Documentos de Académico
Documentos de Profesional
Documentos de Cultura
5
Administrador certificado de Sophos
Agenda del curso
Información adicional
en las notas
Glosario de términos técnicos
https://support.sophos.com/support/s/article/KB-000034650
COMENTARIOS SOBRE LA CAPACITACIÓN
Sophos Firewall
Version: 19.0v1
¿Qué es Sophos Firewall?
DURACIÓN
10 minutos
¿Qué es Sophos Firewall?
Véalo
Basta
Asegúrelo
Basta
Firewall de próxima generación Firewall de aplicaciones web
Asegúrelo
Asegúrelo
Servidor de malware Sophos Firewall Sophos Central
Véalo Phishing
Servers
Sophos Firewall
Host Infectado
Asegúrelo
Ataque de ransomware
Arquitectura Xstream
SaaS
ZTNA y firewalls
Sophos Central
SD-WAN VPN
AWS Azure
Switch
Aplicaciones
Switch
Internet
Sophos Firewall
Usuarios
Protección de movimiento lateral
Local Area Network
Huésped infectado
Switch
Internet
Endpoint
Sophos Firewall
Servidor de aplicaciones
Question 1 of 2
La protección del movimiento lateral es posible gracias a cuál de
las siguientes opciones?
Protección avanzada
Seguridad sincronizada
contra amenazas
Sistema de prevención de
Sandboxing
intrusiones
Question 1 of 2
La protección del movimiento lateral es posible gracias a cuál de
las siguientes opciones?
Advanced Threat
Synchronized Security
Protection
Intrusion Prevention
Sandboxing
System
Question 2 of 2
¿Elija 2 características de la arquitectura Xstream?
Sophos Firewall
Version: 19.5v1
Opciones de implementación de Sophos Firewall y escenarios comunes
DURACIÓN
11 minutos
Opciones de implementación
Hardware Software
Sophos XGS y XG Devices Intel Compatible Hardware
Virtual Cloud
Hyper-V, VMWare,
Azure, AWS, Nutanix
Xen Server, KVM
RENDIMIENTO Y PROTECCIÓN
Aspectos destacados de la serie XGS
Modelos de escritorio
Modelos 1U
(1.75 inches)
Modelos 2U
(3 inches)
Modelos de escritorio XGS
Before installing, turn off guest additions and services, and stop automated backups and snapshots
WAN zona
Internet Port B
Port A Port C
Sophos DMZ zone
LAN zone
Firewall
Modo Bridge
Port A Port C
Sophos DMZ zone
LAN zone
Firewall
Firewall de aplicaciones web
Desbordamientos de búfer
WAN zone Existing
Firewall
Internet Port B + Firewall de aplicaciones web
Port A Port C
Sophos DMZ zone
LAN zone
Firewall
Internet
Switch
Nutanix Oracle
Question 1 of 3
¿En qué plataformas en la nube es compatible Sophos Firewall?
Nutanix Oracle
Question 2 of 3
¿Cuántas radios tienen los modelos inalámbricos de la serie XGS?
Answer
Question 2 of 3
¿Cuántas radios tienen los modelos inalámbricos de la serie XGS?
1
Answer
Question 3 of 3
VERDADERO o FALSO: El número de puertos se puede ampliar
utilizando módulos adicionales.
VERDADERO FALSO
Question 3 of 3
VERDADERO o FALSO: El número de puertos se puede ampliar
utilizando módulos adicionales.
