=0 appfltid=0 icapid=0 policytype=1 fwid=13
natid=4 fw_action=1 bwid=0 appid=102 appcatid=5 hbappid=0 hbappcatid=0 dpioffload=0x3f
inzone=1 outzone=3 devinindex=5 devoutindex=9 hb_src=1 hb_dst=0 flags0=0xa0000200008
flags1=0x50406800000 flagvalues=3,21,41,43,87,89,90,98,104,106 catid=0 user=0
luserid=0 usergp=0 hotspotuserid=0 hotspotid=0 dst_mac=00:15:5d:02:05:61
src_mac=00:15:5d:02:05:12 startstamp=1594742576 microflow[0]=INVALID
current_state[1]=116 vlan_id=0 inmark=0x0 brinindex=0 sessionid=161 sessionidrev=39891
session_update_rev=8 dnat_done=3 upclass=0:0 dnclass=0:0 pbrid_dir0=0 pbrid_dir1=0
nhop_id[0]=65535 nhop_id[1]=65535 nhop_rev[0]=0 nhop_rev[1]=0 conn_fp_id=NOT_OFFLOADED
Question 1 of 2
Al crear una regla de firewall para permitir el tráfico que coincide
con una regla DNAT, ¿qué IP de destino se debe usar?
Post-NAT Pre-NAT
Question 1 of 2
Al crear una regla de firewall para permitir el tráfico que coincide
con una regla DNAT, ¿qué IP de destino se debe usar?
Post-NAT Pre-NAT
Question 2 of 2
¿Cuáles de las siguientes instrucciones son VERDADERAS si tiene una entrada de registro de firewall que
incluye log_component="Acceso al dispositivo"?
No se ha emparejado ninguna regla de firewall
Alguien ha iniciado sesión en WebAdmin
Se ha hecho coincidir una regla de acceso de dispositivo
Se recibió tráfico en un puerto de acceso de dispositivo

Question 2 of 2
¿Cuáles de las siguientes instrucciones son VERDADERAS si tiene una entrada de registro de firewall que
incluye log_component="Acceso al dispositivo"?
No se ha emparejado ninguna regla de firewall
Alguien ha iniciado sesión en WebAdmin
Se ha hecho coincidir una regla de acceso de dispositivo
Se recibió tráfico en un puerto de acceso de dispositivo

Chapter Review
Las causas más comunes de problemas con las reglas NAT son el orden de las reglas, la
configuración de reglas y las reglas de firewall para permitir el tráfico NATed
Al solucionar problemas de reglas NAT, comience por identificar qué reglas NAT y firewall
coincidían
Las reglas NAT tienen prioridad sobre el acceso al dispositivo

Configuración del descifrado
TLS en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuring TLS Decryption on Sophos Firewall
configurar el descifrado TLS para
 Uso de WebAdmin para configurar reglas y
el tráfico que pasa a través de directivas
Sophos Firewall. 
DURACIÓN
8 minutos
TLS Inspection Rules
Los paquetes descifrados se

Motor de inspección TLS La directiva TLS es
envían a IPS, control de
independiente del puerto y independiente de las
aplicaciones, filtrado web y
la aplicación directivas de firewall
antivirus
Reglas de inspección SSL/TLS
Reglas de inspección TLS
• Decrypt
• Do not decrypt Certificate, protocol
• Deny and cipher settings
Matching criteria the

same as firewall
rules
Match on categories
and websites
Reglas de inspección TLS
Ejemplo de regla TLS catch-all
Configuración de inspección TLS
Perfiles de descifrado Los perfiles de descifrado se configuran en:
SYSTEM > Profiles > Decryption profiles
Perfiles de descifrado
Perfiles de descifrado
Simulación: Crear una regla de inspección TLS en Sophos
Firewall
En esta simulación, creará una regla

de inspección TLS en Sophos
Firewall que descifrará todo el
tráfico saliente.
https://training.sophos.com/fw/simulation/TlsRule/1/start.html
Question 1 of 2
¿Dónde excluiría un sitio web de la inspección TLS?
Excepciones de > web Perfiles de > del sistema
Reglas y políticas > reglas de

Grupos de URL de > web
inspección TLS
Question 1 of 2
¿Dónde excluiría un sitio web de la inspección TLS?
Excepciones de > web Perfiles de > del sistema
Reglas y políticas > reglas de

Grupos de URL de > web
inspección TLS
Question 2 of 2
¿Dónde configurarías qué algoritmos de cifrado bloquear?
Perfil de descifrado Regla de inspección TLS
Configuración de inspección Entidades emisoras de

TLS certificados
Question 2 of 2
¿Dónde configurarías qué algoritmos de cifrado bloquear?
Perfil de descifrado Regla de inspección TLS
Configuración de inspección Entidades emisoras de

TLS certificados
Las reglas de inspección TLS pueden coincidir en las zonas y redes de origen y destino, los
usuarios, los servicios y los sitios web
Las exclusiones de inspección TLS se administran mediante grupos de URL web. Hay dos
grupos de URL de forma predeterminada, uno administrado localmente y otro
administrado por Sophos
La configuración de inspección TLS es una configuración genérica basada en el motor que

se aplicará globalmente a todas las reglas
Los perfiles de descifrado contienen la configuración para las CA de firma que se deben
usar, cómo administrar el tráfico no descifrable y qué conexiones se bloquearán en
función de los errores, el tamaño de la clave y los algoritmos.
Configuración del tráfico de
red en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuración del tráfico de red en Sophos Firewall

crear directivas de configuración
 Configuración de los ajustes para la configuración
de tráfico para reglas de firewall del tráfico
y usuarios.  Los tipos de directiva de configuración de tráfico
que se pueden crear
DURATION
7 minutos
Modelado del tráfico de red
Configurar el ancho de banda disponible
Configurar la directiva predeterminada
Se pueden crear políticas de configuración de tráfico para usuarios,

reglas de firewall, categorías web y aplicaciones
Ejemplo 1: Limitar FTP
Ejemplo 2: Garantía del usuario
Question 1 of 2
Antes de aplicar una política de configuración de tráfico, ¿qué
debe configurarse en el firewall de Sophos?
Ancho de banda WAN

Grupos Control de aplicaciones
total
Directiva de configuración
Web Control de tráfico Reglas de firewall
predeterminada
Question 1 of 2
Antes de aplicar una política de configuración de tráfico, ¿qué
debe configurarse en el firewall de Sophos?
Ancho de banda WAN

Grupos Control de aplicaciones
total
Directiva de configuración
Web Control de tráfico Reglas de firewall
predeterminada
Question 2 of 2
TRUE o FALSE: una directiva basada en el usuario no se puede
aplicar a los grupos
Verdadero Falso
Question 2 of 2
TRUE o FALSE: una directiva basada en el usuario no se puede
aplicar a los grupos
Verdadero Falso
Las políticas de configuración de tráfico pueden dirigirse al tráfico de red o a los usuarios
Las políticas pueden garantizar o limitar el tráfico
La prioridad controla qué tráfico se procesa primero

Completar las tareas de laboratorio para el firewall base:

 Tarea 1: NAT con equilibrio de carga
 Tarea 2: Directiva NAT local
 Tarea 3: Instalar Sophos Central
Network Protection
Introducción a la prevención
de intrusiones en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Introducción a la prevención de intrusiones en Sophos
Firewall
CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
En este capítulo aprenderá a
habilitar y configurar los ajustes  Uso de Sophos Firewall WebAdmin para configurar
básicos de prevención de políticas
intrusiones en Sophos Firewall.
DURACIÓN
10 minutos
Descripción general de la prevención de intrusiones
Políticas del sistema de prevención de intrusiones (IPS)
Protección contra falsificaciones
Protección de denegación de servicio (DoS)

Políticas IPS
Detecte y bloquee el tráfico
malicioso y mal formado que
ingresa a la red
SOPHOS FIREWALL
ATTACKER
SERVERS
Detectar y bloquear el tráfico
malicioso y mal formado
procedente de equipos de la
red
ORDENADOR COMPROMETIDO
Habilitación de IPS
Políticas IPS listas para usar Las directivas IPS se configuran en:
PROTECT > Intrusion prevention > IPS policies
Creación de directivas IPS
Máximo 15 caracteres
Opcionalmente, clonar reglas de una directiva IPS existente

Configuración de directivas IPS
Arrastrar y soltar a las reglas de

pedido
Creación de reglas de directiva IPS
Free-text filter
All filtered signatures or

selected signatures only
Creación de reglas de directiva IPS
Acción recomendada para la firma

Aplicación de directivas IPS
Select an IPS policy for the firewall rule

Simulación: Crear una directiva IPS
En esta simulación, creará una

directiva IPS y la aplicará a una regla
de firewall.
https://training.sophos.com/fw/simulation/IpsPolicy/1/start.html
Descartar paquetes que no

provienen de una dirección
MAC de confianza
Eliminar si la IP de origen no coincide

con una entrada en la tabla de
enrutamiento de firewalls
Descarte paquetes si la IP de origen y
MAC no coinciden con la dirección
MAC de confianza
Si la protección contra falsificaciones está mal

configurada, puede bloquearse el acceso a Sophos
Firewall
Si la protección contra falsificaciones está mal

configurada, puede bloquearse el acceso a Sophos
Firewall
Protección de denegación de servicio (DoS)
Ver contadores de paquetes
descartados para cada tipo
de ataque
Question 1 of 2
Haga coincidir la característica con su descripción.
Elimina el tráfico que intenta fingir provenir de

Drag here una dirección MAC o IP diferente para eludir la
protección.
Políticas IPS
Elimina el tráfico que intenta maliciosamente
Protección contra falsificaciones Drag here evitar que el tráfico legítimo pueda acceder a
los servicios.
Protección DoS
Drag here Protege contra exploits y tráfico mal formado.

Question 1 of 2
Haga coincidir la característica con su descripción.
Elimina el tráfico que intenta fingir provenir de

Spoof
Drag
Protection
here una dirección MAC o IP diferente para eludir la
protección.
Elimina el tráfico que intenta maliciosamente

Drag
DoS here
Protection evitar que el tráfico legítimo pueda acceder a
los servicios.
IPS
Drag
Policies
here Protege contra exploits y tráfico mal formado.
Question 2 of 2
¿Qué 2 cosas debe hacer para usar las políticas IPS?
Seleccionar una
Crear una nueva
directiva IPS en una
directiva IPS
regla de firewall
Agregar al menos una

Habilitar IPS mediante dirección MAC a la lista de
el conmutador direcciones MAC de confianza
Question 2 of 2
¿Qué 2 cosas debe hacer para usar las políticas IPS?
Seleccionar una
Crear una nueva
directiva IPS en una
directiva IPS
regla de firewall
Agregar al menos una

Habilitar IPS mediante
dirección MAC a la lista de
el conmutador direcciones MAC de confianza
La prevención de intrusiones en Sophos Firewall incluye políticas IPS, protección contra

falsificaciones y protección contra denegación de servicio (DoS)
Las directivas IPS son una lista ordenada de reglas. Cada regla contiene una o más firmas,
y las firmas se pueden seleccionar automáticamente para la regla mediante filtros. Cada
regla también tiene una acción
Para usar directivas IPS, IPS debe habilitarse mediante el conmutador y se debe aplicar
una directiva a una regla de firewall
Sophos Firewall IPS
Sophos Firewall
Version: 1.0v1
Configuración avanzada de Sophos Firewall IPS

ajustar la configuración de IPS
 Configuración de directivas IPS, protección contra
para obtener el mejor suplantación de identidad y protección contra
rendimiento. denegación de servicio
DURACIÓN
13 minutos
Sistema de prevención de intrusiones (IPS)
El sistema de prevención de intrusiones (IPS) se centra en examinar el tráfico que pasa a

través del firewall en busca de contenido malintencionado y bloquear ese tráfico.
Computer Internet
Módulo IPS
IPS debe ajustarse para funcionar con las directivas de firewall

• Aplicación identificada
• IPS determina que no hay archivos
para que AV escanee y que el flujo
DPI Engine es confiable
App
TLS /
IPS AV
SSL
Web

DPI Engine
App
TLS /
IPS AV
SSL
Web
DoS VPN FW Data Acquisition (DAQ) VPN QoS

Configuración de IPS
IPS se puede utilizar para inspeccionar cualquier tráfico que pase a través de Sophos Firewall
Para un rendimiento óptimo, sea selectivo sobre qué tráfico se inspecciona
Las directivas IPS predeterminadas incluyen un amplio conjunto de reglas
Para un rendimiento óptimo, cree directivas IPS personalizadas basadas en el tráfico que se
inspecciona
Ajuste fino de IPS
• Las directivas IPS

predeterminadas
cubren una amplia
gama de
protocolos
• Diseñado para
ofrecer una buena
protección a costa
del rendimiento
Creación de una directiva IPS ajustada
PROTECT > Prevención de intrusiones > políticas IPS

Ajuste fino de las políticas IPS
Asegúrese de hacer clic en Guardar una vez

que haya seleccionado las reglas que desea
clonar
Seleccionar criterios de filtro en los campos desplegables

Filtro inteligente basado en texto

Presione Enter para agregar
Aplicación de una directiva IPS
Aplicar la directiva IPS a la regla de red de firewall

asociada
PROTECT > Reglas y políticas > reglas de firewall
Seleccione la política y desplácese hacia abajo hasta la

sección "Otras funciones de seguridad"
Ejemplo de ajuste IPS
Política estricta
• Conjunto de directivas de protección habilitadas de forma predeterminada
• Se utiliza para comprobar si hay ataques comunes que se detectan y previenen
fácilmente
• Cuando se aplica, el dispositivo elimina tráfico específico, ataques específicos y
otros ataques basados en IP
Si se detectan falsos positivos y se sospecha que una política estricta bloquea la

información legítima, se puede desactivar mediante el siguiente comando:
console > set advanced-firewall strict-policy on/off
NOTA: El comando deshabilita TODAS las directivas incluidas en el módulo de directiva estricta
Question 1 of 2
Al crear una directiva IPS, ¿de qué 3 de las siguientes formas se
pueden seleccionar las firmas?
Filtrar las firmas Filtrar firmas mediante

Importar firmas desde
mediante criterios filtros inteligentes
el sitio web de Sophos
predefinidos basados en texto
Seleccionar reglas por Importar firmas desde Buscar y seleccionar

fecha de lanzamiento un archivo CSV firmas individuales
Question 1 of 2
Al crear una directiva IPS, ¿de qué 3 de las siguientes formas se
pueden seleccionar las firmas?
Filtrar las firmas Filtrar firmas mediante

Importar firmas desde
mediante criterios filtros inteligentes
el sitio web de Sophos
predefinidos basados en texto
Seleccionar reglas por Importar firmas desde Buscar y seleccionar

fecha de lanzamiento un archivo CSV firmas individuales
Question 2 of 2
¿Cuáles 2 de las siguientes afirmaciones sobre políticas estrictas
son VERDADERAS?
Se utiliza para Se utiliza para analizar

comprobar si hay todo el tráfico en
ataques comunes Sophos Firewall
Está habilitado de Se utiliza para proteger

forma predeterminada contra
en Sophos Firewall vulnerabilidades
Question 2 of 2
¿Cuáles 2 de las siguientes afirmaciones sobre políticas estrictas
son VERDADERAS?
Se utiliza para Se utiliza para analizar

comprobar si hay todo el tráfico en
ataques comunes Sophos Firewall
Está habilitado de Se utiliza para proteger

forma predeterminada contra
en Sophos Firewall vulnerabilidades
Las directivas IPS predeterminadas están diseñadas para cubrir una amplia gama de
escenarios y, por lo tanto, no están optimizadas.
Cada regla de firewall debe tener su propia directiva IPS personalizada que solo incluya
las firmas de los servicios y hosts que la utilizarán.
Al crear una nueva directiva IPS, puede clonar reglas de una directiva existente para
agilizar el proceso
Activación de la protección
avanzada contra amenazas en
Sophos Firewall
Sophos Firewall
Version: 19.0v1
Activación de la protección avanzada contra amenazas en
Sophos Firewall
habilitar la protección avanzada
 El papel de Advanced Threat Protection (ATP) en la
contra amenazas y a revisar los cadena de ataque de muerte, bloqueando el tráfico
detalles de las detecciones. saliente a los servidores de comando y control
DURATION
5 minutes
Descripción general de Advanced Threat Protection (ATP)
Detecte dispositivos comprometidos en su red
Bloquear el acceso a servidores de comando y control
Utiliza datos de todos los servicios habilitados en Sophos

Firewall
Configuración de Advanced Threat Protection
Registrar y soltar
Solo registro
Exclusiones
Configuración de Advanced Threat Protection
Alertas avanzadas de protección contra amenazas
Alertas avanzadas de protección contra amenazas
Informe de protección contra amenazas avanzadas
Control Center
Simulación: Habilitación de la protección avanzada contra
amenazas
En esta simulación, habilitará la

protección avanzada contra
amenazas, activará una detección y
revisará la información resultante.
https://training.sophos.com/fw/simulation/Atp/1/start.html
Question 1 of 1
¿Qué 2 acciones se puede configurar ATP para realizar cuando
detecta tráfico a un servidor de comando y control?
Avisar y notificar Registro Conceder
Registrar y soltar Notificar Bloquear

Question 1 of 1
¿Qué 2 acciones se puede configurar ATP para realizar cuando
detecta tráfico a un servidor de comando y control?
Avisar y notificar Registro Conceder
Registrar y soltar Notificar Bloquear

La protección avanzada contra amenazas, o ATP, utiliza datos de todos los servicios
habilitados en Sophos Firewall para detectar equipos comprometidos en la red que se
conectan a servidores de comando y control
ATP se puede configurar para registrar o registrar y soltar tráfico a servidores de

comando y control
ATP se puede configurar para inspeccionar solo contenido procedente de fuentes que no
son de confianza o que van a destinos que no son de confianza, o para inspeccionar todo
el contenido
alertas ATP en Sophos Firewall
Sophos Firewall
Version: 19.0v2
Resolución de problemas de alertas ATP en Sophos
Firewall
hacer cuando recibe alertas de
 Habilitación de la protección avanzada contra
ATP. amenazas
DURATION
3 minutos
Detecciones de ATP 1
Detalles de detección 2
Consulte el sitio web de Sophos 2
Corregir la causa de la detección the notes 3
Pasos de corrección recomendados:
1. Identifique la máquina comprometida. La

dirección IP de la máquina que intenta
conectarse al servidor C&C será visible
dentro de la alerta.
2. Realice un análisis completo del sistema en
el equipo comprometido con la herramienta
de eliminación de virus de Sophos (descarga
gratuita).
Question 1 of 1
Al hacer clic en el widget en el centro de control, ¿qué 3 piezas de
información puede ver sobre la detección?
Contar Amenaza Nombre de usuario
Hora Nombre de host Servicio

Question 1 of 1
Al hacer clic en el widget en el centro de control, ¿qué 3 piezas de
información puede ver sobre la detección?
Contar Amenaza Nombre de usuario
Hora Nombre de host Servicio

Al hacer clic en el widget de fuentes bloqueadas en el Centro de control, puede verificar

el nombre de host o la dirección IP, el nombre de la amenaza y el número de veces que
se bloqueó.
Consulte el sitio web, la base de conocimientos y las páginas de la comunidad de Sophos

para obtener la información más reciente sobre la amenaza detectada
El widget de fuentes bloqueadas en el Centro de control se reinicia a medianoche; Borrar

la causa de la detección no restablece el contador
Introducción a Security
Heartbeat en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Introducción a Security Heartbeat en Sophos Firewall

es Security Heartbeat y cómo
 El papel de Security Heartbeat en la cadena de
habilitarlo para ayudar a ataque de muerte, aislando automáticamente los
proteger su red. dispositivos que se han visto comprometidos
DURATION
10 minutos
Latido del corazón de seguridad
Comunicación inteligente entre los endpoints gestionados de Sophos
Central y Sophos Firewall
Latido regular enviado a Sophos Firewall con el estado actual
Notificación enviada a Sophos Firewall cuando se producen eventos
Sophos Firewall puede solicitar información adicional a los endpoints

sobre los procesos que acceden a la red
Estado de los latidos de seguridad
Sin riesgo, no se requiere ninguna acción

Endpoint Agent se está ejecutando
Sin malware activo o inactivo
No se detectaron PUAs
Riesgo medio: puede ser necesario tomar medidas

Endpoint Agent se está ejecutando
PUA detectada de malware inactivo detectado
Endpoint Agent no está actualizado
Alto riesgo: se requiere acción

Es posible que Endpoint Agent no se esté ejecutando/que los dispositivos no estén protegidos
Malware activo o malware no limpiado, tráfico de red malicioso (por ejemplo, a una red de comando y
control conocida) o comunicación con un host malicioso conocido
¿Cómo funciona Security Heartbeat?
El equipo debe ser gestionado por
Sophos Central
Computer Sophos Firewall

Sophos
El ordenador establece un canal de Sophos Firewall se registra en Sophos Central
comunicación bidireccional con Central y obtiene una lista de equipos
Sophos Firewall gestionados
Los ordenadores deben estar conectados a la red local o a Sophos Firewall a través de una VPN
¿Cómo funciona Security Heartbeat?
Internet
PROTEGIDO PROTEGIDO
Sophos Firewall
Computers Laptop Servers

Lateral Movement Protection the notes
Sophos Firewall shares the MAC

address of computers with a red
health status
Sophos Firewall
Switch
PROTECTED PROTECTED
Laptop A Laptop B Laptop C

Estado de salud rojo de la detección de Sophos Firewall
Sophos Firewall
1. Sophos Firewall detecta

que se activa la llamada a
casa o la regla IPS
Estado de salud
Información del
3. Endpoint informa de
rojo
proceso
2. Sophos Firewall envía un información adicional a
mensaje al endpoint para Sophos Firewall
cambiar su estado de
mantenimiento a rojo
Laptop
Registro en Sophos Central
SISTEMA > Sophos Central
Registro en Sophos Central
Configuración de Security Heartbeat
Registrar Sophos Firewall con Sophos Central

PROTECT > Sincronización central
Configuración de Security Heartbeat
Seleccione las restricciones de Security Heartbeat en las reglas del

firewall
• Reglas basadas en origen y destino

• Establecer el estado de
mantenimiento mínimo
• Opcionalmente requieren un latido
Simulación: Introducción a Security Heartbeat
En esta simulación, registrará
Sophos Firewall con Sophos Central
y activará Security Heartbeat en una
regla de firewall. Activará un estado
de salud ROJO y confirmará que el
dispositivo está bloqueado.
https://training.sophos.com/fw/simulation/Heartbeat/1/start.html
Question 1 of 3
Si desea configurar Security Heartbeat, ¿qué es lo primero que
debe hacer?
Configurar el latido de Habilitar el latido mínimo de

seguridad sincronizado en las origen en una regla de firewall
reglas del firewall dedicada
Habilitar el latido mínimo de Registre su Sophos Firewall

origen de destino en una regla con su cuenta de Sophos
de firewall dedicada Central
Question 1 of 3
Si desea configurar Security Heartbeat, ¿qué es lo primero que
debe hacer?
Configurar el latido de Habilitar el latido mínimo de

seguridad sincronizado en las origen en una regla de firewall
reglas del firewall dedicada
Habilitar el latido mínimo de Registre su Sophos Firewall

origen de destino en una regla con su cuenta de Sophos
de firewall dedicada Central
Question 2 of 3
¿Qué comparte Sophos Firewall sobre los dispositivos con un estado de información de salud
ROJO para evitar la protección de movimientos laterales?
Dirección IP Dirección MAC
Nombre de usuario Nombre de host

Question 2 of 3
¿Qué información comparte Sophos Firewall sobre los dispositivos con un
estado de salud ROJO para evitar la protección contra movimientos laterales?
Dirección IP Dirección MAC
Nombre de usuario Nombre de host

Question 3 of 3
¿Qué 2 formas puede registrar Sophos Firewall con Sophos
Central?
Nombre de usuario y
OTP
contraseña
Certificado ACL
Question 3 of 3
¿Qué 2 formas puede registrar Sophos Firewall con Sophos
Central?
Nombre de usuario y contraseña OTP
Certificado ACL
Chapter Review
Security Heartbeat se establece entre los endpoints gestionados de Sophos Central y el

firewall. Los brokers de Sophos Central confían entre los endpoints y el firewall, por lo
que deben estar registrados en la misma cuenta de Sophos Central
El tráfico de los puntos finales con un estado de mantenimiento RED se puede bloquear si pasa a través del
firewall. Para evitar el movimiento lateral, el firewall compartirá las direcciones MAC de los dispositivos
con un estado de salud ROJO con todos los demás dispositivos con los que tenga latidos.
Security Heartbeat debe configurarse en reglas de firewall para establecer un estado de

mantenimiento mínimo para origen y destino. Opcionalmente, puede seleccionar
requerir un latido
Gestión e implementación de
Security Heartbeat en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Gestión e implementación de Security Heartbeat en
Sophos Firewall
administrar Security Heartbeat y
 Requisitos para Security Heartbeat
lo que debe tener en cuenta al  Registro en Sophos Central y configuración de
implementarlo en un entorno de Security Heartbeat
producción.
DURACIÓN
28 minutos
Latido de seguridad con Sophos Firewall
• Latido: unos pocos bytes cada 15 segundos
Comunicación entre Sophos • Eventos
Firewall y los endpoints • Estado de salud
gestionados por Central • Información sobre el origen de amenazas
• Autenticación
VERDE El agente de punto final se está ejecutando. No se detectó malware o PUAs activas o inactivas
AMARILLO El agente de punto final se está ejecutando. Se ha detectado malware inactivo o PUA
Es posible que el agente de punto final no se esté ejecutando y que los dispositivos no estén protegidos. Malware
ROJO activo, malware no limpiado, tráfico de red malicioso o comunicación con hosts malos conocidos
Cómo funciona Security Heartbeat
No se puede eliminar el tráfico basado en la Sophos Firewall puede bloquear el acceso a
dirección MAC y no está protegido por otras redes y compartir la dirección MAC
Sophos Firewall del ordenador con estado de estado rojo
Switch con puntos finales en buen estado
Router
El
Internet
autoaislamie Sophos Firewall
nto se puede
habilitar en Switch Router
Sophos Switch
Protegido
Central
Protegido
Computer with
red health status
Latido de seguridad con Sophos Firewall
• Los brokers de Sophos Central confían entre el ordenador y el cortafuegos
• Cualquier equipo administrado puede latir con cualquier firewall registrado
Regístreme como ¿Algún mensaje

firewall para mí?
Sophos Computer
Firewall Aquí está su certificado Sophos Estas son las CA para los certificados
Esta es la dirección IP y el puerto del Central de Sophos Firewall
latido Esta es una lista de Sophos Firewalls
Esta es una lista de identificadores registrados
para los equipos que administro y sus Esta es la dirección IP y el puerto del
certificados de cliente latido
Establecimiento de una conexión de latido de seguridad
• Conexión de latido iniciada por la computadora

• El firewall y el equipo validan la identidad utilizando datos de Central
• La computadora comienza a transmitir latidos del corazón
¿Está Equipo en mi lista de

Hola 52.5.76.173 equipos administrados por
Central?
Port 8347
Computer Sophos Firewall Internet
Hola Computadora
Establecimiento de una conexión de latido de seguridad
Las computadoras deben estar conectadas a las redes locales o a

través de una VPN
Sophos Firewall debe ser la puerta de enlace predeterminada
o
La IP pública debe agregarse al perfil de VPN
Computer B
SIN latidos Latido Heartbeat
Computer C Internet VPN Computer A

Sophos Firewall
Registrar Sophos Firewall con Sophos Central
• Un Sophos Firewall solo se puede asociar a una cuenta Central
• Una cuenta central puede tener varios Sophos Firewalls
Restricciones de latidos de seguridad en las reglas del firewall
Reglas basadas en origen y destino que usan restricciones para:

• Estado de salud mínimo
• Se requiere latido de seguridad
NOTA: Las reglas basadas en destino no se aplican a la zona WAN

Latido del corazón faltante
• Los dispositivos que han establecido un latido cardíaco y luego se detuvieron
• Elegir zonas en PROTECT > Sincronización central
También bloqueará los Dispositivos que

latidos cardíacos
faltantes
nunca han
tenido latidos
• Determinado por la dirección MAC cardíacos
• Se puede comprobar en la consola

ipset –L hb_missing
Detección de latidos cardíacos faltantes the notes
Utilícelo cuando haya cambios frecuentes de adaptador

console> system synchronized-security delay-missing-heartbeat-detection show
60
console> system synchronized-security delay-missing-heartbeat-detection set seconds 120
{ "missing_hb_duration": 120 }
Utilícelo cuando hay cambios frecuentes en el estado del sistema
console> system synchronized-security suppress-missing-heartbeat-to-central show

0
console> system synchronized-security suppress-missing-heartbeat-to-central set seconds 60
{ "suppress_missing_hb_to_central": 60 }
https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-
us/webhelp/onlinehelp/nsg/sfos/cliGuide/concepts/SystemCommands.html#concept_udr_4z5_k5__section_tyn_bdl_t4b
Indicadores de reglas de firewall
Latido mínimo de la fuente AMARILLO
Latido mínimo de la fuente VERDE
Latido mínimo de la fuente VERDE

Bloquear clientes sin latido
Enlace a
Usuario y equipo con la alerta
Sophos Central
Restricciones de latidos de seguridad en las reglas del firewall
¿Todos los equipos que ¿Desea evitar que los equipos

utilizan la regla de firewall comprometidos accedan a
pueden crear un latido para aplicaciones y datos
Sophos Firewall? confidenciales?
¿Desea restringir los equipos

¿Desea evitar que los equipos
con un incidente conocido o
se conecten a hosts
permitir solo equipos con un
comprometidos?
estado de mantenimiento
bueno conocido?
Identificación de fuentes activas
Latido del corazón

• Identifica positivamente la computadora, asociando una dirección IP con ella
de seguridad
• Si Sophos Firewall detecta un ataque avanzado pero no puede

Ataque avanzado determinar el origen, puede solicitar detalles adicionales al ordenador.
• La computadora envía detalles de su nombre de host, dirección IP, el

Identificación de
la fuente
usuario conectado y el nombre del proceso
Detecciones de latidos del corazón
Las detecciones de Heartbeat notificadas y activadas por Sophos Firewall tienen el prefijo
'C2/Generic'
Sophos Firewall detectó tráfico malicioso desde un endpoint.
• A un servidor C&C conocido
C2/Generic-A • Realizar una búsqueda DNS para un servidor C&C conocido
• Regla IPS activada
Nota: C2/Generic-A solo se informa en la interfaz de usuario de Sophos Firewall y no en el endpoint
El punto final detectó un proceso que intentó ponerse en contacto con una dirección IP o URL
C2/Generic-B
de servidor C&C conocida
Sophos Firewall detectó una amenaza C2/Generic-A y notificó al endpoint para notificar una
C2/Generic-C
amenaza C2/Generic-C en la cuarentena para el proceso identificado
Implementación de Security Heartbeat
¿Cuáles son probablemente los mayores desafíos para

implementar Security Heartbeat de manera efectiva en un
entorno de producción?
Límites en la cantidad de control que Sophos Firewall puede ejercer cuando

no se está utilizando como dispositivo de enrutamiento central
Riesgos percibidos en la implementación de un sistema que puede

automatizar
Bloqueo del acceso a la red
¿Cuáles son los riesgos de interrumpir las actividades

empresariales normales y cómo puede mitigarlos al implementar
Security Heartbeat??
Uso de reglas de firewall con una prioridad más alta para permitir tráfico
específico sin comprobaciones de latidos
Use la opción 'Bloquear clientes sin latido' con moderación
Revise el estado de salud actual de su patrimonio en Sophos Central para

evaluar el impacto potencial de hacer cumplir el estado de salud de diferentes
niveles
Considere qué nivel de estado de salud es apropiado en cada punto, y si la

verificación debe ser de origen, destino o ambos.
Implementación de Security Heartbeat para usuarios de VPN
Los ordenadores conectados a través de Servers

VPN siempre se enrutan a través de Sophos
Firewall
VPN User Internet Sophos Firewall Computers

Implementación de Security Heartbeat para usuarios
inalámbricos
Los ordenadores conectados a través de
una red inalámbrica que utiliza una zona de Servers
seguridad independiente siempre se
enrutan a través de Sophos Firewall
Internet
Wireless User
Sophos Firewall Computers
conectados a la red
VLAN:3
Servers
Managed Switch
Internet
Sophos Firewall
VLAN:4
Computers
conectados a la red
VLAN:3
Servers
Utilice un switch
gestionado para
Managed Switch enrutar el tráfico entre
Internet VLAN a través de
Sophos Firewall
Sophos Firewall
VLAN:4
Computers
Implementación de Security Heartbeat para el modo puente
Servers Sophos Firewall puede proporcionar

visibilidad y aplicación mediante la seguridad
sincronizada
Sophos Firewall
Switch
Internet
Computers Existing Firewall
Los nuevos puertos de derivación de apertura

por error reducen el riesgo de
implementaciones en línea
Implementación de Security Heartbeat para el modo Discover
Sophos Firewall Sophos Firewall puede proporcionar

visibilidad e información mediante la
Servers seguridad sincronizada (sin aplicación)
SPAN port
Switch
Internet
Existing Firewall
Computers
Implementación de Security Heartbeat para el modo Discover
Sophos Firewall
LAN Ports WAN Port
Servers
Switch
Internet
Existing Firewall
Question 1 of 3
VERDADERO o FALSO: Un Sophos Firewall se puede asociar a
varias cuentas de Sophos Central.
VERDADERO FALSO
Question 1 of 3
VERDADERO o FALSO: Un Sophos Firewall se puede asociar a
varias cuentas de Sophos Central.
VERDADERO FALSO
Question 2 of 3
¿Cuáles 2 de las siguientes son las causas potenciales de que un
punto final administrado tenga un estado de latido AMARILLO?
Se ha detectado una PUA

El malware no se ha Se ha detectado
(aplicación potencialmente
no deseada) limpiado malware activo
Se ha detectado Se ha detectado tráfico

Se ha detectado
comunicación con un host malicioso a un servidor
malware inactivo
defectuoso conocido C&C conocido
Question 2 of 3
¿Cuáles 2 de las siguientes son las causas potenciales de que un
punto final administrado tenga un estado de latido AMARILLO?
Se ha detectado una PUA

El malware no se ha Se ha detectado
(aplicación potencialmente
no deseada) limpiado malware activo
Se ha detectado Se ha detectado tráfico

Se ha detectado
comunicación con un host malicioso a un servidor
defectuoso conocido malware inactivo
C&C conocido
Question 3 of 3
Al utilizar la seguridad sincronizada, ¿cómo determina Sophos
Firewall si necesita enviar las direcciones IP de sus interfaces LAN a
Sophos Central?
Esto está habilitado en Sophos
Sophos Firewall siempre envía Central para que se solicite
direcciones IP a interfaces LAN información al Firewall de
Sophos
Sophos Firewall enviará esta

Se configuran una o más
información siempre que se
interfaces de modo de detección
implemente en modo gateway
Question 3 of 3
Al utilizar la seguridad sincronizada, ¿cómo determina Sophos
Firewall si necesita enviar las direcciones IP de sus interfaces LAN a
Sophos Central?
Esto está habilitado en Sophos
Sophos Firewall siempre envía Central para que se solicite
direcciones IP a interfaces LAN información al Firewall de
Sophos
Sophos Firewall enviará esta

Se configuran una o más
información siempre que se
interfaces de modo de detección
implemente en modo gateway
Los dispositivos con un latido de seguridad se identifican por su dirección IP cuando el tráfico pasa a través
del firewall. Para la protección de movimiento lateral, otros dispositivos utilizan la dirección MAC de los
puntos finales con un estado de mantenimiento ROJO para eliminar el tráfico
Los intermediarios centrales confían entre los puntos finales y el firewall mediante
certificados, pero el latido se establece entre el punto final y el firewall.
Los endpoints utilizan una dirección IP pública para establecer el latido con el firewall para que se enrute a
través de la puerta de enlace de Internet, que debería ser el Sophos Firewall. Por esta razón, los puntos
finales deben conectarse directamente a la red o a través de VPN
Complete las tareas de laboratorio para Network Protection:

 Tarea 1: Latido de seguridad basado en origen
 Tarea 2: Latido de seguridad basado en destino
 Tarea 3: Falta el latido del corazón de seguridad
Conexiones de sitio a sitio
Conexión de sitios con Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Conexión de sitios con Sophos Firewall
En este capítulo aprenderá sobre CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS

los diferentes métodos que
 Zonas e interfaces de Sophos Firewall
ofrece Sophos Firewall para  Protocolos utilizados para el acceso VPN
conectar sitios.
DURACIÓN
5 minutos
Sophos Firewall
VPN de sitio a sitio
Sophos Firewall
Dispositivo Ethernet remoto
Dispositivo Ethernet remoto

VPN de sitio a sitio Dispositivo Ethernet remoto (RED)
 Conexión entre dos Sophos Firewalls  Conexión entre un Sophos Firewall y

 Se puede conectar a firewalls de un pequeño dispositivo de hardware
terceros  Plug and play sin necesidad de
 Sophos Firewall puede proporcionar conocimientos técnicos in situ
filtrado de seguridad en el sitio  Puede extender de forma
remoto transparente la red entre sitios
VPNs de sitio a sitio
SSL IPsec
 Configuración sencilla  Puede ser más seguro si se configura
 Conectividad eficaz de sitio a sitio correctamente
 Opciones de enrutamiento flexibles
 Admite grupos de conmutación por error
 Compatibilidad con dispositivos de terceros
• HTTPS (TLS) • Puerto UDP 500

• Puerto 8443 (se puede cambiar) • Protocolos IP 50 y 51
• Certificados digitales para autenticación • Clave precompartida, clave RSA o certificados
digitales para autenticación
• Modo de túnel para conexiones de sitio a sitio
Zona VPN
Question 1 of 2
¿Qué 2 protocolos VPN admite Sophos Firewall para VPN de sitio a
sitio?
SSH IPsec
SSL RSA
FTP PPTP
Question 1 of 2
¿Qué 2 protocolos VPN admite Sophos Firewall para VPN de sitio a
sitio?
SSH IPsec
SSL RSA
FTP PPTP
Question 2 of 2
VERDADERO o FALSO: Las conexiones RED siempre se agregan
automáticamente a la zona VPN.
VERDADERO FALSO
Question 2 of 2
TRUE or FALSE: Las conexiones RED siempre se agregan
automáticamente a la zona VPN.
VERDADERO FALSO
Chapter Review
Sophos Firewall incluye dos métodos para conectar sitios: VPN y dispositivos Ethernet
remotos (REDs)
Sophos Firewall admite dos protocolos VPN de sitio a sitio: SSL, que es fácil de configurar,
e IPsec, que es más configurable y flexible.
Todas las conexiones VPN se agregan automáticamente a la zona VPN, que es una zona
especial sin interfaces físicas que no se pueden editar.
Configuración de VPN SSL
Site-to-Site en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuración de VPN SSL Site-to-Site en Sophos Firewall

crear una VPN SSL de sitio a sitio
 Métodos ofrecidos por Sophos Firewall para
entre dos Sophos Firewalls. conectar sitios
DURACIÓN
5 minutos
VPN SSL de sitio a sitio
El cliente inicia la
conexión con el servidor
Sucursal Sophos Firewall Oficina central de Sophos Firewall

Cliente para SSL VPN Servidor para SSL VPN
Sitio con dirección IP pública Sitio con dirección IP pública

dinámica estática
El acceso al dispositivo se configura en:
Acceso a dispositivos para SSL VPN SYSTEM > Administration > Device access
Las VPN SSL están configuradas en:
Configuración global de SSL VPN CONFIGURE > Site-to-Site VPN > SSL VPN
Configuración global de SSL VPN
La configuración de SSL VPN se aplica tanto a las VPN de sitio a sitio

como a las de acceso remoto
Creación de una VPN SSL
1 Configurar servidor
1 Configurar servidor
2 Descargar configuración
3 Subir en el cliente
3 Subir en el cliente
SERVIDOR
CLIENTE
Simulación: Crear una VPN SSL de sitio a sitio
En esta simulación, creará una VPN

SSL de sitio a sitio entre dos Sophos
Firewalls.
https://training.sophos.com/fw/simulation/SslVpnS2s/1/start.html
Question 1 of 2
¿Cuál es el puerto VPN SSL predeterminado?
80 443 3192
8443 8080 8090

Question 1 of 2
¿Cuál es el puerto VPN SSL predeterminado?
80 443 3192
8443 8080 8090

Question 2 of 2
¿Dónde se seleccionan las redes remotas?
Configuración del Configuración del Acceso al

servidor cliente dispositivo
Question 2 of 2
¿Dónde se seleccionan las redes remotas?
Configuración del Configuración del Acceso al

servidor cliente dispositivo
La configuración de SSL VPN es global y se aplica tanto a VPN SSL de sitio a sitio como
de acceso remoto
Debe habilitar las VPN SSL para las zonas en las que desea crearlas
Configure la conexión en el servidor Sophos Firewall y, a continuación, cargue el archivo

de configuración en el Sophos Firewall cliente
Introducción a las VPN de sitio
a sitio IPsec en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Getting Started with IPsec Site-to-Site VPNs on Sophos
Firewall
configurar conexiones VPN de
sitio a sitio IPsec para entornos  Protocolos utilizados para el acceso VPN
sencillos.
DURACIÓN
11 minutos
VPN de sitio a sitio IPsec
VPN basada en
VPN basada en rutas
políticas
• La conexión VPN es • Las redes locales y remotas se
independiente de las rutas de definen como parte de la VPN
tráfico • La VPN debe editarse para
• Las rutas se pueden modificar cambiar las redes y requiere
sin desconectar la VPN desconectarse y volver a
• Las rutas se crean conectarse
manualmente • Las rutas se crean
automáticamente
Los perfiles de VPN IPsec se configuran en:
Perfiles de VPN IPsec SYSTEM > Profiles > IPsec profiles
Parámetros de seguridad utilizados para establecer y mantener la conexión VPN
Ambos lados de la VPN deben permitir la misma configuración
Hay varios perfiles proporcionados listos para usar