VERDADERO FALSO
Revisión del capítulo
Sophos Firewall se puede implementar para su uso de varias maneras, las más comunes
son el modo de puerta de enlace predeterminado, como puente transparente, para la
protección del servidor web y en modo de descubrimiento
Consideraciones para
implementar Sophos Firewall
en escenarios comunes
Sophos Firewall
Version: 19.0v1
Consideraciones para implementar Sophos Firewall en
escenarios comunes
En este capítulo aprenderá sobre CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
las características de los
Despliegue de Sophos Firewall en el modo de
diferentes modos de gateway predeterminado
implementación de Sophos Otras opciones de implementación como puente
transparente, para la protección del servidor web y
Firewall. en modo de detección
DURACIÓN
15 minutos
Modos de implementación
Modo Gateway Modo Bridge
LAN WAN
ISP 1
Sophos Firewall
ISP 2
Ejemplo de modo Gateway
LAN WAN
ISP 1
Sophos Firewall
DMZ
ISP 2
Descripción general del modo Bridge
• Se usa en línea con la implementación
existente
• Sin cambios en la topología
• Úselo como solución directa
LAN IP:
192.168.0.1/24
Internet
Network: 192.168.0.0/24 Sophos Firewall Firewall
Default Gateway: 192.168.0.1
El modo puente también se conoce como modo transparente, modo en línea y modo drop-in
Ejemplo de modo Bridge
Internet
Sophos Firewall providing Existing Firewall
Web Filtering
Synchronized Security
Advanced Threat Protection
IPS
Application Control
…
..
.
Modo Bridge
ARP transparente
Procesamiento de tráfico de varias subredes
VLAN de filtro
Captación de conexión a mitad de flujo
No soporta:
• Uso de Sophos Firewall como concentrador VPN
• Múltiples vínculos WAN
Additional information in
Falla al cablear the notes
LAN WAN LAN LAN LAN LAN LAN WAN LAN LAN LAN LAN
BP BP
3/4 3/4
Bypass pair
1 2 3 4 5 6 1/2 1 2 3 4 5 6 1/2
Seleccionar interfaces
y zonas
Internet
Port A
LAN
Ejemplo de modo Mixed
Internet
IP: 60.60.60.1
• Servidores públicos
PC: 192.168.0.160
GW: 192.168.0.100
Ejemplo de modo Mixed
Puerto A,B – Puente
Internet
Puerto C- Ruta
Port B -WAN
192.168.0.100
• Sophos Firewall en modo mixto Port C - LAN
Port A - DMZ IP: 60.60.60.1
PC: 192.168.0.160
GW: 192.168.0.100
Question 1 of 2
¿Qué funciones no son compatibles con Sophos Firewall
implementado en modo puente?
Protección de
Concentrador VPN Protección Web
correo electrónico
Múltiples enlaces
Descifrado TLS
WAN
Question 1 of 2
¿Qué funciones no son compatibles con Sophos Firewall
implementado en modo puente?
Protección de
Concentrador VPN Protección Web
correo electrónico
Múltiples enlaces
Descifrado TLS
WAN
Question 2 of 2
¿Qué comando se utiliza en la consola para habilitar el fail-to-wire
en los dispositivos de la serie XGS?
Question 2 of 2
¿Qué comando se utiliza en la consola para habilitar el fail-to-wire
en los dispositivos de la serie XGS?
xgs-ftw
Revisión del capítulo
Existen en términos generales cuatro modos de implementación para Sophos Firewall: puerta de enlace,
puente, mixto y descubrimiento. El modo mixto es una combinación del modo de puerta de enlace, el tipo
más común de implementación, y el modo puente, ya que no es un puente transparente puro.
El modo puente es un puente totalmente transparente que se implementa en línea sin cambiar la
topología de red. Como es transparente, no admite la terminación de VPN o múltiples enlaces
WAN
Fail-to-wire es una función de tolerancia a fallos en los dispositivos de la serie XGS que protege
sus comunicaciones empresariales esenciales en caso de un corte de energía. Lo usaría al
implementar en modo puente
Despliegue de Sophos Firewall
mediante el asistente de
configuración inicial
Sophos Firewall
Version: 19.0v1
Despliegue de Sophos Firewall mediante el asistente de
configuración inicial
DURACIÓN
10 minutos
Conexión de Sophos Firewall a la red
SOPHOS
Protection
1/LAN 2/WAN
El puerto WAN predeterminado
El puerto LAN predeterminado al
Se puede seleccionar un puerto
que conectarse para la diferente en el asistente de
configuración inicial configuración inicial
Additional information in
Interfaz de línea de comandos (CLI) the notes
SSH Console
Credenciales predeterminadas:
• Nombre de usuario: admin
• Contraseña: admin
Estas credenciales se cambian como parte del
asistente de configuración inicial
Simulación: Configuración de red mediante la CLI
https://training.sophos.com/fw/simulation/CliConf/1/start.html
Administración Web
Optionally:
• Restore a backup
configuration
• Connect as high-
availability spare
Asistente de configuración inicial
Configurar la conexión a
Internet
Enter a hostname
Opcionalmente:
• Iniciar una prueba
• Migrar una licencia UTM
• Aplazar el registro
•
Asistente de configuración inicial
Seleccione la puerta de
enlace
Configurar la dirección IP
Opcionalmente, habilite
DHCP
Asistente de configuración inicial
Opcionalmente, especifique
un servidor de correo
interno para las
notificaciones
https://training.sophos.com/fw/simulation/InitialSetup/1/start.html
Clave maestra de almacenamiento seguro
Additional information in
Clave maestra de almacenamiento seguro the notes
Question 1 of 2
Ha recibido un nuevo hardware de Sophos Firewall. ¿Cuál es la
dirección IP predeterminada y el puerto que se utiliza para acceder
al dispositivo?