VPN basada en rutas
Interfaz de túnel XFRM
Sophos Firewall Sophos Firewall
172.16.16.0/24 172.20.77.0/24 192.168.16.0/24 192.168.2.0/24

Las VPN IPsec están configuradas en:
Creación de las interfaces de túnel VPN CONFIGURE > Site-to-Site VPN > IPsec
Seleccione el tipo de conexión de

interfaz de túnel
Al menos un lado de la conexión

debe estar configurado para
iniciar la conexión
Seleccione cualquiera de
los dos:
• Clave previamente compartida
• Certificado digital
• Clave RSA
•
Creación de las interfaces de túnel VPN
No es necesario especificar las redes locales

y remotas para las interfaces de túnel
Configuración de las interfaces de túnel
Las interfaces de túnel siempre

están en la zona VPN
Enrutamiento para VPN basadas en rutas
Configurar rutas para enviar el tráfico a través del túnel
Admite rutas estáticas, rutas de políticas SD-WAN y enrutamiento dinámico
Simulación: Crear una VPN IPsec de sitio a sitio basada en
rutas
En esta simulación, creará una VPN

IPsec de sitio a sitio basada en rutas
entre dos Sophos Firewalls.
LAUNCH SIMULATION CONTINUAR
https://training.sophos.com/fw/simulation/IpsecVpnS2s/1/start.html
VPN IPsec basada en directivas: Asistente para VPN IPsec
Guía paso a paso para crear VPN IPsec

Las directivas de VPN IPsec se
configuran en:
CONFIGURE > VPN > IPsec Connections
Información adicional sobre la

configuración que se muestra a la
izquierda
VPN IPsec basada en directivas 1
VPN IPsec basada en directivas 2
Copie esto en el campo 'Clave Copie esto desde el campo

RSA remota' en el dispositivo 'Clave RSA local' en el
del mismo nivel dispositivo del mismo nivel
Policy-Based IPsec VPN 3
Aceleración IPsec
Los dispositivos de la serie XGS admiten la aceleración IPsec
Combinaciones de cifrado y autenticación

SOPORTADO SIN FUNDAMENTO
• Claves AES-CBC AES de 128/192/256 bits • DES, 3DES

con SHA-1, SHA-256, SHA-384 o SHA-512 • TwoFish
HMAC • MD5
• AES-GCM con clave AES de 128/192/256 bits
• Cifrado NULL con autenticación GMAC de
128 bits
Aceleración IPsec
console> system ipsec-acceleration disable
This will restart all IPsec tunnels and stop offloading IPsec VPN traffic
to the Xstream flow processor.
Turn off IPsec acceleration(Y/N)?

Y
console> system ipsec-acceleration enable
This will restart all IPsec tunnels and offload IPsec VPN traffic to the
Xstream flow processor.
Turn on IPsec acceleration(Y/N)?

Y
Aceleración IPsec
SOPHOS FIREWALL
El kernel hace la encapsulación
de paquetes y agrega el
encabezado ESP
KERNEL
ESP + Pedir
La NPU detecta el
paquete encapsulado y
realiza el cifrado
NPU/Xstream Processor
Pedir ESP Pedir
Aceleración IPsec con aceleración de firewall (FastPath)
SOPHOS FIREWALL
KERNEL
NPU realiza la encapsulación de

paquetes y agrega el La NPU detecta el
encabezado ESP
paquete encapsulado y
realiza el cifrado
Procesador NPU/Xstream
Pedir ESP + Pedir ESP Pedir

Question 1 of 2
¿Qué tipos de autenticación se pueden usar para las VPN de sitio a
sitio IPsec?
Contraseña de un solo
Certificado Digital Clave RSA
uso
Autenticación
AES-256 Key Clave precompartida
sincronizada
Question 1 of 2
¿Qué tipos de autenticación se pueden usar para las VPN de sitio a
sitio IPsec?
Contraseña de un solo
Certificado Digital Clave RSA
uso
Autenticación
Clave AES-256 Clave precompartida
sincronizada
Question 2 of 2
¿En qué tipo de VPN IPsec necesita definir las redes locales y
remotas?
Basado en rutas Basado en políticas Basado en certificados

Question 2 of 2
¿En qué tipo de VPN IPsec necesita definir las redes locales y
remotas?
Basado en rutas Basado en políticas Basado en certificados

Los perfiles IPsec contienen los parámetros de seguridad para establecer y mantener la
VPN. Ambos lados de la VPN deben admitir la misma configuración
Las VPN basadas en rutas crean una interfaz xfrm que está configurada como cualquier
otra interfaz. Las rutas se crean manualmente, separadas de la conexión
Las VPN basadas en políticas definen las redes y las rutas se crean automáticamente.
La VPN requiere una reconexión si edita las redes para la VPN
Las reglas de firewall se pueden crear automáticamente al crear una VPN basada en
políticas, pero son amplias y deben editarse
Advanced IPsec Site-to-Site
Configuration on Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Configuración avanzada de sitio a sitio de IPsec en Sophos
Firewall
utilizar las características
 Configuración de conexiones VPN de sitio a sitio
avanzadas de IPsec y cómo IPsec para entornos sencillos
combinar VPN IPsec con perfiles
SD-WAN y rutas de políticas para
seleccionar el vínculo más
óptimo.
DURATION
21 minutes
Conexiones VPN IPsec
• La opción VPN más popular
• Compatible con proveedores
cruzados
• Diferentes productos tienen
diferentes nombres para las mismas
opciones
Vs.
Perfiles IPsec the notes
• Parámetros de seguridad utilizados para establecer y mantener la conexión VPN entre dos pares
• Ambos lados de la VPN deben admitir la misma configuración
• Crear y modificar directivas IPsec en: SYSTEM > Perfiles > IPsec
Perfil IPsec Cuándo usar

Perfil predeterminado Perfil simple con un solo algoritmo
DefaultBranchOffice Dispositivo de sucursal para iniciar el túnel VPN
DefaultHeadOffice Dispositivo de oficina central para responder al túnel VPN
DefaultL2TP Túnel VPN de usuario remoto L2TP

DefaultRemoteAccess Túnel VPN de usuario remoto IPsec
IKEv2 Perfil con IKEv2
Microsoft Azure Para crear una VPN para Azure
Configuración del perfil IPsec
IPsec Profile Configuration the notes
Opciones sobre cuándo crear nuevas claves
Grupo Diffie-Hellman
Definir qué combinaciones de

cifrado y algoritmo hash se
aceptarán
Definir la fuerza clave y la vida útil para la fase 2
Definir qué combinaciones de

cifrado y algoritmo hash se
aceptarán
Con qué frecuencia comprobar el par y el tiempo

de espera
Acción cuando se detecta un par muerto:

• Sostener
• Reinicializar
• Desconectar
Autenticación de conexión IPsec
Frase de contraseña que debe coincidir a ambos lados del túnel.
Tipo de autenticación más utilizado.
Copie la clave RSA local en el campo

'Clave RSA remota' del otro firewall.
Estas son las claves públicas para cada
firewall.
Autenticar mediante el intercambio de
certificados.
Requiere el certificado del otro firewall o un
certificado de entidad emisora de certificados
para validarlo.
VPN basada en rutas
Los cambios en la topología de red no requieren actualizaciones de
directivas de VPN
• Las redes se pueden agregar/eliminar fácilmente
• Soporte para enrutamiento estático y dinámico
• Simplifica la creación de VPN para redes más grandes/dinámicas
Interopera con otros túneles VPN basados en rutas
Static Routes RIP BGP OSPF

SF to SF    
SF a Fortigate    
SF to Cisco n/a n/a  n/a
• No interopera con VPN basadas en políticas

VPN basada en rutas
Enrutamiento VPN basado en rutas
Las VPN basadas en rutas admiten rutas estáticas, rutas de políticas SD-WAN y enrutamiento dinámico
IPsec como conexión de copia de seguridad mediante SD-
WAN
VPN de sitio a sitio a través de Internet
Enlace MPLS
London Office New York Office

IPsec como conexión de copia de seguridad mediante SD-WAN
1. Crear puertas de enlace para la conexión MPLS y la VPN basada en rutas IPsec
2. Configurar un perfil SD-WAN para las puertas de enlace

3. Cree una ruta de política SD-WAN que enrute el tráfico en función del perfil SD-WAN
NATing VPN basado en rutas
SNAT SNAT
172.20.77.0/24 -> 172.20.77.0/24 ->
172.20.81.0/24 172.20.82.0/24
Sophos Firewall A Sophos Firewall B
DNAT DNAT
172.20.81.0/24 -> 172.20.82.0/24 ->
172.20.77.0/24 172.20.77.0/24
Network 1 Network 2 Network 3 Network 4

172.16.16.0/24 172.20.77.0/24 192.168.16.0/24 172.20.77.0/24
NATing VPN basado en rutas
Al realizar NATing para redes, debe utilizar objetos de intervalo IP
Utilice el equilibrio de carga uno a uno para DNAT en las redes
Limitar el alcance de las reglas NAT utilizando las redes de origen y destino
VPN basada en políticas NATing
Redes para presentar a

la VPN
Habilitar NATing de red
NAT una o más redes locales a

la VPN
Conmutación por error de VPN IPsec
• Conexión de copia de seguridad automática para el tráfico VPN
• La conexión VPN debe restablecerse cuando una de las dos conexiones WAN se cae
Ventajas:
• Disminuye la posibilidad de un único punto de falla
• Minimiza la dependencia de la intervención manual para establecer una nueva conexión
• Reduce el tiempo de conmutación por error de la conexión VPN con túneles VPN redundantes y
supervisión de VPN
WAN link 1 WAN link 1
WAN link 2
Oficina de Londres Oficina de Nueva York

Grupos de conmutación por error
Conmutación por error IPsec con varios vínculos WAN
• Usar varios vínculos en cada lado para conexiones de conmutación por
error adicionales
Oficina de Londres Oficina de Nueva York

Question 1 of 3
Ha creado una VPN basada en rutas en un entorno donde hay
subredes superpuestas a ambos lados. ¿Cuál de las siguientes
afirmaciones es VERDADERA?
Debe habilitar NATing en la conexión VPN Debe crear reglas SNAT y DNAT para las
redes superpuestas a cada lado de la VPN
Debe utilizar intervalos IP para las redes al Usar redes de origen y destino no NATed
configurar NATing para limitar el ámbito de la NATing
Usar equilibrio de carga uno a uno para el Usar equilibrio de carga uno a uno para el
SNAT DNAT
Question 1 of 3
Ha creado una VPN basada en rutas en un entorno donde hay
subredes superpuestas a ambos lados. ¿Cuál de las siguientes
afirmaciones es VERDADERA?
Debe crear reglas SNAT y DNAT para las

Debe habilitar NATing en la conexión VPN
redes superpuestas a cada lado de la VPN
Debe utilizar intervalos IP para las redes al Usar redes de origen y destino no NATed
configurar NATing para limitar el ámbito de la NATing
Usar equilibrio de carga uno a uno para el Usar equilibrio de carga uno a uno para el
SNAT DNAT
Question 2 of 3
VERDADERO o FALSO: Puede usar perfiles SD-WAN con VPN
basadas en rutas.
VERDADERO FALSO
Question 2 of 3
VERDADERO o FALSO: Puede usar perfiles SD-WAN con VPN
basadas en rutas.
VERDADERO FALSO
Question 3 of 3
VERDADERO o FALSO: La única forma de conmutación por error entre dos
VPN IPsec basadas en rutas es crear un grupo de conmutación por error.
VERDADERO FALSO
Question 3 of 3
VERDADERO o FALSO: La única forma de conmutación por error entre dos VPN IPsec basadas
en rutas es crear un grupo de conmutación por error.
FALSO
VERDADERO
Las VPN basadas en rutas admiten el enrutamiento mediante rutas estáticas, rutas de políticas SD-WAN
y enrutamiento dinámico. Puede usar perfiles SD-WAN y rutas de políticas SD-WAN con VPN basadas en
rutas para seleccionar el mejor vínculo para el tráfico
Cuando tenga subredes superpuestas a ambos lados del túnel, debe usar NATing. Para
las VPN basadas en rutas, puede crear reglas SNAT y DNAT utilizando el método normal.
Para las VPN basadas en políticas, debe configurar el NATing en la conexión
Puede crear grupos de conmutación por error para VPN IPsec. Sería más común usarlos
con VPN basadas en políticas, ya que puede usar rutas de políticas SD-WAN para
administrar conexiones para VPN basadas en rutas.
Introducción a los dispositivos
Ethernet remotos en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Introducción a los dispositivos Ethernet remotos en
Sophos Firewall
desplegar un dispositivo
Ethernet remoto en Sophos  Protocolos utilizados para el acceso VPN
Firewall.
DURACIÓN
9 minutos
Descripción general de RED
• Conectividad de sucursales plug and play
• No se requiere experiencia técnica in situ
• Crea un túnel de capa 2 a Sophos Firewall
RED
Túnel de capa 2
Router TCP:3400
Servidor UDP:3410 Sophos Firewall
DHCP y DNS
Implementación de RED
Servicio de aprovisionamiento
RED:
red.astaro.com
1. Configurar el dispositivo RED
Sede social
RED
7. Establecer túnel de capa 2
4. Recibir Router
IP local Sophos Firewall
(DHCP)
3. Implementar dispositivo RED

Modos de implementación de RED
Estándar/Unificado Estándar/Dividido Transparente/Dividido
GW predeterminado GW predeterminado GW predeterminado

Servidor DHCP Servidor DHCP Servidor DHCP Cliente DHCP
Tráfico encaminado sobre el túnel RED

Tráfico enrutado directamente a Internet
Configuración de RED en diferentes modos de
implementación
Estándar/ Estándar/ Transparente/

Unificado Dividido Dividido
Zona para la interfaz RED en Sophos Firewall 
Dirección IP de la interfaz RED en Sophos Firewall Estático Estático DHCP
Servidor DHCP para la red remota Opcional Optional No
Redes divididas (Redes a las que se accede a través de la  
RED desde el sitio remoto)
Servidor DNS dividido (servidor DNS para las redes 
divididas)
Dominios divididos (dominios a los que se accede a 
través de la RED desde el sitio remoto)
Filtrado de direcciones MAC Optional
Compresión de túneles Optional
Simulación: Despliegue de un RED en Sophos Firewall
En esta simulación, desplegará un

dispositivo Ethernet remoto (RED)
en Sophos Firewall en modo
estándar/dividido.
https://training.sophos.com/fw/simulation/DeployRED/1/start.html
Modelos SD-RED the notes
SD-RED 20 y SD-RED 60
Modelos SD-RED the notes
SD-RED 20 SD-RED 60
RENDIMIENTO
Rendimiento máximo 250 Mbps 850 Mbps
CONECTIVIDAD
LAN Interfaces 4 x 10/100/1000 Base-TX (1 GbE Cobre)
WAN Interfaces 1 x 10/100/1000 Base-TX (shared 2 x 10/100/1000 Base-TX
with SFP) (WAN1 shared port with SFP)
SPF Interfaces 1x SFP Fiber (puerto compartido 1x SFP Fiber (puerto compartido
con WAN) con WAN1)
PoE Ports None 2 puertos PoE (potencia total
30W)
MODULARIDAD
Bahías de expansión 1 (para usar con Wi-Fi opcional O tarjeta 4G/LTE)
REDUNDANCIA
Componentes intercambiables 2ª fuente de alimentación opcional
Modelos RED compatibles descontinuados
RED 15 RED 15 W RED 50
Número máximo de usuarios sin límites sin límites sin límites

Rendimiento máximo 90 Mbit/s 90 Mbit/s 360 Mbit/s
Puertos LAN 4 x Gbit 4 x Gbit 4 X Gbit
Puertos WAN 1 x Gbit 1 X Gbit 2 x Gbit
Puertos USB 1 1 2
Cifrado acelerado por hardware 
Configure VLANs on LAN ports 
Data compression   
Built-in wireless access point 
Question 1 of 2
¿Qué 2 puertos utilizan los dispositivos Ethernet remotos?
TCP 443 TCP 3400 TCP 8192
UDP 3410 UDP 8090 UDP 8194

Question 1 of 2
¿Qué 2 puertos utilizan los dispositivos Ethernet remotos?
TCP 443 TCP 3400 TCP 8192
UDP 3410 UDP 8090 UDP 8194

Question 2 of 2
Haga coincidir el modo ROJO con su descripción.
Sophos Firewall es el servidor DHCP y la puerta de

Drag here enlace predeterminada para la red remota. Solo el
tráfico definido se envía a través de la RED.
Estándar/Unificado
Sophos Firewall obtiene su dirección IP de un
Estándar/Dividido Drag here servidor DHCP de la red remota.
Transparente/Dividido
Todo el tráfico generado en la red remota se
Drag here envía a través de la RED a Sophos Firewall
Question 2 of 2
Haga coincidir el modo ROJO con su descripción.
Sophos Firewall es el servidor DHCP y la puerta de

Estándar/Dividido
Drag here enlace predeterminada para la red remota. Solo el
tráfico definido se envía a través de la RED.
Sophos Firewall obtiene su dirección IP de un

Drag here
Transparente/Dividido
servidor DHCP de la red remota.
Todo el tráfico generado en la red remota se

Standard/Unified
Drag here envía a través de la RED a Sophos Firewall
RED requiere DHCP, DNS, puertos TCP 3400 y UDP 3410
RED se puede implementar en tres modos; estándar/unificado, estándar/dividido y

transparente/dividido. Cada modo de implementación requiere una configuración
ligeramente diferente
Hay dos modelos RED; SD-RED 20 y SD-RED 60. Opcionalmente, puede agregar un
módulo Wi-Fi o 4G utilizando la bahía de expansión
Completar las tareas de laboratorio para conexiones de sitio a sitio:

 Tarea 1: Crear una VPN de sitio a sitio IPsec
 Tarea 2: Configurar NATing de red VPN
 Tarea 3: Configurar la conmutación por error de VPN
 Tarea 4: Configurar VPN basada en rutas
Autenticación
Introducción a la
autenticación en Sophos
Firewall
Sophos Firewall
Version: 19.5v1
Introducción a la autenticación en Sophos Firewall

la autenticación proporciona
controles granulares para WebAdmin
muchas de las funciones de
Sophos Firewall y se puede
realizar localmente o utilizando
un servidor externo.
DURATION
7 minutos
Información general sobre la autenticación
Red Filtrado
Acceso Web
Aplicación
Enrutamiento
Control
Autenticación local
Los usuarios se pueden crear manualmente o importar mediante un archivo CSV
Elegir entre usuario y administrador
Los usuarios heredan directivas de los grupos a los que están asignados
Más adecuado para organizaciones pequeñas

Servidores de autenticación
Servidores de autenticación compatibles.