172.16.16.16:4444 172.16.16.16:443
172.16.16.254:18080 192.168.0.1:4444
Question 1 of 2
Ha recibido un nuevo hardware de Sophos Firewall. ¿Cuál es la
dirección IP predeterminada y el puerto que se utiliza para acceder
al dispositivo?
172.16.16.16:4444 172.16.16.16:443
172.16.16.254:18080 192.168.0.1:4444
Question 2 of 2
Está preparando un Sophos Firewall para su instalación en un sitio
remoto. El pedido de la licencia aún no se ha procesado. ¿Qué
opción de registro de dispositivo selecciona en el asistente de
configuración inicial?
La CLI se puede usar para cambiar la dirección IP del puerto de administración para que
pueda conectarse al WebAdmin para completar el asistente de configuración inicial
El Asistente para la instalación inicial proporciona una interfaz web para configurar y
registrar el firewall
Sophos Firewall
Version: 19.5v1
Navegación y gestión de Sophos Firewall
DURACIÓN
11 minutos
WebAdmin: Centro de control
WebAdmin: Menú principal
Configurar conectividad,
enrutamiento, autenticación y
configuración global
WebAdmin: Menú principal
Configuración de acceso a
dispositivos, objetos y perfiles que se
usan en reglas y directivas
WebAdmin: Navegación con pestañas
WebAdmin: Configuración avanzada
Mostrar adicional
Configuración de informes
WebAdmin: Menú desplegable de administración
WebAdmin: Ayuda
WebAdmin: Visor de registros
Guías prácticas
Hay tres tipos de objetos host en Sophos Firewall: IP, MAC y FQDN
Hosts
IP MAC FQDN
Servicio basado en
Puertos TCP y UDP
Servicio basado en
Números de protocolo IP
Servicio basado en
tipos y códigos ICMP
Grupos de países
Perfiles
Horario Tiempo de entrada
Permitir o denegar una acción para una
Define un período de tiempo
programación
Recurrente o puntual
Descifrado IPsec
Parámetros IKE para establecer túneles entre
Configuración para el descifrado TLS
dos firewalls
Acceso al dispositivo
Roles para administradores
Actualizaciones de firmware
Upload firmware
CONTINUE
Question 1 of 2
En el ejemplo que se muestra London Servers es
CONTINUE
Question 2 of 2
¿Se pueden crear objetos de servicio para cuál de los siguientes?
CONTINUE
Question 2 of 2
¿Se pueden crear objetos de servicio para cuál de los siguientes?
CONTINUE
Revisión del capítulo
Se utilizan dos tipos de objetos (hosts y servicios, y perfiles) como bloques de creación
para la configuración de reglas y políticas.
Introducción a las zonas e
interfaces en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Introducción a las zonas e interfaces en Sophos Firewall
DURACIÓN
8 minutos
Interfaces y zonas
Internet
LAN Zone
DMZ WAN Zone
LAN 2
Zona de servidores
hospedados
Zonas Las zonas se crean y administran en:
CONFIGURAR > zonas de > de red
AF [2]1
AF [2]1 There's a lot of audio for this slide so let's show and remove a pointer and summary for each zone type. Example
included for LAN.
Anne Fuller; 22/01/2022
Crear Zonas
Servicios de autenticación de
Acceso para gestionar Sophos clientes
Firewall
Tipos de interfaz
BRIDGE: Permite utilizar dos o más interfaces para crear una interfaz transparente de puente de
capa 2 o 3 para una comunicación fluida entre interfaces
VLAN: Una interfaz LAN virtual creada en una interfaz de Sophos Firewall existente, utilizada
cuando Sophos Firewall necesita realizar enrutamiento o etiquetado entre VLAN
LAG: Un grupo de interfaces que actúan como una sola conexión que puede
proporcionar redundancia y mayor velocidad entre dos dispositivos.
RED: Se utiliza para conectar los dispositivos Ethernet remotos de Sophos al firewall de Sophos
Diapositiva 141
EK1 In the audio, may want to pause to give the student time to read
Ed Korsgaard; 16/02/2022
RC17 For e-learning add a continue button for this slide so that students can read this and move on when they want
to.
Rebecca Cook; 21/02/2022
Interfaz Bridge
Alias
Una dirección IP adicional agregada a una
interfaz
LAG
Puede proporcionar redundancia y mayor
velocidad entre dos dispositivos
TUNNEL: Las interfaces de túnel se crean utilizando un tipo de VPN IPsec, que permite que
se use el enrutamiento estándar para enviar tráfico a través de la VPN
WiFi: Una red inalámbrica en la que el tráfico se enruta de vuelta al Sophos Firewall desde el
punto de acceso en lugar de directamente a la red a la que está conectado el punto de acceso
Simulación: Crear zonas e interfaces
https://training.sophos.com/fw/simulation/ZonesAndInterfaces/1/start.html
Question 1 of 1
¿En cuál de estas zonas se configura una interfaz con una puerta
de enlace?
LAN WAN
LAN WAN
Una zona es un grupo lógico de redes. Cada interfaz de firewall está asociada a una sola
zona, lo que significa que el tráfico se puede administrar mediante zonas
Las interfaces de red se asignan a una zona, que determina qué configuración IP
se puede configurar
Los tipos de túnel IPsec e interfaz inalámbrica se crean como parte de la configuración
de otras funciones en Sophos Firewall. Estos utilizan una configuración de zona
separada
Configuración avanzada de la
interfaz en Sophos Firewall
Sophos Firewall
Version: 19.5v1
Configuración avanzada de la interfaz en Sophos Firewall
DURACIÓN
9 minutos
Interfaces
Editar interfaz
Detección de la configuración del vínculo de la interfaz
Configuración de MTU y MSS
Interfaces de puente: filtrado VLAN
Activar el protocolo
de árbol de expansión
(STP)
Información adicional en
Interfaces de puente sin dirección IP las notas
VLANs
Crear múltiples interfaces VLAN en una sola interfaz física
Interfaz
y Zona
VLAN ID
Dirección IP para la
interfaz VLAN
Additional information in
Link Aggregation the notes
show network
Question 1 of 2
Desea mostrar la configuración de MTU para PortA. Has escrito
Mostrar red y un espacio. Ahora escriba el resto del comando.
Puede configurar la MTU y el MSS para las interfaces utilizando 'Configuración avanzada'
en el WebAdmin o desde la consola
Puede crear múltiples interfaces VLAN en una sola interfaz física y permitir el tráfico
etiquetado y no etiquetado en la misma interfaz física
LAG combina múltiples enlaces físicos en un solo enlace lógico para aumentar el ancho
de banda y hacer que la conmutación por error automática esté disponible
Introducción al enrutamiento
y SD-WAN en Sophos Firewall
Sophos Firewall
Version: 19.5v1
Introduction to Routing and SD-WAN on Sophos Firewall
In this chapter you will learn how RECOMMENDED KNOWLEDGE AND EXPERIENCE
to configure routing and SD-WAN Navigating and Managing the Sophos Firewall using
on Sophos Firewall. the WebAdmin
DURATION
20 minutes
Enrutamiento
Ruta predeterminada
Gateway
Red conectada
indirectamente
¿A dónde envío esto para llegar a
su destino?