• Active Directory
• eDirectory
• OpenLDAP
• RADIO
• Directorio de Apple
• TACACS+ • Otros directorios LDAP estándar
• LDAP/S
• SSO de Azure AD (solo consola web de administración)
Servidores de autenticación the notes
Servidor de autenticación
externo
SOPHOS FIREWALL SERVICIOS DE DIRECTORIO DE AZURE AD

¿Dónde se puede utilizar la autenticación?
Reglas de firewall
Reglas de descifrado TLS
Rutas de políticas de SD-WAN
VPNs Utilice los botones de la izquierda para obtener más

información sobre los lugares donde puede utilizar la
Web Policies autenticación.
Redes inalámbricas
Cuando esté listo para continuar, haga clic en Finalizar
Autenticación de servidor web
User Portal Finish

Administración Web
Reglas de firewall Habilite 'Hacer coincidir usuarios
conocidos' para controlar el acceso
Reglas de descifrado TLS a la red en función de la identidad
del usuario
Rutas de políticas de SD-
WAN
VPNs
Políticas Web
Redes inalámbricas
Autenticación de servidor
web
Habilite 'Excluir esta actividad de
Portal de usuario
usuario de la contabilidad de datos'
si este tráfico no debe contar para
Administración Web las cuotas
Reglas de firewall
Seleccionar usuarios y grupos como
Reglas de descifrado TLS parte de la coincidencia de origen en las
reglas de descifrado TLS
WAN
VPNs
Políticas Web
Redes inalámbricas
web
Portal de usuario
Administración Web
Reglas de firewall
TLS Decryption Rules

WAN
VPNs
Políticas Web
Redes inalámbricas
web
Portal de usuario
Administración Web
Reglas de firewall

WAN
VPN de acceso remoto
Políticas Web
Redes inalámbricas
web
Portal de usuario
Seleccione los usuarios y grupos
Administración Web que pueden conectarse a la VPN
Reglas de firewall
Reglas de descifrado TLS Aplicar reglas de filtrado web a usuarios y

grupos
WAN
VPNs
Políticas Web
Redes inalámbricas
web
Portal de usuario
Administración Web
Firewall Rules
TLS Decryption Rules

WAN
VPNs
Web Policies
Redes inalámbricas
web
Portal de usuario
Administración Web
Reglas de firewall

WAN
VPNs
Políticas Web
Redes inalámbricas
Proteja el acceso a los recursos web
Autenticación de servidor con autenticación de usuario
web
Portal de usuario
WebAdmin
Reglas de firewall

WAN
VPNs
Políticas Web Descargar cliente de autenticación y complemento SPX
Redes inalámbricas Descargar clientes VPN y configuración

web Administrar la cuarentena de correo electrónico
Portal de usuario
Revisar el uso de Internet
Administración Web
Reglas de firewall

WAN
VPNs
Políticas Web
Redes inalámbricas
Permitir que los usuarios inicien
Autenticación de servidor sesión y gestionen Sophos Firewall
web
Portal de usuario
Administración Web
Question 1 of 2
¿Qué tipo de servidor se utiliza para la autenticación inalámbrica?
LDAP LDAPS
RADIUS TACACS+
ENVIAR
Question 1 of 2
¿Qué tipo de servidor se utiliza para la autenticación inalámbrica?
LDAP LDAPS
RADIO TACACS+
CONTINUE
Question 2 of 2
¿Cuándo pueden iniciar sesión en WebAdmin los usuarios que no
son administradores?
Los usuarios que no son Cuando el administrador ha

Cuando se conectan desde la
administradores no pueden configurado sus tareas
zona LAN
iniciar sesión en WebAdmin permitidas en WebAdmin
SUBMIT
Question 2 of 2
¿Cuándo pueden iniciar sesión en WebAdmin los usuarios que no
son administradores?
Los usuarios que no son Cuando el administrador ha

Cuando se conectan desde la
administradores no pueden configurado sus tareas
zona LAN
iniciar sesión en WebAdmin permitidas en WebAdmin
CONTINUE
Las capacidades de autenticación de Sophos Firewall ofrecen la oportunidad de controlar el acceso a los
recursos de red, filtrar sitios web, enrutar el tráfico, controlar aplicaciones y mucho más. También puede
obtener informes detallados sobre la actividad del usuario e identificar a los usuarios de alto riesgo.
La autenticación se puede realizar localmente en Sophos Firewall o más comúnmente

configurada para utilizar servidores externos como Active Directory, Novell eDirectory,
RADIUS Server, TACACS+, LDAP / LDAPS
Puede añadir usuarios a Sophos Firewall manualmente o importarlos a través de un CSV,

y estos pueden ser usuarios o administradores
Configuración de servidores y
servicios de autenticación en
Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuración de servidores y servicios de autenticación

se pueden añadir servidores de
 Métodos de autenticación compatibles con Sophos
autenticación externos en Firewall
Sophos Firewall y configurarlos  Cómo se puede utilizar la autenticación para
proporcionar controles granulares a las funciones
para la autenticación de de Sophos Firewall
servicios.
DURATION
16 minutos
Servidores de autenticación
Agregar un servidor the notes
Vaya a CONFIGURAR > autenticación > servidores y haga clic en Agregar
Introduzca un nombre
Seleccione un tipo de servidor y especifique la configuración:

• Servidor LDAP
• Servidor de Active Directory
• Servidor RADIUS
• Servidor TACACS+
• Servidor de eDirectory
Haga clic en Probar conexión para validar las credenciales y comprobar la conexión
Servidor de Active Directory
Se requieren una o más

consultas de búsqueda
Importación de grupos desde Active Directory
Asistente para importar grupos
DN base para la
importación
Seleccione los grupos

que desea importar
Seleccionar directivas para

adjuntar a los grupos
Grupos importados
Los servicios de autenticación se
Autenticación de servicio configuran en:
CONFIGURE > Authentication > Services
Autenticación de servicio
Simulación: Agregar un servidor de autenticación de Active
Directory
En esta simulación, se añade un

servidor de autenticación de Active
Directory a Sophos Firewall y se
importan grupos.
https://training.sophos.com/fw/simulation/AddAdServer/1/start.html
Servidor de autenticación RADIUS
Contabilidad RADIUS
Recopilación de datos en tiempo real
Los datos se pueden recopilar y almacenar en una ubicación central
Los productos de 3rd party se pueden utilizar para analizar datos contables
Contabilidad RADIUS
El usuario inicia sesión
en el dominio
Sophos Firewall
Internet
El usuario realiza una
Computer operación de cierre de
10.1.1.1 sesión Sophos Firewall envía
una solicitud de
Sophos Firewall envía detención contable
una solicitud de inicio
de contabilidad
Controlador de dominio RADIUS Server
Configuración
Seleccione el tipo de servidor

Radius
Nombre del servidor
Dirección IP del servidor
Puerto de comunicación
Habilitar la contabilidad de
Radius
Puerto de contabilidad
Radius
Nombre del grupo secreto
compartido
LDAP seguro (LDAPS) the notes
SSL/TLS a través del

puerto 636
STARTTLS a través del
puerto 389
LDAP seguro
CONFIGURE > Authentication > Servers > Add
STARTTLS SSL/TLS
• Attempts to negotiate an encrypted connection • Enforces an encrypted connection
• Falls back to plain text using the plaintext port
Requisitos de LDAP seguro (LDAPS)
Public Key
LDAP seguro: Método uno Private Key
Certificado firmado por CA empresarial Importar certificado y certificado de CA en Sophos Firewall
SF-CSR CA Server CA-CERT

1. Solicitud de certificado
2. Importar CA-CERT y SF-CERT

SF-CERT
Sophos
Firewall
4. Comunicación segura LDAP Server CA-CERT
3. Seleccione SF-CERT como certificado de cliente para el servidor LDAP seguro
LDAP-CERT
Crear una CSR Certificados > Agregar > Generar solicitud de
firma de certificado (CSR)
Descargar o copiar la RSC the notes
Tipo de
certificado
CSR
Public Key
LDAP seguro: Método dos Private Key
Certificado firmado por Sophos Importar certificado de CA en Sophos Firewall

Firewall Importar certificado de Sophos Firewall CA en el servidor LDAP
1. Generar un certificado CA Server CA-CERT
2. Importar CA-CERT
Sophos
Firewall
SF-CA-CERT SF-CERT 3. Importar SF-CA-CERT LDAP Server
5. Comunicación segura
CA-CERT LDAP-CERT
4. Seleccione SF-CA-CERT como certificado de cliente para el servidor LDAP seguro
LDAP seguro
Validar certificado de
servidor
Certificado de cliente
Question 1 of 2
Si se añade un servidor de autenticación a Sophos Firewall, este se
convertirá en el método de autenticación predeterminado.
VERDADERO FALSO
ENVIAR
Question 1 of 2
Si se añade un servidor de autenticación a Sophos Firewall, este se
convertirá en el método de autenticación predeterminado.
VERDADERO FALSO
CONTINUAR
Question 2 of 2
Un usuario es miembro de varios grupos de Active Directory. ¿Qué sucederá
cuando inicien sesión por primera vez en Sophos Firewall?
Se agregarán al primer grupo Se añadirán a todos los Se añadirán al primer grupo

proporcionado por Active grupos que coincidan en que coincidan en Sophos
Directory Sophos Firewall Firewall
ENVIAR
Question 2 of 2
Un usuario es miembro de varios grupos de Active Directory. ¿Qué sucederá
cuando inicien sesión por primera vez en Sophos Firewall?
Se agregarán al primer grupo Se añadirán a todos los Se añadirán al primer grupo

proporcionado por Active grupos que coincidan en que coincidan en Sophos
Directory Sophos Firewall Firewall
CONTINUAR
Sophos Firewall se puede configurar para autenticarse mediante servidores externos.

Para utilizar la identidad de usuario sincronizada, se debe configurar un servidor de
autenticación de Active Directory
Los grupos se pueden importar desde Active Directory. Cuando un usuario inicia
sesión, se agregará automáticamente al grupo de firewall que coincida con su grupo de
Active Directory
De forma predeterminada, la autenticación para los servicios es local. Una vez que se
han agregado los servidores de autenticación, estos se pueden habilitar para servicios
como el firewall y el portal de usuarios
Configuración de Azure AD
SSO en Sophos Firewall
Sophos Firewall
Version: 19.5v1
Configuración de Azure AD SSO en Sophos Firewall

configurar Azure AD SSO para
 Agregar servidores de autenticación y
autenticar administradores en seleccionarlos para autenticar usuarios para
Sophos Firewall. servicios de firewall
 Administración de Azure AD
DURACIÓN
10 minutos
Inicio de sesión de Azure AD SSO para la consola web
Sophos Firewall Azure AD
Nombre de usuario y contraseña únicos para administradores

Administrar dinámicamente administradores mediante roles y grupos
Utiliza Open ID Connect y Oauth 2.0

Funciona con el nivel gratuito de Azure AD
Proceso de configuración
Crear un nuevo
Creación de un Agregar un rol de Agregar permisos de
secreto de cliente en
registro de aplicación aplicación al registro API al registro de la
el registro de la
en Azure de la aplicación aplicación
aplicación
Seleccione el servidor
Agregar un URI de Agregar un servidor
de autenticación
redireccionamiento al de autenticación SSO Asignar usuarios al rol
como fuente de
registro de la de Azure AD en de aplicación
autenticación para los
aplicación en Azure Sophos Firewall
administradores en
Sophos Firewall
Creación de un registro de aplicación en Azure
Crear un nuevo secreto de cliente para el registro de la
aplicación
Una vez que navegue fuera de esta

página, ¡ya no podrá copiar el
secreto!
Agregar un rol de aplicación al registro de la aplicación
Agregar permisos de API al registro de la aplicación
Assign Users to the App Role
Agregar un servidor de autenticación de SSO de Azure AD en
Sophos Firewall
Registro de aplicaciones
Agregar un servidor de autenticación de SSO de Azure AD en
Sophos Firewall
Habilitar el servidor de autenticación para inicios de sesión de
administrador
Agregar una dirección URL de redireccionamiento al registro
de la aplicación en Azure
Inicio de sesión en la consola web con SSO habilitado
Simulación: Sophos Firewall Admin Azure SSO for Web
Console
En esta simulación, configurará el

inicio de sesión único para los
administradores que usan Azure AD.
https://training.sophos.com/fw/simulation/AzureADAdminSSO/1/start.html
Question 1 of 2
}
Al configurar SSO de Azure AD para administrador; en la consola web de
Sophos Firewall, ¿dónde puede encontrar la URL de redireccionamiento que
debe agregarse al registro de la aplicación en Azure AD?
Configuración de
administrador y usuario
Servidores de Configuración de
autenticación autenticación
SUBMIT
Question 1 of 2
Al configurar SSO de Azure AD para administrador; en la consola web de
Sophos Firewall, ¿dónde puede encontrar la URL de redireccionamiento que
debe agregarse al registro de la aplicación en Azure AD?
Configuración de
administrador y usuario
Servidores de Configuración de
autenticación autenticación
CONTINUAR
Question 2 of 2
TRUE o FALSE: Azure AD SSO para la consola web de Sophos
Firewall requiere una capa de pago de Azure AD.
Verdadero Falso
ENVIAR
Question 2 of 2
TRUE o FALSE: Azure AD SSO para la consola web de Sophos
Firewall requiere una capa de pago de Azure AD.
Verdadero Falso
CONTINUAR
Sophos Firewall le permite configurar el inicio de sesión único de Azure AD para que los
administradores inicien sesión en la consola web mediante las funcionalidades incluidas
en el nivel gratuito de Azure AD.
Debe configurar un registro de aplicación con un secreto de cliente, un rol de aplicación,

permisos de API y URI de redirección en Azure AD.
En Sophos Firewall, debe agregar un servidor de autenticación con los detalles de

registro de la aplicación de Azure. Esta página proporcionará el URI de
redireccionamiento para usar en el registro de la aplicación.
Introducción a Sophos
Firewall Authentication
Sophos Firewall
Version: 19.0v1
Introducción a Sophos Firewall Authentication
En este capítulo aprenderá los CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS

tipos de usuarios y grupos que se
 Métodos de autenticación compatibles con Sophos
pueden configurar para Sophos Firewall
Firewall y los métodos que se
pueden utilizar para la
autenticación.
DURACIÓN
30 minutos
Métodos de autenticación
Punto de acceso
Usuarios sin cliente
Precedencia
Inicio de sesión único (SSO)

• Identidad de usuario sincronizada
• Sophos Transparent Authentication Suite (STAS)
• Cliente de SSO
• VPN
• RADIO
• Autenticación web (NTLM y Kerberos)
Agente de autenticación
Portal Cautivo
Actividad
Poner los métodos de autenticación en orden o prioridad
Portal Cautivo
Punto de acceso
Inicio de sesión único sin cliente

Activity
Punto de acceso
Inicio de sesión único sin cliente
Portal Cautivo
Puntos calientes
Hotspot type
selection
Tipos de usuario

Autenticado por dirección IP
Autenticado localmente
Usuarios invitados Usuarios temporales autenticados con un nombre de

usuario y contraseña generados por el sistema
Autenticado localmente
Usuarios
Autenticarse con un nombre de usuario y contraseña
Puede autenticarse local o externamente
Creación de usuarios sin cliente Los usuarios sin cliente se administran en:
CONFIGURAR > autenticación > usuarios sin cliente
Los usuarios invitados se administran en:
Creación de usuarios invitados CONFIGURAR > autenticación > usuarios invitados
Creación de usuarios invitados
Creación de usuarios locales Los usuarios locales se administran en:
CONFIGURAR > autenticación > usuarios
Perfiles de
administración
Seleccionar directivas
para asociar al usuario
Identidad de usuario sincronizada
Sophos Firewall obtiene automáticamente el
ID de usuario de los endpoints que se
encuentran en un dominio de Active Directory
Sophos Firewall
Sophos
Security Heartbeat™
Endpoints
Internet

Identidad de usuario sincronizada
1 Añadir un servidor de autenticación de Active Directory en Sophos Firewall
2 Importar grupos de Active Directory a Sophos Firewall
3 Habilitar el servidor de Active Directory en los métodos de autenticación de firewall
4 Los equipos con un latido™ de seguridad sincronizarán los detalles del usuario
Desactivación de la identidad de usuario sincronizada:
agregar enlace
Sophos Firewall
===============
(C) Copyright 2000-2020 Sophos Limited and others. All rights reserved.
Sophos is a registered trademark of Sophos Limited and Sophos Group.
All other product and company names mentioned are trademarks or registered
trademarks of their respective owners.
For End User License Agreement - http://www.sophos.com/en-us/legal/sophos-end-

user-license-agreement.aspx
NOTE: If not explicitly approved by Sophos support, any modifications

done through this option will void your support.
XG135_XN02_SFOS 18.0.0# touch /content/no_userid

XG135_XN02_SFOS 18.0.0# service access_server:restart -ds nosync
200 OK
XG135_XN02_SFOS 18.0.0#
Grupos Los grupos se gestionan en:
CONFIGURAR > autenticación > grupos
Importación de grupos desde Active Directory
Autenticación web the notes
Un usuario desconocido intenta visitar una

página web
Filtrado web transparente

El usuario se
Redirigir a la URL servida por Sophos Firewall y enviar
un desafío HTTP_AUTH para que el navegador registra contra
responda con las credenciales de usuario la dirección IP
para futuras
Direct proxy mode
transacciones
Responder con un desafío PROXY_AUTH para que el
navegador responda con las credenciales de usuario
Autenticación web
El explorador ahora puede Habilitar SSO de AD en la

responder con Kerberos o página Acceso de
NTLM dispositivos
Autenticación web
Probará NTLM y Kerberos según la

configuración de autenticación web y
recurrirá al portal cautivo
Portal Cautivo
Captive portal appearance
Puerto 8090 utilizado

para el portal cautivo
Comportamiento del portal cautivo
Apariencia del portal cautivo
Autenticación por conexión
Agregar servidores multiusuario

Demostración de autenticación
En esta demostración verá cómo

configurar la autenticación por
conexión para servidores
multiusuario.
JUGAR DEMO CONTINUAR
https://techvids.sophos.com/watch/nPQbf634vyUSqHYCd8SDS7
Sophos Transparent Authentication Suite (STAS)
• Utiliza un agente instalado en controladores de dominio
• Requiere una instalación STAS para cada controlador de dominio
• Proporciona SSO sin un cliente en los endpoints
• Solo admite IPv4
Lucy Fox inicia sesión en el Sophos Firewall inicia sesión en Lucy Fox y mapea
dominio desde un el tráfico desde 10.1.1.1 hasta el usuario
ordenador con la dirección
IP 10.1.1.1
El controlador de dominio
escribe los detalles de
inicio de sesión en el
STAS notifica al Sophos
registro de eventos con el
Firewall el inicio de sesión
identificador 4768
en el puerto 6060
Instalación del software STAS the notes
• Descargar desde el WebAdmin.

• CONFIGURAR > Autenticación > Descargas de cliente.
• Una instalación por controlador de dominio.
• Ya sea en el controlador de dominio o en el servidor miembro.
Select Components Provide a user for the service

Configurar el software STAS
Obligatorio si está
instalado en un
servidor miembro
Configurar el software STAS
La(s) dirección(es) IP(s)
del(los) Firewall(s) de Sophos
a las que enviar la
información de inicio de
sesión
El sondeo para el usuario que
ha iniciado sesión
Opcionalmente, detectar actualmente se puede
cuándo cierra la sesión del realizar mediante WMI o
usuario mediante sondeo acceso de lectura al Registro
o PING
STAS está configurado en:
Configurar STAS en Sophos Firewall CONFIGURAR > autenticación > STAS
Configurar STAS en Sophos Firewall
Simulación: Configurar el inicio de sesión único mediante
STAS en Sophos Firewall
En esta simulación, configurará el
inicio de sesión único mediante
Sophos Transparent Authentication
Suite (STAS) en Sophos Firewall. A
continuación, probará la
configuración.
https://training.sophos.com/fw/simulation/STAS/1/start.html
Es necesario El usuario
instalar el agente establece sus
y el certificado credenciales
El agente
autentica al
usuario
Inicio de sesión único (SSO) de Chromebook
1. Implementar extensión 2. Servidor de Active Directory 3. Autenticación de Chromebook
La extensión de Chrome debe Sophos Firewall debe configurarse con La extensión de Chromebook
enviarse a los dispositivos desde un servidor de Active Directory comparte el ID de usuario con Sophos
Google G Suite sincronizado con G Suite y Firewall
Chromebook SSO habilitado
Sophos Firewall
Google G Suite
Active Directory Server Chromebook Devices

Inicio de sesión único (SSO) de Chromebook
El inicio de sesión único de Chromebook
está configurado en:
CONFIGURE > Authentication > Services
El nombre de dominio registrado en G

Suite
El número de puerto al que se conectan

los Chromebooks desde la LAN o Wi-Fi
El certificado utilizado para la

comunicación con los Chromebooks.
El certificado CN debe coincidir con la
zona o red donde se encuentran los
usuarios de Chromebook, por ejemplo:
xg.sophostraining.xyz.
Configuración de G Suite the notes
Vaya a Administración de aplicaciones
Buscar y abrir el ID de usuario de Sophos

Chromebook
Cargue la configuración (ejemplo en las notas)

Solo es
necesario
cuando
Vaya a Administración de dispositivos > redes
Sophos
Firewall utiliza
un certificado Cargue el certificado de CA desde Sophos Firewall (seleccione Usar
autofirmado este certificado como autoridad de certificación HTTPS)
Simulación: Configuración de directivas de usuario
En esta simulación, configurará las

reglas del firewall para que
coincidan en función de la identidad
del usuario en Sophos Firewall.
https://training.sophos.com/fw/simulation/UserPolicies/1/start.html
Question 1 of 4
Debe crear una cuenta de usuario para autenticar un sistema VoIP
que necesite acceso a Internet. ¿Qué tipo de usuario es mejor?
Usuario invitado Usuario sin cliente
Usuario del servicio de

Usuario del sistema
directorio
ENVIAR
Question 1 of 4
Debe crear una cuenta de usuario para autenticar un sistema VoIP
que necesite acceso a Internet. ¿Qué tipo de usuario es mejor?
Usuario invitado Usuario sin cliente
Usuario del servicio de

Usuario del sistema
directorio
CONTINUE
Question 2 of 4
¿Qué 3 de las siguientes acciones debe completar para que
funcione el ID de usuario sincronizado?
Habilitar ID de usuario
Configurar un servidor de
sincronizado para las zonas
autenticación de AD en requeridas en el acceso al
Sophos Firewall dispositivo
Habilitar el servidor de Active

Importar grupos de AD a
Directory en los métodos de
autenticación de firewall Sophos Firewall
Sincronice los usuarios de

Sophos Central con
Sophos Firewall
ENVIAR
Question 2 of 4
¿Qué 3 de las siguientes acciones debe completar para que
funcione el ID de usuario sincronizado?
Habilitar ID de usuario
Configurar un servidor de
sincronizado para las zonas
autenticación de AD en requeridas en el acceso al
Sophos Firewall dispositivo
Habilitar el servidor de Active

Importar grupos de AD a
Directory en los métodos de
autenticación de firewall Sophos Firewall
Sincronice los usuarios de

Sophos Central con
Sophos Firewall
CONTINUAR
Question 3 of 4
¿Qué número de puerto utiliza el portal cautivo?
443 4444
8080 8090
ENVIAR
Question 3 of 4
¿Qué número de puerto utiliza el portal cautivo?
443 4444
8080 8090
CONTINUE
Question 4 of 4
Está instalando STAS en un único controlador de dominio. ¿Qué
tipo de instalación selecciona?
STAS independiente SSO Suite
Recopilador STA Agente STA
ENVIAR
Question 4 of 4
Está instalando STAS en un único controlador de dominio. ¿Qué
tipo de instalación selecciona?
STAS independiente SSO Suite
Recopilador STA Agente STA
CONTINUE
Sophos Firewall tiene tres tipos de usuario. Los usuarios sin cliente se identifican por su dirección IP. Los
usuarios invitados reciben acceso temporal a la red. Los usuarios estándar se autentican localmente o
mediante un servidor externo como Active Directory
La identidad de usuario sincronizada proporciona una autenticación de usuario

transparente al compartir la identidad del usuario a través de la conexión Security
Heartbeat.
Los agentes de autenticación para Windows, Mac y Linux se pueden instalar localmente en el equipo.
Sophos Transparent Authentication Suite proporciona SSO transparente mediante un agente en el
controlador de dominio de Microsoft Active Directory
STAS en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuración avanzada de STAS en Sophos Firewall

configurar STAS para entornos
 Configuración de Sophos Transparent
más grandes y complejos que Authentication Suite
incluyen varios controladores de
dominio de Active Directory.
DURACIÓN
10 minutos
Sophos Transparent Authentication Suite (STAS)
Proporciona SSO sin un cliente en cada estación de trabajo
Facilita la aplicación de políticas basadas en el usuario
Requisitos previos de
instalación
• El agente STAS se puede instalar en controladores de dominio de Active
Directory
• Cada controlador de dominio debe ser supervisado por STAS
• Se puede instalar en un servidor miembro:
• Un servidor miembro puede servir a un controlador de dominio
• Se requiere STAS versión 2.5 o superior
STAS solo funciona con Microsoft Active Directory e IPv4

Cómo funciona STAS
5. Sophos Firewall actualiza los usuarios en
1. John Smith inicia sesión vivo, asignando el tráfico de 10.1.1.1 al usuario
en el dominio en una John Smith
computadora con la IP
10.1.1.1 Computer
10.1.1.1
2. El controlador de dominio
escribe los detalles de inicio
de sesión en el registro de Sophos Internet
eventos de seguridad con ID
4768 Domain Controller Firewall
(ID 672 en Windows 2003)
4. STAS notifica al Sophos
Firewall el inicio de sesión en el
puerto 6060
Registro de auditoría
de seguridad STAS
IP 3. STAS supervisa el registro de eventos en busca de
UN eventos de inicio de sesión
STAS con varios controladores de dominio
2. El controlador de dominio crea 3. STA Agent envía el
un evento de registro de evento de inicio de
auditoría de seguridad sesión a STA Collector
IP IP
UN UN
Registro de Sophos Firewall Registro de

STA Agent auditoría de auditoría de STA Agent
seguridad seguridad
Domain Controller Domain Controller
Domain Controller
Computer: 10.1.1.1 4. STA Collector envía el Computer: 10.1.1.2
evento de inicio de sesión
1. El usuario inicia sesión en STA Collector &
el dominio a Sophos Firewall
Agent
Instalación
Seleccionar componentes
Descargar instalador de cliente desde Web Admin

CONFIGURE > AUTHENTICATION > Client downloads
Instalar Collector en controladores de dominio u

otros servidores miembro
Instalar un agente para cada controlador de dominio

Permisos necesarios
Agregar la cuenta de servicio STAS a:

• Grupos de operadores de copia de seguridad y lectores de
registro de eventos en AD
• Grupos de administradores locales en extremos
Asignar la cuenta de servicio STAS:

• ‘Permiso de inicio de sesión como servicio en el controlador de
dominio
• Permisos NTFS de control total en la carpeta STAS
Grupos de recopiladores
• Los grupos de recopiladores se utilizan para administrar la redundancia
• Puedes tener hasta 5 coleccionistas por grupo
• Sophos Firewall utiliza el primer recopilador disponible como recopilador
principal
Sophos Firewall
Controlador de dominio Controlador de dominio

con STA Collector con STA Collector
y Agente y Agente
Recopilador primario
Controlador de dominio
con STA Collector
y Agente
Agentes y coleccionistas
• TODOS los agentes informan a TODOS los recopiladores
• Un grupo por región o ubicación en implementaciones más Los agentes se configuran
grandes con las direcciones IP de
todos los recopiladores
Sólo el recopilador principal
responde a los agentes
Controlador de dominio Controlador de dominio

con STA Collector & Agent con STA Collector & Agent
Sophos Firewall
Primary Collector IP 1
Collector IP 2
Collector IP 3
Collector IP 4
Controlador de dominio Controlador de dominio Controlador de dominio Controlador de dominio

con STA Agent con STA Agent con STA Agent con STA Agent
Conmutación por error
• Si el recopilador principal falla, Sophos Firewall utilizará el siguiente recopilador disponible

• El nuevo recopilador principal tendrá la lista de usuarios en vivo de todos los agentes.
Primary Sophos
Firewall
Controlador de Controlador de dominio
dominio con STA Collector
y Agente
con STA Collector LIVE USERS
y Agente John Smith 10.1.1.1
Jane Doe 10.1.1.2
Lisa Fox 10.1.1.3
Tom Jones 10.1.1.4
Recopilador primario
• Realiza la detección de cierre de sesión
• Autentica a los usuarios que no están en las listas de
usuarios dinámicos
2. Sophos Firewall pregunta al recopilador principal que ha

iniciado sesión en 10.1.1.1
Port 6677
Sophos
Primary
Firewall
Controlador de dominio
con STA Collector Controlador de dominio
y Agente con STA Collector
y Agente
10.1.1.1
3. El recopilador principal sondea el 1. John Smith intenta
equipo para el usuario que ha iniciado acceder a Internet
sesión
Autenticación a través de VPN
Login request from user
STAS login details to firewall
Sede social Sucursal

Site-to-site VPN
Controlador de Computer
dominio Sophos Sophos
Con STA Suite Firewall Firewall
No se acepta información de autenticación de la zona VPN

Autenticación a través de VPN
Habilitar la autenticación de cliente para la zona VPN
SISTEMA > Administración > Acceso a Dispositivos
Filtrado de subredes
Asignar subredes a Sophos

Firewalls específicos mediante el
filtrado de subredes
Puertos STAS predeterminados
UDP 6060 UDP 6677 TCP 5566
De: STA Collector De: Sophos Firewall De: STA Agent

Para: Sophos Firewall Para: STA Collector Para: STA Collector
Este puerto no se puede Esto se puede configurar en

personalizar Este puerto se puede el Agente STA y Collector
configurar cuando se crea el
grupo Collector
También debe configurarse

en el recopilador STA
STAS Quarantine
• El tráfico se elimina al autenticar usuarios que no están en la lista Usuarios en vivo
• El período de tiempo de espera del tráfico perdido se puede ajustar en la sección
Cuarentena de STAS.
• Límite predeterminado establecido en 2 minutos
• No debe establecerse en menos de 45 segundos
Cuarentena STAS the notes
El período de tiempo de espera se puede ajustar desde la consola mediante el comando:
system auth cta unauth-traffic drop-period <seconds>

Question 1 of 2
Al configurar STAS, ¿cuál es el número máximo de recopiladores
que puede tener en un grupo de recopiladores?
1 3 5
ENVIAR
Question 1 of 2
Al configurar STAS, ¿cuál es el número máximo de recopiladores
que puede tener en un grupo de recopiladores?
1 3 5
CONTINUAR
Question 2 of 2
STAS tiene un grupo de coleccionistas con 3 coleccionistas y 12 agentes.
¿Qué direcciones IP de Collector necesita configurar en los agentes STA?
La dirección IP del Las direcciones IP de todos La dirección IP de Sophos

recopilador principal los recopiladores Firewall
ENVIAR
Question 2 of 2
STAS tiene un grupo de coleccionistas con 3 coleccionistas y 12 agentes.
¿Qué direcciones IP de Collector necesita configurar en los agentes STA?
La dirección IP del Las direcciones IP de todos La dirección IP de Sophos

recopilador principal los recopiladores Firewall
CONTINUE
Todos los recopiladores deben configurarse con las direcciones IP de todos los Sophos
Firewalls
Todos los agentes deben configurarse con las direcciones IP de todos los recopiladores
Los grupos de recopiladores proporcionan redundancia con un máximo de CINCO

recopiladores en un
Grupo de recopiladores
Activación de la autenticación
multifactor en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Activación de la autenticación multifactor en Sophos
Firewall
configurar la autenticación
 Configuración de la autenticación y los usuarios en
multifactor en Sophos Firewall y Sophos Firewall
cómo esto cambia la forma en
que los usuarios se autentican.
DURACIÓN
9 minutos
Autenticación multifactor
La autenticación multifactor significa que se requieren dos piezas

de información para iniciar sesión.:
• Algo que sabes
• Algo que tienes
Sophos Firewall admite la autenticación multifactor mediante contraseñas de un solo

uso
Las contraseñas de un solo uso pueden ser tokens de software o tokens de hardware
que cumplan con RFC 6238
Contraseñas de un solo uso
Time Time
456789
User 345678 Sophos Firewall
234567
123456
Key Key
567890
Token Algorithm Algoritmo de token
678901
Las contraseñas de un solo uso se configuran en:
Configuración CONFIGURAR > autenticación > autenticación

multifactor
Opcionalmente, seleccione qué

usuarios necesitan usar OTP
Crear tokens de
software para
usuarios
Dónde Sophos Firewall

requerirá OTP
Configuración de marca
de tiempo de OTP
Agregar tokens manualmente
Optionally override the

global token timestep
Agregar tokens automáticamente
La contraseña se convierte en <User_Password><Generated_Password>

Aplicación Sophos Authenticator
training-user@C01001CP99YB30E
Configuración de token adicional
Configuración de token adicional
Generate 10 one-time codes

that can be used
Simulación: Habilitar la autenticación multifactor
En esta simulación, habilitará la

autenticación multifactor en Sophos
Firewall. A continuación, probará la
configuración.
https://training.sophos.com/fw/simulation/MFA/1/start.html
Question 1 of 2
¿Cuáles 2 de los siguientes son requisitos para el secreto al crear
un token manualmente?
ASCII HEX
Mínimo de 32
No más de 64 caracteres
Caracteres
ENVIAR
Question 1 of 2
¿Cuáles 2 de los siguientes son requisitos para el secreto al crear
un token manualmente?
ASCII HEX
Mínimo de 32
No más de 64 caracteres
Caracteres
CONTINUE
Question 2 of 2
Un usuario ha perdido su teléfono con la aplicación Authenticator.
¿Cuál es la forma más segura de permitir la autenticación?
Modificar la configuración de
la marca de tiempo de OTP Crear manualmente códigos
Deshabilitar temporalmente
para que el usuario pueda de un solo uso y
OTP para ese usuario
seguir usando el mismo proporcionar al usuario estos
código
SUBMIT
Question 2 of 2
Un usuario ha perdido su teléfono con la aplicación Authenticator.
¿Cuál es la forma más segura de permitir la autenticación?
Modificar la configuración de
la marca de tiempo de OTP Crear manualmente códigos
Deshabilitar temporalmente
para que el usuario pueda de un solo uso y
OTP para ese usuario
seguir usando el mismo proporcionar al usuario estos
código
CONTINUAR
Sophos Firewall admite la autenticación multifactor mediante contraseñas de un solo

uso. Estos pueden ser tokens de software, como Sophos Authenticator, o tokens de
hardware si cumplen con RFC 6238
Los tokens se pueden generar automáticamente para que cuando un usuario inicie sesión en el Portal de usuarios
después de que se hayan habilitado las contraseñas de un solo uso, se muestre el mensaje para configurar un token de
software. Por lo general, esto se hace escaneando el código QR con una aplicación.
Se pueden agregar códigos adicionales al token de un usuario si el usuario no tiene

acceso a la aplicación OTP. Estos son un conjunto de códigos de un solo uso que se
eliminarán automáticamente después de su uso.
Completar las tareas de laboratorio para la autenticación:

 Tarea 1: Configurar un servidor de autenticación de Active Directory
 Tarea 2: Configurar el inicio de sesión único mediante STAS
 Tarea 3: Autenticar usuarios a través de una VPN de sitio a sitio
Protección Web
Descripción general de Sophos
Firewall Web Protection
Sophos Firewall
Version: 19.0v1
Descripción general de Sophos Firewall Web Protection

Sophos Firewall puede
 Las múltiples capas de protección proporcionadas
proporcionar protección web por Sophos Firewall para detectar y bloquear
como un proxy transparente o ataques
explícito.
DURACIÓN
10 minutos
Información general sobre la protección web
Protección Control
• Analizar en busca de malware con • Permitir, advertir, bloquear y cuotar

dos motores antivirus el acceso a contenidos web
• Protección de día cero de Sophos • Aplicar reglas a usuarios y grupos

Análisis de sandbox basado en la
nube • Controle el contenido en función de
categorías, tipos de archivo, URL y
• Buscar aplicaciones potencialmente contenido
no deseadas • Cuotas de navega
Información general sobre la protección web
Transparente
Explícito
DPI vs. filtrado de proxy web
DPI Filtrado de proxy web
 Detección de protocolos
independientes de puertos
 Aplicar SafeSearch
 Compatibilidad con FastPath
 Aplicar restricciones de YouTube
 Descifra el tráfico TLS 1.3
 Modo proxy explícito
 Descarga el tráfico en el que
confía SophosLabs
Motor DPI frente a proxy web the notes
MOTOR DPI WEB PROXY
Puertos Any 80 & 443 only
Soporte técnico de FastPath Yes No
Descifrado Policy-driven, TLS Port 80 & 443
Aplicación de SafeSearch No* Yes
Restricciones de YouTube No Yes
Proxy explícito No Yes

Almacenamiento en caché de
No Yes
contenido
Proxy principal No Yes
* Hay un método alternativo para hacer cumplir SafeSearch usando DNS

Reglas de firewall > características de seguridad
Filtrado de DPI
Descifra Web Content

sophos.com en el puerto 80 r HTTPS Policy Scan
sophos.com en el puerto 443 Web Proxy

Firewall
sophos.com en el puerto 8080

Control de
SSL/TLS Web Análisis de
aplicacion IPS
Rules Policy contenido
es
DPI Engine
FastPath
Filtrado de proxy web
Descifra Política Análisis de

sophos.com en el puerto 80 r HTTPS Web contenido
sophos.com en el puerto 443 Web Proxy

Firewall
sophos.com en el puerto 8080

SSL/TLS Web Content App
IPS
Rules Policy Scan Control
DPI Engine
FastPath
Implementación de Sophos Firewall for Web Protection
Implementaciones de puerta de enlace o modo
mixto
LAN Zone WAN Zone
Internet
Sophos Firewall
Filtrar tráfico web

Implementaciones en modo puente
Firewall Internet
Sophos Firewall
Filtre de forma
transparente el Otras redes como
tráfico web DMZ no serán
filtradas
Implementaciones de proxy explícito
Switch
Firewall Internet
Configurar clientes para

Permitir solo tráfico web
utilizar Sophos Firewall
desde Sophos Firewall
como proxy web
Sophos Firewall
Proxy transparente vs. proxy explícito
Transparente Explícito
Requiere que el cliente (sistema

Normalmente se implementa en la operativo/navegador/aplicación) esté
puerta de enlace configurado con los detalles del proxy
No requiere configuración de cliente
El cliente (sistema El firewall debe configurarse para
operativo/navegador/aplicación) no permitir solo el tráfico web desde el
sabe que se está filtrando el tráfico proxy para evitar que los usuarios lo
Los usuarios no pueden eludir el filtrado eludan
Question 1 of 2
¿Cuáles son las 2 formas en que se puede implementar el filtrado
web en Sophos Firewall?
Puente Transparente
Explícito Puerta de enlace de red
ENVIAR
Question 1 of 2
¿Cuáles son las 2 formas en que se puede implementar el filtrado
web en Sophos Firewall?
Puente Transparente
Explícito Puerta de enlace de red
CONTINUE
Question 2 of 2
Si utiliza Sophos Firewall como proxy explícito, ¿qué opción de
filtrado web se utilizará?
Web Proxy DPI
ENVIAR
Question 2 of 2
Si utiliza Sophos Firewall como proxy explícito, ¿qué opción de
filtrado web se utilizará?
Web Proxy DPI
CONTINUE
Chapter Review
DPI implementa el filtrado sin proxy manejado por el motor IPS. Proporciona detección
de protocolo independiente del puerto y admite la descarga de flujos de tráfico a la red
FastPath. Puede descifrar y escanear el tráfico TLS 1.3.
Cuando el proxy web está habilitado, el proxy web procesará el tráfico HTTP y HTTPS en
los puertos 80 y 443 para su descifrado, política web y escaneo de contenido antes de ser
entregado al motor DPI para el control de aplicaciones e IPS.
Si Sophos Firewall es la puerta de enlace de red, se puede habilitar el filtrado web para el tráfico que pasa
a través de ella. Cuando no es la puerta de enlace de red principal, puede funcionar en modo puente,
filtrando de forma transparente el tráfico web o configurarse como un proxy explícito
Configuración de la protección
web en Sophos Firewall
Sophos Firewall
Version: 19.5v1
Configuración de la protección web en Sophos Firewall

crear directivas para la
 Cómo Sophos Firewall proporciona protección web
protección web y el descifrado como proxy transparente o explícito
TLS y a configurar los ajustes
globales para la protección y un
proxy explícito.
DURACIÓN
24 minutos
Políticas Web
Políticas de protección web Reglas de política
• Incluir opciones para controlar la navegación • Definir el tipo de uso que se va a

web de los usuarios finales restringir
• SafeSearch evita que aparezcan imágenes,
vídeos y texto potencialmente inapropiados
• Especificar filtros de contenido para
en los resultados de búsqueda restringir el contenido web que
• Las restricciones de YouTube también contiene términos de las listas
restringen los resultados de búsqueda • Definir la acción que se debe realizar
• Las cuotas de tiempo pueden permitir un cuando el firewall encuentra tráfico
acceso limitado a sitios web restringidos
que coincide con los criterios de la
regla
Creación y edición de directivas web
Creación y edición de directivas web
Categorías dinámicas
Actividades del usuario

Categorías
Grupos de URL
Usuarios y grupos Tipos de archivos Restricciones
Filtro de contenido Acción Estado

Políticas Web
Configuración avanzada
Actividades del usuario
Las actividades del usuario son un grupo de categorías web, grupos de

URL y tipos de archivo
Categorías the notes

Grupos de URL
Lista de exclusión de
TLS local
Lista de exclusión de TLS

administrada (solo lectura)
Tipos de archivos
Simulación: Crear categorías web personalizadas en Sophos
Firewall
En esta simulación, creará un filtro
de palabras clave, modificará la
actividad de usuario existente de
'Navegación improductiva' y creará
actividad de usuario para controlar
el acceso a categorías específicas de
sitios web.
https://training.sophos.com/fw/simulation/WebCategories/1/start.html
Filtros de contenido
Simulación: Crear un filtro de contenido web en Sophos
Firewall
de contenido personalizado que se
utilizará para detectar páginas web
que contengan términos comunes
de intimidación.
https://training.sophos.com/fw/simulation/ContentFilter/1/start.html
Aplicación de directivas
Políticas Web
Simulación: Crear una política web personalizada en Sophos
Firewall
En esta simulación, clonará y
personalizará una política web
agregando reglas adicionales. A
continuación, probará la directiva
utilizando dos usuarios diferentes y
la herramienta de prueba de
directivas.
https://training.sophos.com/fw/simulation/WebPolicy/1/start.html
Protección Web the notes
Cuando cualquier filtrado web está habilitado, Sophos Firewall:

• Bloquear automáticamente los sitios web identificados como que contienen contenido de
abuso sexual infantil por Internet Watch Foundation (IWF)
• Ocultar el nombre de dominio en registros e informes
• No apoyar ninguna política o exclusión para permitir los sitios
Minimizamos la disponibilidad de contenido de abuso sexual en

línea. Específicamente:
• Contenido de abuso sexual infantil alojado en cualquier parte
del mundo
• Imágenes no fotográficas de abuso sexual infantil alojadas en
el Reino Unido
Configuración de protección the notes
Configuración de protección
Protección de día cero
Configuración avanzada
Almacenamiento en caché de contenido de proxy web
Notificaciones al usuario
Anulaciones de directivas
Simulación: Delegar anulaciones de políticas web en Sophos
Firewall
En esta simulación, habilitará las
anulaciones de políticas web para Fred
Rogers. A continuación, creará una
anulación de directiva web y utilizará el
código de acceso generado para permitir
que John Smith acceda a un sitio que está
bloqueado actualmente.
https://training.sophos.com/fw/simulation/WebPolicyOverrides/1/start.html
Excepciones
Excepciones
Question 1 of 2
¿Cuál de estas opciones ES compatible cuando se utiliza el motor
DPI?
Habilitar caché de
Aplicar SafeSearch
contenido web
Restringir los dominios de

Configurar el tiempo de
inicio de sesión para las
cuota
aplicaciones de Google
ENVIAR
Question 1 of 2
¿Cuál de estas opciones ES compatible cuando se utiliza el motor
DPI?
Habilitar caché de
Aplicar SafeSearch
contenido web
Restringir los dominios de

Configurar el tiempo de
inicio de sesión para las
cuota
aplicaciones de Google
CONTINUAR
Question 2 of 2
Las excepciones de protección web se aplican a todas las políticas de protección web
independientemente de cuándo se apliquen en Sophos Firewall.
VERDADERO FALSO
ENVIAR
Question 2 of 2
Las excepciones de protección web se aplican a todas las políticas de protección web
independientemente de cuándo se apliquen en Sophos Firewall.
VERDADERO FALSO
CONTINUAR
Las reglas de directiva web pueden aplicarse a usuarios y grupos específicos, o a cualquier persona.
Definen las actividades o tipos de tráfico web y tienen una acción para permitir, advertir, aplicar cuota o
bloquear. Se puede aplicar una acción independiente al tráfico HTTPS.
La directiva de filtrado web está seleccionada en las características de seguridad de la regla de

firewall. Proporciona una opción para usar el proxy web o el motor DPI. Algunas opciones de
directiva solo las puede aplicar el proxy web
Las anulaciones de directivas web permiten a los usuarios autorizados anular los sitios
bloqueados en los dispositivos de los usuarios, lo que permite temporalmente el acceso
Cuotas de protección web de
Sophos Firewall y
Sophos Firewall
Version: 19.0v1
Cuotas de protección web de Sophos Firewall y
En este capítulo aprenderá a usar CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
las cuotas de reglas de directiva
 Configuración de la protección web en Sophos
web, las cuotas de navegación y Firewall
la configuración del tráfico para  Configuración de los ajustes de configuración del
tráfico
controlar el acceso web.
DURACIÓN
7 minutos
Cuotas y configuración del tráfico
Cuotas de reglas de directiva web (basadas en

categorías y tiempo)
Cuotas de surf (basadas en el tiempo)
Conformación del tráfico (basado en el ancho de banda)

Cuotas de reglas de directiva web
Elegir qué actividades deben tener una

restricción de cuota
Cuotas de reglas de directiva web
Configurar cuánto tiempo de cuota
tienen los usuarios por día
Cuotas de surf
Las cuotas de navegación se aplican a usuarios y
grupos
Cuotas de surf
Las cuotas de navegación se aplican a usuarios y
grupos
Simulación: Crear una cuota de navegación para usuarios
invitados en Sophos Firewall
cuota de navegación para usuarios
invitados y la aplicará al 'Grupo de
invitados'. Creará un usuario
invitado y probará su directiva de
cuotas.
https://training.sophos.com/fw/simulation/SurfingQuota/1/start.html
Traffic Shaping
Traffic Shaping
Traffic Shaping
Aplicación de la directiva de
configuración de tráfico a la nueva
categoría
Question 1 of 1
¿Qué método utilizaría para limitar el ancho de banda para un solo
sitio web?
Cuota de regla de
Cuotas de surf
directiva web
Políticas de configuración
del tráfico
ENVIAR
Question 1 of 1
¿Qué método utilizaría para limitar el ancho de banda para un solo
sitio web?
Cuota de regla de
Cuotas de surf
directiva web
Políticas de configuración
del tráfico
CONTINUAR
Mediante las directivas web, puede incluir reglas para aplicar una acción de cuota a
todas las actividades. Cuando un usuario accede a una actividad con una cuota, se le
pregunta cuánto tiempo debe usar
Las cuotas de navegación se aplican a usuarios y grupos. A diferencia de las cuotas de

reglas de directiva web, las cuotas de navegación se aplican a todo el tráfico de Internet
La configuración del tráfico no limita la cantidad de tiempo o datos. En cambio, puede

limitar o garantizar la cantidad de ancho de banda disponible. Además de las categorías
web, se puede aplicar a usuarios y grupos, reglas de firewall y aplicaciones.
Completar las tareas de laboratorio para Web Protection:

 Tarea 1: Instalar los certificados de CA SSL
 Tarea 2: Configurar reglas de inspección TLS
 Tarea 3: Configurar una directiva web personalizada para los usuarios
Control de aplicaciones
Introducción a Application
Control en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Introducción a Application Control en Sophos Firewall

configurar filtros de control de
 Las múltiples capas de protección proporcionadas
aplicaciones y aplicarlos a las por Sophos Firewall para detectar y bloquear
reglas de firewall. ataques
 Configuración de reglas de firewall
DURACIÓN
15 minutos
Información general sobre el control de aplicaciones
Almacenamiento en la
Punto a punto
nube
Transmisión de video Redes sociales
Protéjase contra
aplicaciones de riesgo Garantice ancho de
banda para aplicaciones
Bloquear o limitar empresariales
aplicaciones Sophos Firewall
improductivas
Computer
Las aplicaciones se pueden encontrar en:
Lista de aplicaciones PROTECT > Lista de aplicaciones >
aplicaciones
Las conexiones actuales se pueden monitorear en:
Conexiones en vivo MONITOR & MANGE > Actividades actuales > Conexiones
en vivo
Las aplicaciones se pueden encontrar en:
Filtros de aplicaciones PROTECT > Aplicaciones > Filtro de
aplicaciones
Creación de filtros de aplicación
Opcionalmente, puede seleccionar un

filtro de aplicación existente como
plantilla
Creación de filtros de aplicación
Ahora puede agregar reglas al

filtro de aplicaciones
Arrastrar y soltar para

reordenar
Reglas de filtro de aplicaciones
Reglas de filtro de aplicaciones
Aplicar un filtro de aplicación
Simulación: Crear un filtro de aplicación

de aplicación personalizado, lo
aplicará a una regla de firewall y, a
continuación, probará los
resultados.
https://training.sophos.com/fw/simulation/AppFilter/1/start.html
Control de aplicaciones sincronizado
No reconozco este tráfico,

¿de qué aplicación es?
Sophos Sophos Firewall Internet

Central
Managed
endpoint
Aplicación Esta es una aplicación
empresarial empresarial personalizada y
personalizada está permitida
Administración del control de aplicaciones sincronizado
Categorizing Identified Applications
Identified applications are managed in:
PROTECT > Applications > Synchronized Application Control
Categorizing Identified Applications
Synchronized Application Control
1 month
3 months
6 months
9 months
12 months
Simulation: Use Synchronized App Control to Block an
Application
In this simulation you will reclassify

an application detected by
synchronized application control,
then test that it is blocked.
https://training.sophos.com/fw/simulation/SyncAppControl/1/start.html
Enrutamiento de aplicaciones
Enrutamiento > enrutamiento SD-WAN

> Agregar
Aplicaciones en la nube
OneDrive OneDrive
Dropbox Dropbox
OneDrive está sancionado

Dropbox no está autorizado
Identificar las Aplicar reglas de

Clasificar aplicaciones Bloquear mediante el
aplicaciones en la nube configuración de
en la nube control de aplicaciones
que se utilizan tráfico
Aplicaciones en la nube en el Centro de control
Aplicaciones en la nube Las aplicaciones en la nube se pueden encontrar en:
PROTECT > Aplicaciones > Aplicaciones en la nube
Clasificación y configuración del tráfico
Simulación: Categorizar aplicaciones en la nube en Sophos
Firewall
En esta simulación, revisará las

aplicaciones en la nube detectadas
por Sophos Firewall y las clasificará.
https://training.sophos.com/fw/simulation/CloudApplications/1/start.html
Question 1 of 2
TRUE o FALSE: las reglas de filtro de aplicaciones se aplican a
usuarios y grupos.
VERDADERO FALSO
ENVIAR
Question 1 of 2
TRUE o FALSE: las reglas de filtro de aplicaciones se aplican a
usuarios y grupos.
VERDADERO FALSO
CONTINUAR
Question 2 of 2
Si se agrega una nueva aplicación que coincide con una regla de filtro de control de
aplicaciones existente, ¿cuál de las siguientes instrucciones es VERDADERA?
La aplicación se incluye
La aplicación se bloquea
automáticamente en la
hasta que se aprueba
regla existente
Se crea una nueva regla La aplicación debe

de filtro de aplicaciones agregarse a la regla
para esa aplicación existente
ENVIAR
Question 2 of 2
Si se agrega una nueva aplicación que coincide con una regla de filtro de control de
aplicaciones existente, ¿cuál de las siguientes instrucciones es TRUE?
La aplicación se incluye
La aplicación se bloquea
automáticamente en la
hasta que se aprueba
regla existente
Se crea una nueva regla La aplicación debe

de filtro de aplicaciones agregarse a la regla
para esa aplicación existente
CONTINUAR
Los filtros de aplicación son una lista ordenada de reglas que permiten o deniegan
aplicaciones en función de criterios de filtro. Los filtros de aplicación deben aplicarse
en una regla de firewall
El control de aplicaciones sincronizado puede detectar aplicaciones desconocidas mediante Security

Heartbeat. Las aplicaciones detectadas se clasifican automáticamente y se permiten o bloquean en
función de los filtros de aplicaciones. También puede reclasificar aplicaciones
Sophos Firewall puede detectar aplicaciones en la nube; Estos se pueden clasificar para
informar sobre el uso de aplicaciones no autorizadas en la red
Configuración del tráfico de
aplicaciones en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Configuración del tráfico de aplicaciones en Sophos
Firewall
configurar y aplicar una directiva
 Configuración de Application Control en Sophos
de configuración de tráfico para Firewall
aplicaciones.  Configuración de los ajustes de configuración del
tráfico
DURACIÓN
10 minutos
Las aplicaciones se pueden encontrar en :
Forma de tráfico predeterminada PROTECT > Aplicaciones > Tráfico dando forma
predeterminada
Las aplicaciones se pueden encontrar en :
Forma de tráfico predeterminada PROTECT > Aplicaciones > Tráfico dando forma
predeterminada
Las directivas de configuración de tráfico se configuran en :
Políticas de configuración del tráfico CONFIGURAR > Servicios del sistema >
Modelado de tráfico
Ejemplo de directivas de configuración de tráfico
Aplicación de la configuración del tráfico
Simulación: Crear una directiva de configuración del tráfico de
aplicaciones
En esta simulación, configurará y

aplicará una política de
configuración de tráfico para las
aplicaciones.
https://training.sophos.com/fw/simulation/AppTrafficShaping/1/start.html
Question 1 of 2
¿Con qué se pueden asociar las políticas de configuración de
tráfico?
Usuarios Categorías Web Reglas IPS
VLANs Aplicaciones Reglas de firewall
ENVIAR
Question 1 of 2
¿Con qué se pueden asociar las políticas de configuración de
tráfico?
Usuarios Categorías Web Reglas IPS
VLAN Aplicaciones Reglas de firewall
CONTINUAR
Question 2 of 2
Es posible aplicar una política de configuración de tráfico
predeterminada a todo el tráfico
Verdadero Falso
ENVIAR
Question 2 of 2
Es posible aplicar una política de configuración de tráfico
predeterminada a todo el tráfico
Verdadero Falso
CONTINUE
Puede aplicar directivas de configuración de tráfico a categorías de aplicaciones, así como a aplicaciones
individuales. Las políticas de configuración de tráfico aplicadas a aplicaciones individuales tendrán
prioridad sobre las políticas de configuración de tráfico aplicadas a la categoría
Las políticas de configuración de tráfico se pueden crear para limitar la cantidad de

ancho de banda disponible para una aplicación o garantizar el ancho de banda, incluso a
expensas de otros servicios.
El ancho de banda de carga y descarga se puede controlar de forma independiente y

puede ser individual para la asociación de políticas (usuario, regla de firewall, categoría
web, aplicación) o compartido entre ellos.
Acceso remoto
Introducción a las VPN de
acceso remoto en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Configuración de VPN de acceso remoto SSL en Sophos
Firewall
configurar VPN de acceso
 Protocolos utilizados para el acceso VPN
remoto SSL e IPsec en Sophos  Servidores de autenticación, usuarios y grupos
Firewall.
DURACIÓN
20 minutos
VPN de acceso remoto
IPsec SSL
Establecer VPN IPsec de Establecer VPN SSL de acceso
acceso remoto mediante el remoto mediante el cliente
cliente de Sophos Connect o Sophos Connect, el cliente SSL
VPN heredado o los clientes
clientes de terceros
OpenVPN
Clientless SSL L2TP over IPsec PPTP

Proporcionar acceso a Compatible con el cliente VPN Compatibilidad con
servicios y recursos internos integrado en Windows conexiones PPTP heredadas
mediante un navegador (no recomendado)
VPN SSL e IPsec the notes
VPN de acceso remoto SSL IPsec Remote Access VPN
• Cliente VPN de Sophos Connect • Cliente VPN de Sophos Connect

para Windows y Mac OS X para Windows y Mac OS X
• Compatible con clientes OpenVPN • Compatible con clientes VPN IPsec
en todas las plataformas de terceros
• Compatibilidad con la • Compatibilidad con la
autenticación multifactor autenticación multifactor
• Soporta seguridad sincronizada • Soporta seguridad sincronizada
• Dividir túneles y túneles todos • Dividir túneles y túneles todos
• Asistente de configuración guiada
Asistente SSL VPN
Demostración: SSL VPN Assistant
En esta demostración, verá cómo

usar el asistente SSL VPN para
configurar rápidamente el acceso
remoto para los usuarios.
JUGAR DEMO CONTINUAR
https://training.sophos.com/fw/demo/SslVpnAssistant/1/play.html
Latido de seguridad sobre SSL VPN
Túnel dividido o túnel todo

opción
Configuración de SSL VPN
De forma predeterminada,
Sophos Firewall utiliza
Puerto 8443
Cliente VPN SSL
Cliente VPN recomendado para

Windows y Mac OS X
Cliente VPN SSL heredado para

Windows
Configuración para todas las
plataformas
Additional information in the notes
Cliente de Sophos Connect y cliente VPN SSL heredado
Si el cliente SSL VPN heredado no está instalado en la ubicación predeterminada,

el instalador de Sophos Connect no lo detectará
Simulación: Configurar una VPN de acceso remoto SSL
VPN de acceso remoto SSL
utilizando el asistente. A
continuación, revisará la
configuración creada y probará su
VPN con el cliente de Sophos
Connect.
https://training.sophos.com/fw/simulation/SslUserVpn/1/start.html
Configuración de VPN IPsec
Enlaces rápidos al perfil IPsec, descarga del cliente de Sophos Connect

y registros
Perfiles de VPN IPsec
Seleccione el perfil IPsec
Claves previamente compartidas o

certificado digital
Seleccione los usuarios y

grupos que pueden conectarse
IP range to use for the VPN
DNS servers
Download configuration files

Sólo el archivo .scx contiene la

configuración avanzada
Cliente VPN IPsec
El cliente de Sophos Connect se

puede descargar desde el portal
del usuario
Cliente de Sophos Connect
Importar el archivo de configuración

para IPsec o SSL
Conectar Iniciar sesión Detalles de conexión
Simulación: Configurar una VPN de acceso remoto IPsec

VPN de acceso remoto IPsec. A
continuación, probará su VPN con el
cliente de Sophos Connect.
https://training.sophos.com/fw/simulation/IpsecUserVpn/1/start.html
Implementación de Sophos Connect the notes
Artículo KB-000040793 de la base de conocimiento Open KB-000040793

Cómo implementar Sophos Connect a través del objeto de política de grupo (GPO)
1 Despliegue de Sophos Connect MSI a través de un script de GPO
2 Insertar la configuración como un archivo en el GPO Configuración de Windows

Question 1 of 2
¿Cuál es el puerto predeterminado para las VPN SSL?
SUBMIT
Question 1 of 2
¿Cuál es el puerto predeterminado para las VPN SSL?
8443
CONTINUAR
Question 2 of 2
¿Dónde se descarga la configuración de VPN IPsec?
Administración
Portal de usuario Sophos.com
Web
SUBMIT
Question 2 of 2
¿Dónde se descarga la configuración de VPN IPsec?
Administración
Portal de usuario Sophos.com
Web
CONTINUAR
Chapter Review
El asistente VPN agiliza la configuración de todo lo necesario para las VPN SSL de acceso
remoto
El puerto predeterminado para las VPN SSL es 8443. Esto se puede cambiar en la
configuración de SSL VPN. Esta configuración es global y se aplica a las VPN SSL de sitio a
sitio.
El cliente de Sophos Connect es compatible con VPN IPsec y SSL y se puede descargar tanto desde el
administrador web como desde el portal de usuarios. La configuración de SSL VPN se descarga en el portal
de usuario, mientras que la configuración de VPN IPsec se descarga en el administrador web
Sophos Connect en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Configuración avanzada de Sophos Connect en Sophos
Firewall
utilizar las opciones de
 Configuración de VPN de acceso remoto en Sophos
configuración avanzadas con Firewall
Sophos Connect en Sophos
Firewall.
DURACIÓN
9 minutos
Cliente VPN de Sophos Connect para Windows y Mac OS X
Soporta VPN SSL e IPsec
Túnel dividido y túnel todo (predeterminado)
Descargar el cliente desde el administrador web y el portal de usuario

Túnel todo y túneles divididos
TÚNEL TODO TÚNEL DIVIDIDO

Rango de IP y DNS: SSL
Rango de IP para usar para la VPN
Servidores DNS
Intervalo IP y DNS: IPsec
Rango de IP para usar para la VPN
Servidores DNS
Configuración avanzada de IPsec
Deshabilite Usar como puerta de

enlace predeterminada y agregue las
redes para la VPN
Enable and configure

advanced features
Configuración avanzada de IPsec
Sólo el archivo .scx contiene la

configuración avanzada
Aprovisionamiento automático
SOPHOS FIREWALL
Autenticarse con el Establecer la conexión

portal de usuarios VPN
Abrir un archivo de
aprovisionamiento
(.pro) Descargar la política
de conexión
SOPHOS CONNECT CLIENT

Archivo de aprovisionamiento (.pro)

[
{
"gateway": "<Enter your gateway hostname or IP address>",
"user_portal_port": 443,
"otp": false,
"auto_connect_host": "<Enter internal hostname or IP address>",
"can_save_credentials": true,
"check_remote_availability": false,
"run_logon_script": false
}
]
Aprovisionamiento automático the notes
El archivo de aprovisionamiento
admite...
 Varias puertas de enlace, seleccionadas por aleatoria, latencia o en orden
 Múltiples conexiones
 Autenticación de dos factores
Documentación
https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/concepts/SConProvisioningFile.html
Si el certificado del
portal de usuarios no
es de confianza, los
usuarios verán un
error de certificado
Detectar una Descargar la Vuelva a

discrepancia de nueva política de conectarse a la
directiva conexión VPN
Implementación de Sophos Connect the notes
Artículo KB-000040793 de la base de conocimiento Open KB-000040793

Despliegue de Sophos Connect mediante script a través de GPO
1 Despliegue de Sophos Connect MSI a través de un script de GPO
2 Insertar la configuración como un archivo en el GPO Configuración de Windows

Crear un objeto de directiva de grupo
Cree un nuevo GPO para y vincúlelo en la unidad organizativa que contiene los equipos en los que desea
instalar
1. Despliegue el MSI de Sophos Connect a través de un script
de GPO
1. En la ruta del script, cree un

archivo por lotes para iniciar la
instalación de Sophos Connect
2. Agregar el script al GPO
1
2. Inserte el archivo de configuración a través de la
configuración de GPO
Question 1 of 2
¿Qué archivo de configuración para VPN de acceso remoto IPsec
admite túnel dividido y opciones avanzadas?
.SCX .TGB .VPN
ENVIAR
Question 1 of 2
¿Qué archivo de configuración para VPN de acceso remoto IPsec
admite túnel dividido y opciones avanzadas?
.SCX .TGB .VPN
CONTINUE
Question 2 of 2
¿Qué 2 piezas de información necesita incluir en un archivo de
aprovisionamiento automático?
Número de puerto VPN Clave previamente compartida
Grupo de usuarios Nombre de host o IP del firewall
Número de puerto del portal de

URL del certificado de CA
usuario
ENVIAR
Question 2 of 2
¿Qué 2 piezas de información necesita incluir en un archivo de
aprovisionamiento automático?
Número de puerto VPN Clave previamente compartida
Grupo de usuarios Nombre de host o IP del firewall
Número de puerto del portal de

URL del certificado de CA
usuario
CONTINUAR
Las VPN de acceso remoto IPsec y SSL admiten túneles completos y túneles divididos.
Esto se configura mediante la opción 'Usar como puerta de enlace predeterminada'
Sophos Connect puede recuperar la configuración de VPN desde el portal de usuarios

mediante un archivo de aprovisionamiento automático. Estas conexiones se pueden
actualizar si se realizan cambios en Sophos Firewall
Sophos Connect se puede implementar mediante la directiva de grupo de Active Directory. Se puede
utilizar un script de inicio para comprobar y ejecutar el instalador de Sophos Connect y se puede copiar un
archivo de configuración en el directorio de importación
Configuración del acceso sin
cliente en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuración del acceso sin cliente en Sophos Firewall

crear y administrar marcadores
 Configuración de VPN de acceso remoto en Sophos
para el acceso VPN SSL sin Firewall
cliente.
DURACIÓN
8 minutos
Portal de acceso sin cliente
Configuración
Asignar marcadores a
usuarios y grupos
2
Definir los recursos internos

como marcadores
1
Marcadores
Protocolos
• RDP
• TELNET
• SSH
• FTP/FTPS
• SMB
• VNC
Grupos de marcadores
Acceso sin cliente
Seleccionar usuarios individuales y

grupos de usuarios
Acceso sin cliente
Seleccionar marcadores individuales

y grupos de marcadores
Simulación: Configurar el acceso VPN SSL sin cliente
marcadores y políticas para el
acceso VPN SSL sin cliente. A
continuación, iniciará sesión en el
portal de usuarios para probar su
configuración.
https://training.sophos.com/fw/simulation/ClientlessVpn/1/start.html
Question 1 of 1
¿Qué 5 protocolos admite el acceso SSL VPN sin cliente?
HTTP FTP
SSH RDP
VNC SMB
ENVIAR
Question 1 of 1
¿Qué 5 protocolos admite el acceso SSL VPN sin cliente?
HTTP FTP
SSH RDP
VNC SMB
CONTINUAR
Clientless SSL VPN proporciona acceso a recursos internos a través de marcadores en la

sección VPN del portal de usuario
Se pueden crear marcadores para: RDP, TELNET, SSH, FTP, SMB y VNC. Cada marcador
es una sola sesión para ese recurso
Las políticas asignan marcadores a usuarios y grupos

Completar las tareas de laboratorio para el acceso remoto:

 Tarea 1: Sophos Connect
 Tarea 2: Aprovisionamiento automático
Wireless Protection
Introducción a la protección
inalámbrica en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Introducción a la protección inalámbrica en Sophos
Firewall
tres modos de operación que se
 Comunicación de red inalámbrica
pueden usar para las redes  Opciones de implementación de Sophos Firewall
inalámbricas, el rango de puntos
de acceso admitidos y qué
dispositivos tienen conexión
inalámbrica incorporada.
DURACIÓN
9 minutos
Conexiones de red
Acceso a portátiles de la empresa
Descripción general de la tecnología inalámbrica Acceso a portátiles para invitados
Internet
Portátil de la empresa
conectado a la red inalámbrica Portátil invitado conectado a
de la empresa la red de invitados
Sophos Firewall
Access
Point
Access RED
Point
Portátil de la empresa
Ordenadores internos y conectado a la red inalámbrica
servidores conectados a la red de la empresa
Modos de tráfico de cliente: puente a LAN AP
Wireless
clients
Internet
Local Network
Traffic
Traffic
Traffic
Switch
Traffic Traffic
Sophos Administración
Access point
Firewall
Modos de tráfico de cliente: puente a VLAN
Wireless
clients
Internet
Red local VLAN X
Tráfico de invitados
de VALN Z
Tráfico VLAN X
Traffic
Puerto troncal
VLAN Z Guest Traffic

Tráfico etiquetado
VLAN Y Tráfico de gestión Administrado
Interruptor
Sophos Punto de acceso
Firewall
Modos de tráfico de cliente: zona separada
Clientes
inalámbricos
Internet
Local Network VLAN X
Traffic
Traffic
Bloqueado por la
regla del firewall
VXLAN
Switch
Administración
Sophos Access point
Firewall
Activity
Hacer coincidir el modo de tráfico del cliente con su
descripción
Crea una VXLAN entre el punto de acceso y

Puente a AP LAN una interfaz inalámbrica en Sophos Firewall
El tráfico se enruta a la red a la que está

Puente a VLAN
conectado el punto de acceso
El tráfico se enruta a una VLAN específica

Zona separada por el primer dispositivo que encuentra que
puede enrutar el tráfico de VLAN
Actividad
Crea una VXLAN entre el punto de acceso y

Zona separada
una interfaz inalámbrica en Sophos Firewall
El tráfico se enruta a la red a la que está

Puente a AP LAN
conectado el punto de acceso
El tráfico se enruta a una VLAN específica

Puente a VLAN por el primer dispositivo que encuentra que
puede enrutar el tráfico de VLAN
Modelos de puntos de acceso
Puntos de acceso de la serie APX APX 120

APX 320
APX 530
APX 740
Puntos de acceso heredados de la serie AP AP 15

AP 55
Los puntos de acceso heredados de la serie AP
AP 100
son finales de ventas y no son compatibles con AP 100X
los dispositivos de la serie XGS
Nomenclatura del modelo de punto de acceso
Capacidades MIMO
Punto de acceso de Gama o serie de Generación de
2 = 2x2
última generación modelos productos
3 = 3x3
4 = 4x4
Ejemplo: APX 3 2 0
Modelos de puntos de acceso – Serie APX
APX 120 APX 320 APX 530 APX 740
Despliegue Montaje en interiores, Interior; Soporte de escritorio, Interior; Soporte de escritorio, Interior; Soporte de escritorio,
escritorios, paredes o techos pared o techo pared o techo pared o techo
Rendimiento máximo 300 Mbps + 867 Mbps 300 Mbps + 867 Mbps 450 Mbps + 1.3 Gbps 450 Mbps + 1.7 Gbps
Múltiples SSID 8 para radio 8 para radio 8 para radio 8 para radio
(16 en total) (16 en total) (16 en total) (16 en total)
LAN Interfaces 1x 12V DC-in 1 x puerto serie de consola de 1 x puerto serie de consola de conector 1 x puerto serie de consola del
1x RJ45 10/100/1000 conector RJ45 RJ45 conector RJ45
1 x puerto Ethernet RJ45 10/100/1000 1 x puerto Ethernet RJ45
Ethernet con PoE 1 x RJ45 10/100/1000
1 x RJ45 10/100/1000 Ethernet w / PoE 10/100/1000
Ethernet w / PoE 1 x RJ45 10/100/1000 Ethernet w /
PoE
Compatibilidad con 802.11 a/b/g/n/ac Onda 2 802.11 a/b/g/n/ac Onda 2 802.11 a/b/g/n/ac Onda 2 802.11 a/b/g/n/ac Onda 2
estándares WLAN
Alimentación a través 802.3af 802.3af 802.3at 802.3at
de Ethernet
Número de radios 1x banda única de 2,4 GHz 1 x 2,4 GHz/5 GHz de doble 1 x banda única de 2,4 GHz 1 x banda única de 2,4 GHz
1x banda única de 5 GHz banda 1 x 5 GHz banda única 1 x 5 GHz banda única
1 x 5 GHz banda única 1 x Bluetooth de baja energía (BLE) 1 x Bluetooth de baja energía
1 x Bluetooth de baja energía (BLE) (BLE)
Capacidades de MIMO 2x2 2x2 3x3 4x4
Guía de implementación
Videoconferencia
Conectividad de alta Conectividad de alta
Conectividad básica Navegación mixta
velocidad velocidad
Número aproximado de Número aproximado de Approximate number of Número aproximado de

clientes: clientes: clients: clientes:
7-25 (2.4 GHz)
1-15 Up to 30 (5 GHz) 7-25 7-35+
Escuelas y pequeñas Grandes oficinas y
Pequeñas empresas Medium size offices
oficinas mediana empresa
Combinación de BYOD & COD Mobile
Terminales y dispositivos Puntos finales
dispositivos móviles móviles no administrados devices
administrados
APX 120 APX 320 APX 530 APX 740

Inalámbrico incorporado
XGS 87w XGS 107w XGS 116w XGS 126w XGS 136w
Venta al por Sucursal en
Pequeña oficina Pequeña oficina Pequeña sucursal
Despliegue menor/SOHO crecimiento
Escritorio Escritorio Escritorio
Escritorio Escritorio
Múltiples SSID 8 para radio
Estándares WLAN 802.11a/b/g/n/ac
compatibles 2.4 GHz/5 GHz
Número de radios 1 1 1
(2º módulo WI-FI disponible)
Capacidades MIMO 2x2:2 2x2:2 2x2:2 3x3:3 3x3:3
Sophos Firewall puede gestionar el tráfico de red inalámbrica utilizando tres modos de
tráfico de cliente: puente a AP LAN, puente a VLAN y zona separada
Sophos Firewall es compatible con los puntos de acceso de la serie APX y de la serie AP
heredados
Los modelos de escritorio de XGS tienen una variante inalámbrica interna que incluye una sola
radio. Los modelos de escritorio más grandes incluyen una opción para agregar un segundo
módulo de radio inalámbrico
Implementación de la
protección inalámbrica en
Sophos Firewall
Sophos Firewall
Version: 19.0v1
Implementación de la protección inalámbrica en Sophos
Firewall
implementar puntos de acceso y
 Modos de funcionamiento que se pueden utilizar
configurar redes inalámbricas. para las redes inalámbricas de Sophos Firewall
 Puntos de acceso compatibles
 Dispositivos Sophos Firewall que tienen conexión
inalámbrica integrada
DURACIÓN
8 minutos
Redes inalámbricas
Configuración implementada en puntos de acceso para permitir que

los clientes se conecten
Definir los requisitos de seguridad y autenticación
Definir parámetros de red

Las redes inalámbricas se configuran en:
Creación de redes inalámbricas PROTECT > redes inalámbricas > inalámbricas
Sin cifrado
Nombre de red WEP Abierto
visible WPA Personal/Empresa
WPA2 Personal/Enterprise (recomendado)
Separate Zone
Bridge to AP LAN
Bridge to VLAN
Configuración para una interfaz inalámbrica de

zona separada
Configuración avanzada the notes
Descubrimiento de puntos de acceso the notes
El paquete de descubrimiento se envía a 1.2.3.4 para que se envíe a la puerta de enlace

predeterminada
Dirección IP y puerta de enlace DHCP

Conéctese a 'IP mágica'
Interceptar y responder
Sophos Access Point
Firewall
DHCP se puede utilizar para anular la IP mágica si Sophos Firewall no es la puerta de enlace
predeterminada
Despliegue
1 Conectar el punto de acceso a la red
2 Vaya a PROTECT > Wireless > Access points
3 Aceptar el punto de acceso pendiente
4 Asignar redes inalámbricas a la difusión

Puntos de acceso
Punto de acceso
externo
Inalámbrico
incorporado
Radiodifusión de redes inalámbricas
Usar grupos de puntos de acceso para asignar
Asignar redes inalámbricas a puntos de acceso
redes inalámbricas
DNS y DHCP
Simulación: Implementación de un punto de acceso
En esta simulación, desplegará un

punto de acceso en Sophos Firewall.
https://training.sophos.com/fw/simulation/DeployAp/1/start.html
Question 1 of 1
¿A qué dirección IP envían los puntos de acceso los paquetes de
descubrimiento?
SUBMIT
Question 1 of 1
¿A qué dirección IP envían los puntos de acceso los paquetes de
descubrimiento?
1.2.3.4
CONTINUAR
Los puntos de acceso envían paquetes de descubrimiento a 1.2.3.4, que como dirección enrutable de
Internet enviada a la puerta de enlace predeterminada, se supone que es Sophos Firewall. DHCP puede
anularlo si Sophos Firewall no es la puerta de enlace predeterminada.
Los puntos de acceso aparecerán como pendientes en el administrador web hasta que
sean aceptados por un administrador
Las redes inalámbricas definen los requisitos de seguridad y autenticación, así como los
parámetros de red. Las redes inalámbricas deben asignarse a los puntos de acceso para
comenzar a transmitir
Autenticación inalámbrica en
Sophos Firewall
Sophos Firewall
Version: 19.0v1
Autenticación inalámbrica en Sophos Firewall

configurar la autenticación
 Despliegue de redes inalámbricas en Sophos
RADIUS para redes inalámbricas Firewall
mediante un controlador de  Configuración de la autenticación en Sophos
Firewall
dominio de Windows.
DURACIÓN
10 minutos
Problema de seguridad: autenticación WiFi
Asaltante
Configurar WPA/WPA2 Enterprise
Configurar el servicio de autenticación RADIUS
Puede estar en un servidor Windows u otro servidor RADIUS
El Servicio de autenticación remota telefónica de usuario (RADIUS)

proporciona autenticación, autorización y contabilidad centralizadas
RADIUS es un protocolo cliente/servidor que se ejecuta en la capa de
aplicación
Sophos Firewall utiliza el puerto 1812 para comunicarse con el servidor
RADIUS
RADIUS puede actuar como componente de servidor para la
autenticación inalámbrica 802.1X
Configuración del servidor RADIUS the notes
Configurar Sophos Firewall como cliente RADIUS
Configurar la solicitud de conexión y las directivas de red
Configurar una directiva para la autenticación inalámbrica de
usuarios
Agregar el servidor RADIUS como servidor de autenticación
Añadir el servidor RADIUS en Sophos Firewall
CONFIGURAR > autenticación > servidores
Seleccione el servidor RADIUS para la autenticación
empresarial
Seleccione el servidor RADIUS en Configuración avanzada
PROTECT > Configuración inalámbrica > inalámbrica
Los servidores RADIUS se utilizan para todas las redes inalámbricas con
autenticación empresarial
Seleccione Autenticación empresarial en la red inalámbrica
Question 1 of 1
¿Qué modo de seguridad necesita seleccionar en la red
inalámbrica para utilizar la autenticación RADIUS?
WPA/WPA2 Empresa WEP Abierto Certificados
RADIUS WAP/WAP2 Personal Servidor de autenticación
ENVIAR
Question 1 of 1
¿Qué modo de seguridad necesita seleccionar en la red
inalámbrica para utilizar la autenticación RADIUS?
WPA/WPA2 Empresa WEP Abierto Certificados
RADIUS WAP/WAP2 Personal Servidor de autenticación
CONTINUAR
Será necesario agregar un servidor RADIUS como servidor de autenticación. Esto utiliza
el puerto 1812 de forma predeterminada
Los servidores RADIUS primarios y secundarios se pueden seleccionar en la configuración inalámbrica,

estos se utilizarán para todas las redes inalámbricas con autenticación empresarial. Sophos Firewall utiliza
el puerto 414 para la comunicación RADIUS con los puntos de acceso
En la configuración de red inalámbrica, debe seleccionar WPA o WPA2 Enterprise como

modo de seguridad. Esto pedirá a los usuarios que se conecten que se autentiquen con
su nombre de usuario y contraseña.
Creación de puntos de acceso
en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Creación de puntos de acceso en Sophos Firewall

tres tipos de hotspot que puede
 Despliegue de redes inalámbricas en Sophos
crear en Sophos Firewall. Firewall
DURACIÓN
8 minutos
Tipo de hotspot
Condiciones de aceptación
Contraseña del día
Voucher
Cualquier interfaz que no

esté en la zona WAN
Políticas que se aplicarán al

tráfico desde el hotspot
Forzar HTTPS para

autenticarse con el hotspot
Condiciones de aceptación
Contraseña del día
Vale
Los términos se pueden habilitar

para la contraseña del día y los
puntos de acceso de cupones
Personaliza el aspecto del

hotspot
Firewall y NAT
Definiciones de cupones
Creación de cupones
Creación de cupones
Administración de contraseñas
Configuración del punto de acceso
Automatically delete
expired vouchers
Select the certificate for

the hotspot
Configuración del punto de acceso
Limit access to internal

resources through the
hotspot
Download templates for

customizing the hotspot
and vouchers
Pregunta 1 de 2
¿Cuáles son los diferentes tipos de hotspot que puede crear en
Sophos Firewall?
Código QR Contraseña del día Voucher
Nombre de usuario y Condiciones de

SSO
contraseña aceptación
ENVIAR
Question 1 of 2
¿Cuáles son los diferentes tipos de hotspot que puede crear en
Sophos Firewall?
Código QR Contraseña del día Voucher
Nombre de usuario y Condiciones de

SSO
contraseña aceptación
CONTINUAR
Question 2 of 2
VERDADERO o FALSO: Solo puede crear puntos de acceso en
interfaces inalámbricas.
VERDADERO FALSO
ENVIAR
Question 2 of 2
VERDADERO o FALSO: Solo puede crear puntos de acceso en
interfaces inalámbricas.
VERDADERO FALSO
CONTINUAR
Hay tres tipos de hotspot: términos de aceptación, cupón y contraseña del día. Los
términos se pueden habilitar opcionalmente para puntos de acceso de cupones y
contraseñas
Los hotspots basados en cupones requieren definiciones de cupones que especifican el

período de validez y, opcionalmente, también pueden tener cuotas de tiempo y datos.
Los vales y contraseñas pueden ser administrados en el portal de usuarios por los
usuarios administrativos seleccionados en la configuración del hotspot
Configuración de redes de
malla inalámbrica en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Configuración de redes de malla inalámbrica en Sophos
Firewall
crear una red de malla en Sophos
 Configuración de puntos de acceso inalámbricos en
Firewall. Sophos Firewall
DURACIÓN
7 minutos
Redes de malla inalámbricas
Puente inalámbrico
Ethernet 1 Ethernet 2
Punto de acceso raíz Punto de acceso de malla

Sophos Firewall
Repetidor inalámbrico
Ethernet 1 Wireless Network
Punto de acceso de
Punto de acceso raíz Clientes inalámbricos
Sophos Firewall malla
Puente inalámbrico
Wireless Bridge
Ethernet 1 Ethernet 2
Root Access Point Mesh Access Point

Sophos
Firewall
Ethernet 1 Wireless Network
Punto de acceso de
Punto de acceso Clientes inalámbricos
Sophos malla
raíz
Firewall
Compatibilidad con las funciones de redes de malla
Característica de malla Modelos de puntos de acceso

APX120, APX320, APX530, APX740
2.4 GHz Mesh
AP15, AP50, AP55, AP100, AP100x
5 GHz Mesh AP50, APX120, APX320, APX530, APX740
¿Funciona si el enlace
Sí
Ethernet está
desconectado?
Sí
¿Multi-salto?
¿Múltiples redes MESH

Sí
en el mismo AP?
Configurar un puente inalámbrico the notes
Agregar puntos de acceso a la red de malla
Agregar puntos de acceso a la red de malla
Configuración del repetidor inalámbrico the notes
1. Configurar el AP como un puente

inalámbrico
2. Crear una red inalámbrica para
repetir
3. Editar punto de acceso para
acceder a la asignación de red de
malla
Question 1 of 1
Haga coincidir el rol de malla con la descripción.
Se conecta a la red a través de una

Punto de acceso raíz Drag here
conexión Ethernet
Punto de acceso de
Drag here Se conecta a la red de forma inalámbrica
malla
ENVIAR
Question 1 of 1
Haga coincidir el rol de malla con la descripción.
Se conecta a la red a través de una

PuntoDrag
de acceso
here raíz
conexión Ethernet
Punto de acceso de
Drag here Se conecta a la red de forma inalámbrica
malla
CONTINUAR
Las redes de malla se pueden utilizar para conectar una conexión Ethernet de forma
inalámbrica, para repetir una red inalámbrica o ambas cosas.
Todos los puntos de acceso de la serie APX admiten redes de malla
Los puntos de acceso raíz se conectan al Sophos Firewall a través de una conexión
Ethernet, los puntos de acceso de malla se conectan de forma inalámbrica una vez que
han recibido la configuración
Registro e informes
Ejecución y personalización de
informes en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Ejecución y personalización de informes en Sophos
Firewall
ejecutar, personalizar y
Le recomendamos que tenga los conocimientos hasta
programar informes. e incluidos en los módulos anteriores.
DURACIÓN
7 minutes
Informes
Informes integrados
• Paneles preconfigurados para tráfico, seguridad, informes ejecutivos y cociente de
amenazas de usuario (UTQ)
• Informes preconfigurados y personalizados
• Informes centrados en el cumplimiento para estándares comunes, incluidos HIPAA y
PCI
• Exportar o programar informes para enviarlos por correo electrónico
•
Informes de firewall central
•
• Últimos 7 días de datos disponibles en Sophos Central
• Acceso a informes y registros
Informes
Marcadores
Marcadores
Grupo de marcadores
Medidor de riesgo de aplicaciones
• Factor de riesgo basado en el análisis del tráfico

• Se muestra en todos los informes de aplicaciones
Cociente de amenazas para el usuario
• Identificar usuarios peligrosos o malintencionados

• Basado en el uso de la web
Informes de cumplimiento
Informes personalizados
Programación de informes
Gestión de datos
Simulación: Ejecutar y filtrar un informe
En esta simulación, ejecutará un informe

y lo filtrará para personalizar la vista. A
continuación, creará un marcador para el
informe y programará un informe
ejecutivo para que se envíe por correo
electrónico.
https://training.sophos.com/fw/simulation/RunReports/1/start.html
Informes de protección de día cero the notes
Ver informe Continuar

Question 1 of 1
Ha creado un informe que muestra los datos que desea comprobar
diariamente. ¿Cómo puede hacer que estos datos estén fácilmente
disponibles en la interfaz WebAdmin?
Añadir el informe al índice Anclar el informe al menú

en Sophos Firewall informe
Agregar un acceso directo

Crear un marcador para el
al informe en el Centro de
informe
control
ENVIAR
Question 1 of 1
Ha creado un informe que muestra los datos que desea comprobar
diariamente. ¿Cómo puede hacer que estos datos estén fácilmente
disponibles en la interfaz WebAdmin?
Añadir el informe al índice Anclar el informe al menú

en Sophos Firewall informe
Agregar un acceso directo

Crear un marcador para el
al informe en el Centro de
informe
control
CONTINUAR
Sophos Firewall incluye muchos informes integrados, incluso para el cumplimiento. Puede filtrar
rápidamente estos informes seleccionando campos en los gráficos. Una vez que haya personalizado el
informe, puede crear un marcador y, opcionalmente, programarlo para que se envíe por correo
electrónico.
Sophos Firewall incluye métricas como el medidor de riesgo de la aplicación y el cociente

de amenazas de usuario (UTQ) para ayudarle a identificar los riesgos en la red
Se accede a los informes de inteligencia de amenazas para archivos que se han referido a
la protección de día cero desde MONITOREAR y ANALIZAR > Protección de día cero >
Descargas y archivos adjuntos
Gestión de registros y
notificaciones en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Gestión de registros y notificaciones en Sophos Firewall

configurar registros y
notificaciones, y cómo acceder a WebAdmin
los registros en Sophos Firewall.
DURACIÓN
7 minutos
Registro
Acceso a registros en tiempo real mediante el

visor de registros
Up to 5
Agregar hasta 5 servidores syslog externos
Administrar qué eventos se registran

Visor de registros
Select log
Customize columns
Visor de registros
Exportar datos a un Búsqueda de texto libre
archivo CSV
Aplicar filtros
estructurados
Visor de registros
Coloca el cursor para ver

información más detallada
Visor de registros
Visor de registros Cambiar entre la columna
y la vista de registro
unificada Seleccionar varios
registros
Syslog Los servidores Syslog se configuran en:
CONFIGURAR > Servicios del sistema >
Configuración de registro
Configuración de registros
Seleccionar eventos para

registrar
Supresión de registros de firewall
Recuperación de archivos de registro the notes
Cargar un archivo desde Sophos Firewall mediante FTP
ftpput –u <username> -p <password> host ip <Remote file name>

<Local file name>
Cargar un archivo desde Sophos Firewall mediante SCP
scp <Local file name> <username>@<host>:/path/to/remote/file

Notifications
Email SNMP
SISTEMA > Configuración de SISTEMA > Administración > SNMP:
administración > notificación: • Habilitar el agente SNMP
• Configurar los ajustes del servidor de correo electrónico • Crear usuarios y capturas SNMPv3
• Establecer direcciones de correo electrónico
• Seleccione la dirección de la interfaz de administración
• Crear una comunidad SNMPv1 y v2c y
capturas
CONFIGURAR > Configuración del sistema > Lista de

notificaciones:
• Habilitar y deshabilitar el correo electrónico y las notificaciones SNMP globalmente
• Seleccione qué notificaciones enviar por correo electrónico y SNMP
Correo electrónico
Opcionalmente, configure un
servidor de correo electrónico
para enviarlo a enviar
notificaciones
Seleccione qué interfaz

utilizarán los administradores
que recibirán las notificaciones
para acceder a Sophos Firewall
SNMP
Habilitar y configurar el agente

SNMP
Crear capturas SNMP

Lista de notificaciones
Habilitar y deshabilitar
globalmente las notificaciones
para correo electrónico y
SNMP
Seleccione qué notificaciones

enviar o enviar por correo
electrónico y SNMP
Question 1 of 2
¿Cuál es el número máximo de servidores syslog externos que
puede configurar en Sophos Firewall?
2 3 4
5 10 15
ENVIAR
Question 1 of 2
¿Cuál es el número máximo de servidores syslog externos que
puede configurar en Sophos Firewall?
2 3 4
5 10 15
CONTINUAR
Question 2 of 2
Sophos Firewall puede enviar notificaciones utilizando cuál de los
siguientes protocolos?
SMTP SMS
VoIP SNMP
ENVIAR
Question 2 of 2
Sophos Firewall puede enviar notificaciones utilizando cuál de los
siguientes protocolos?
SMTP SMS
VoIP SNMP
CONTINUE
Acceda al visor de registros utilizando el enlace en la parte superior derecha desde cada página del
WebAdmin. Aquí puede seleccionar qué registros ver, filtrar los registros, personalizar las columnas y hacer
clic en los campos para acceder y modificar las políticas.
Puede seleccionar qué eventos registrará Sophos Firewall y, opcionalmente, elegir

suprimir eventos de firewall idénticos. Sophos Firewall admite hasta cinco servidores
syslog externos para vincularlos a sus sistemas de informes existentes
Puede habilitar las notificaciones por correo electrónico y SNMP desde Sophos Firewall,
y puede seleccionar qué eventos registrar de forma independiente para cada protocolo.
Administración central de
cortafuegos
Gestión de Sophos Firewall en
Sophos Central
Sophos Firewall
Version: 19.0v1
Gestión de Sophos Firewall en Sophos Central
gestionar Sophos Firewalls en
Sophos Central, incluida la WebAdmin
creación y gestión de grupos, la  Uso de Sophos Central como solución de gestión
en la nube
orquestación de VPN y la gestión
de copias de seguridad y
actualizaciones de firmware.
DURACIÓN
10 minutos
Información general sobre la administración de Central
Firewall
Acceda de forma remota al administrador web de Sophos

Firewalls gestionados
Gestionar la configuración de grupos de Sophos Firewalls
No se requiere licencia adicional para la administración básica

Habilitación de la gestión central en Sophos Firewall

Aceptación de la administración en Central
Administración de firewalls > ADMINISTRAR > firewalls

Administración de un único firewall
Administración de un único firewall
Acceso en tiempo real al WebAdmin

de Sophos Firewalls gestionados
Grupos de firewall
Creación de grupos
Central Managed Sophos Firewall
Administración de directivas de grupo
Administración de directivas de grupo
Las reglas locales de Sophos Firewall solo se sobrescriben cuando se crea una
regla con el mismo nombre en Sophos Central
Objetos dinámicos
Objetos dinámicos
Objetos dinámicos
Orquestación de VPN
SOPHOS
CENTRAL
Configuración Configuración
SOPHOS SOPHOS
FIREWALL FIREWALL
VPN Connection
• Los firewalls requieren una licencia con orquestación central

• Los cortafuegos deben ser v18.5 MR 1 o posterior
• Necesita al menos dos firewalls
• Los firewalls que están en un grupo de conexiones SD-WAN no se
pueden usar en otros grupos de conexiones
1/7
Grupos de conexión SD-WAN
2/7
3/6
4/7
5/7
SD-WAN Connection Groups
6/7
7/7
Cola de tareas
Cola Tsk
Programar firmware
Backups
Backups
Copia de seguridad anclada

Simulación: Gestionar Sophos Firewall en Sophos Central
En esta simulación, añadirá un
Sophos Firewall a Sophos Central, lo
asignará a un grupo y enviará
cambios de configuración al firewall,
incluido el uso de la orquestación
VPN.
https://training.sophos.com/fw/simulation/CentralManagement/1/start.html
Implementación sin intervención
Arranque Sophos con
Crear configuración Configuración de envío Crear USB
USB
Utilice el asistente de Opcionalmente, envíe la Copie la configuración en Conecte la unidad USB al
configuración de Sophos configuración por correo una unidad USB Sophos Firewall e inícielo
Central electrónico a otra
ubicación
Los archivos de configuración sin intervención solo se pueden crear para números de serie de
hardware no registrados
Question 1 of 2
¿Cuál de las siguientes afirmaciones es TRUE sobre los grupos de
conexión SD-WAN?
Puede limitar el Puede incluir la

Requiere 2 o más
acceso a usuarios configuración de
firewalls
autenticados Security Heartbeat
Puede crear Sólo puede Se puede configurar

automáticamente proporcionar acceso a para usuarios y grupos
reglas de firewall los recursos TCP/UDP específicos
Question 1 of 2
¿Cuál de las siguientes afirmaciones es TRUE sobre los grupos de
conexión SD-WAN?
Puede limitar el Puede incluir la

Requiere 2 o más
acceso a usuarios configuración de
firewalls
autenticados Security Heartbeat
Puede crear Sólo puede Se puede configurar

automáticamente proporcionar acceso a para usuarios y grupos
reglas de firewall los recursos TCP/UDP específicos
Question 2 of 2
¿Cuántas copias de seguridad puede almacenar en Sophos
Central?
Question 2 of 2
¿Cuántas copias de seguridad puede almacenar en Sophos
Central?
5
Chapter Review
Todas las licencias incluyen Central Management for Sophos Firewall, incluyendo; Acceso
remoto en tiempo real al administrador web, programación de actualizaciones de
firmware y copias de seguridad, gestión de la configuración del firewall mediante grupos
Puede configurar redes SD-WAN orquestadas por VPN en Sophos Central mediante
grupos de conexión SD-WAN. Esto requiere orquestación central como parte de la
licencia
La implementación sin intervención permite que incluso una persona no técnica conecte y configure un
Sophos Firewall remoto y lo conecte a Sophos Central. Los archivos de configuración sin intervención
solo se pueden crear para números de serie de hardware no registrados
Informes de firewall en
Sophos Central
Sophos Firewall
Version: 19.0v1
Informes de firewall en Sophos Central
habilitar los informes de Sophos
Firewall en Sophos Central y WebAdmin
cómo ejecutar informes.  Uso de Sophos Central como solución de gestión
en la nube
DURACIÓN
6 minutos
Información general sobre informes de Central Firewall
Paneles e informes disponibles en Central
Ver y filtrar registros desde Sophos Firewall
Últimos 7 días de datos disponibles en Central
Licencia de Central Firewall Reporting Advanced

Habilitación de informes de firewall central

Administración de informes de firewall central
Servidor Syslog creado para

Central Firewall Reporting
Administrar los datos

cargados demasiado Central
Centro de informes Haga clic en los botones de
resumen para ver más
detalles a continuación
Seleccione el firewall por
etiqueta o número de serie
Generador de informes
Seleccionar informe
Haga clic en los datos

para aplicar filtros
Haga clic en los vínculos para aplicar filtros

Introducir filtros
manualmente
Personalizar el tipo de
gráfico.
• Gráfico de barras
• Gráfico de barras
horizontales
• Gráfico circular
• Gráfico de líneas
• Gráfico de área de
apilamiento Personalizar los
campos del gráfico
Personalizar las
columnas de la tabla
Logs
Seleccionar
Haga clic en los columnas
vínculos para aplicar
filtros
Introducir filtros
manualmente
Informes de firewall central (CFR) avanzados
Central Firewall Reporting Advanced Enhancements
https://community.sophos.com/sophos-xg-firewall/b/blog/posts/new-enhancements-to-central-firewall-reporting
Simulación: Informes de firewall central
En esta simulación, ejecutará

informes para Sophos Firewall en
Sophos Central.
https://training.sophos.com/fw/simulation/CentralReporting/1/start.html
Question 1 of 2
¿Cuántos días de datos están disponibles en Sophos Central utilizando Central
Firewall Reporting gratuito? Introduzca la respuesta en dígitos
ENVIAR
Question 1 of 2
¿Cuántos días de datos están disponibles en Sophos Central utilizando Central Firewall
Reporting gratuito? Introduzca la respuesta en dígitos
CONTINUAR
Question 2 of 2
¿Cuánto almacenamiento se incluye con cada licencia de Central Firewall
Reporting Advanced en GB? Introduzca la respuesta en dígitos
ENVIAR
Question 2 of 2
¿Cuánto almacenamiento se incluye con cada licencia de Central Firewall
Reporting Advanced en GB? Introduzca la respuesta en dígitos
100
CONTINUAR
Chapter Review
Standard Central Firewall Reporting proporciona almacenamiento de datos durante los

últimos 7 días en Sophos Central. Puede filtrar registros e informes desde el firewall de
Sophos y crear informes personalizados
Para empezar a utilizar Central Firewall Reporting, Sophos Firewall debe estar registrado
en Sophos Central y la opción Enviar registros e informes a Sophos Central debe estar
activada. Puede personalizar los datos que se cargan en la configuración del registro
Cada licencia CFR Advanced incluye 100 GB de almacenamiento de datos y permite la

generación de informes en múltiples firewalls, guardar plantillas y programar informes.
Revisión del curso
Cómo encontrar ayuda de
Sophos
Sophos Firewall
Version: 19.0v1
Cómo encontrar ayuda de Sophos
CONOCIMIENTOS Y EXPERIENCIA
Una vez que haya completado este RECOMENDADOS
capítulo, podrá encontrar ayuda para
sus productos de Sophos. No hay conocimiento o experiencia recomendada
antes de completar este capítulo.
Comprenderá cómo puede
mantenerse al día con las últimas
noticias y alertas de Sophos.
DURACIÓN 8 minutos
Cómo encontrar ayuda
sophos.com/support
Documentación
https://www.sophos.com/support/documentation
Artículos de Knowledge Base
https://support.sophos.com
Comunidad Sophos the notes
https://community.sophos.com
SophosLabs
https://sophos.com/labs
Proporciona la
información más
reciente acerca de las
amenazas de
seguridad
Información sobre amenazas the notes
https://sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware.aspx
Vídeos técnicos de Sophos
https://techvids.sophos.com
Soporte de Sophos the notes
https://support.sophos.com
If you have a critical case, raise this using the support

portal and follow up with Sophos Support using your case
Central Firewall Management
number
Select to raise either a Customer Care

case or a Technical Support case
Soporte de Sophos
Incluir cualquier error y síntoma
Incluya los pasos para reproducir el problema
Incluir todos los pasos de solución de problemas completados
Incluir todos los registros e información adicional recopilada

Alertas y noticias de Sophos the notes
SERVICIO DE
FUENTE RSS
NOTIFICACIÓN POR SMS
NOTICIAS SOPHOS
TWITTER SEGURIDAD DESNUDA

Noticias de Sophos the notes
news.sophos.com
Servicio de notificación por SMS the notes
sms.sophos.com
Nombre del producto, breve

descripción del problema y un enlace
para obtener más información
Fuentes de sindicación (RSS) realmente simples the notes
http://sophos.com/company/rss-feeds
Twitter the notes
http://twitter.com/sophossupport
NakedSecurity the notes
http://nakedsecurity.sophos.com
Question 1 of 2
Introduzca la dirección URL del sitio web de soporte de Sophos
www.sophos.com/ __________________
Question 1 of 2
Introduzca la dirección URL del sitio web de soporte de Sophos
www.sophos.com/ _____support______
Question 2 of 2
¿Sobre qué proporciona información la página de SophosLabs?
Artículos de la base de
Acceso a la comunidad de
conocimientos sobre
Sophos
amenazas conocidas
Documentación sobre
Datos en tiempo real e
cómo corregir amenazas
informes de amenazas
conocidas
Question 2 of 2
¿Sobre qué proporciona información la página de SophosLabs?
Artículos de la base de
Acceso a la comunidad de
conocimientos sobre
Sophos
amenazas conocidas
Documentación sobre
Datos en tiempo real e
cómo corregir amenazas
informes de amenazas
conocidas
Se puede encontrar ayuda navegando a sophos.com/support
Póngase en contacto con el soporte de Sophos a través del portal de soporte, el chat en
vivo y Twitter
Manténgase al día con las noticias y alertas de Sophos uniéndose a la comunidad de

Sophos, registrándose para recibir alertas de noticias mediante SMS o RSS
Revisión del curso
Explicar cómo Sophos Firewall ayuda a proteger contra las amenazas de seguridad
Configurar reglas, directivas y autenticación de usuario del firewall
Demostrar la protección contra amenazas y las características de uso común
Realizar la configuración inicial de un Sophos Firewall y configurar la red necesaria

Configuración
Realizar tareas básicas de solución de problemas, generación de informes y

administración
CONTINUE
Examen
Examen
Encuesta
COMENTARIOS SOBRE LA CAPACITACIÓN
Los comentarios son siempre bienvenidos

Por favor envíe un correo electrónico
globaltraining@sophos.com
Qué sigue: Certificación
CUSTOMERS
Administrador certificado de Sophos
PARTNERS
Arquitecto certificado de Sophos

Ingeniero certificado de Sophos
Técnico certificado de Sophos
Qué sigue: formación técnica bajo demanda
PORTAL DE FORMACIÓN: Certificaciones > formación técnica bajo demanda

Documentacion Sophos Firewall

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Documentacion Sophos Firewall

Cargado por

Copyright:

Formatos disponibles

Sophos Firewall v19.

1 Descripción general de Sophos Firewall 8 Protección Web

2 Implementación de Sophos Firewall 9 Control de aplicaciones

3 Introducción a Sophos Firewall 10 Acceso remoto

4 Base Firewall 11 Protección inalámbrica

5 Protección de red 12 Registro e informes

6 Conexiones de sitio a sitio 13 Administración central de cortafuegos

7 Autenticación 14 Revisión del curso

Cuando vea este icono, puede encontrar

Un glosario de términos técnicos utilizados a lo largo del

Los comentarios son siempre bienvenidos

En este capítulo aprenderá las CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS

Firewall de próxima Protección todo en uno Protección escolar

Integración de endpoints Nube pública

Exponga los riesgos ocultos

Detenga las amenazas desconocidas

Aislar sistemas infectados

Sistema de prevención de intrusiones Protección avanzada contra amenazas

Protección web e inspección SSL Aprendizaje profundo

Protección inalámbrica RED y VPN

Basta Security Heartbeat™

Descifrado TLS 1.3

Motor de inspección profunda de

Xstreme Network Fastpath

Zero Trust es una mentalidad de

Acceso perimetral de ZT ZTNA

APX Acceso a la red principal Switch

Descifrado TLS 1.3 Aprendizaje profundo

Visibilidad y control de Inspección profunda de

TLS 1.3 Decryption Deep Learning

Application Visibility and

Un dispositivo de seguridad de red integral, con un firewall basado en zonas y políticas

Puede exponer riesgos ocultos, detener amenazas desconocidas y aislar sistemas

Admite ZTNA al proporcionar segmentación de red y protección de movimiento lateral.

En este capítulo aprenderá qué CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS

ARQUITECTURA DE PROCESADOR DUAL

PORT DENSITY AND DIVERSITY

Combina una CPU multinúcleo con un

La amplia gama de opciones de

Optional modules for

Compatibilidad con Falla al cablear

87/87w 107/107w 116/116w 126/126w 136/136w

87w 107w 116w 126w 136w

XGS 3100 XGS 4300

XGS 5500 XGS 6500

4 Port 2.5 GbE PoE 4 Port GbE copper 8 Port GbE

4 Port GbE PoE 2 Port GbE Fibre (LC) Bypass

Microsoft Hyper-V VMware KVM

Citrix XenApp Nutanix Prism

WAN zone Existente

Inyección SQL Web Server App Server

LAN zone Port D DMZ zone

Amazon Web Google Cloud

Amazon Web Google Cloud

Sophos Firewall se puede implementar utilizando dispositivos de hardware de las series

• Más utilizados • Totalmente transparente

Modo Mixed Modo Discover

• Puerta de enlace y puente • También se llama TAP

LAN Zone WAN Zone

Modo normal Modo de derivación

# xgs-ftw [-s|-e|-d|-a] <bypass_pair>

# xgs-ftw -s Show status

# xgs-ftw -e 1 Enable bypass for pair 1

# xgs-ftw -d 1 Disable bypass for pair 1