Tipos de ruta configurable
ESTÁTICO SD-WAN DYNAMIC
El tipo más simple de Enrutamiento basado en Las rutas se aprenden
ruta configurable muchos atributos comunicándose con
Puede enrutar a una puerta
otros dispositivos de
Tráfico enviado a una de enlace específica enrutamiento en la red
puerta de enlace
específica basada Supervisión del estado de la
únicamente en el destino puerta de enlace
https://training.sophos.com/fw/simulation/StaticRoutes/1/start.html
Gateways Las puertas de enlace se configuran en:
CONFIGURAR > Enrutamiento > puertas de enlace
Gateways Las puertas de enlace se configuran en:
CONFIGURAR > Enrutamiento > puertas de enlace
Detalles de la puerta de
enlace
Static Routes
Precedencia
Rutas SD-WAN
ISP 1 ISP 2
Administrador de enlaces WAN Administrador de enlaces WAN configurado en:
CONFIGURAR > administrador de enlaces WAN de red > WAN
Administrador de enlaces WAN Administrador de enlaces WAN configurado en:
CONFIGURAR > administrador de enlaces WAN de red > WAN
Comportamiento de
conmutación por error y
conmutación por recuperación
Reglas para detectar puertas de
enlace activas fallidas
Perfiles SD-WAN
Latency 5ms
Latency 134ms
Latency 5ms
Latency 134ms
Dirección IP de origen
Dirección IP de destino
Dirección IP de origen y destino
Conexión
Perfiles SD-WAN
Personalizar la
configuración de
comprobación de estado
Perfiles SD-WAN
Perfiles SD-WAN
Perfiles SD-WAN
Demostración de perfiles SD-WAN
JUEGA LA PRIMERA DEMO DE AVAILBLE GATEWAY JUGAR PRIMERA DEMO DE EQUILIBRIO DE CARGA CONTINUE
8
Question 2 of 2
Coloque los tipos de ruta en el orden de prioridad predeterminado correcto
Rutas estáticas
Rutas VPN
SD-WAN Routes
VPN Routes
La prioridad de ruta predeterminada en Sophos Firewall son rutas estáticas, rutas SD-WAN, rutas VPN y, a
continuación, la ruta predeterminada. Las rutas estáticas se componen de redes conectadas directamente,
protocolos de enrutamiento dinámico y rutas de unidifusión estáticas.
El administrador de enlaces WAN se utiliza para administrar enlaces de Internet. Puede configurar
vínculos como activos o de copia de seguridad y personalizar la configuración de conmutación por error
y conmutación por recuperación y la supervisión del estado. Las puertas de enlace se utilizan para crear
puertas de enlace supervisadas por el estado para su uso con rutas y perfiles SD-WAN.
Los perfiles SD-WAN proporcionan administración de enlaces que le permiten definir estrategias de
enrutamiento a través de múltiples puertas de enlace, redireccionar el tráfico en función del rendimiento y
la estabilidad del enlace, optimizar el rendimiento de la red y garantizar la continuidad
Configuración avanzada de
enrutamiento en Sophos
Firewall
Sophos Firewall
Version: 19.5v1
Configuración avanzada de enrutamiento en Sophos
Firewall
En este capítulo aprenderá cómo CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
Sophos Firewall enruta el tráfico,
Configuración de rutas estáticas
cómo gestionar gateways y cómo Creación de puertas de enlace y rutas SD-WAN
configurar perfiles y rutas SD-
WAN.
DURACIÓN
30 minutos
Additional information in
Enrutamiento the notes
Static Routes
Precedencia
Redes Protocolos de
conectadas enrutamiento Rutas Rutas SSL
directamente dinámico Unicast VPN Precedencia de
ruta configurable
Rutas SD-WAN
1 2 3 4 5 6 7 8
Búsqueda de NAT Marque si hay una DNAT o NAT completo
para DNAT/reglas coincidencia para RTG según la regla que
coincide en # 3
NAT completas
o
Si el tráfico WAN sin Búsqueda de NAT para
Zona de destino PBR y sin marca RTG, la mejor coincidencia
actualizada según entonces marque SNAT o regla NAT
DNAT para MLM vinculada
PBR: Ruta basada en políticas (SD-WAN)
RTG: Ruta a través de la puerta de enlace
Enrutamiento de paquetes MLM: Gestión de enlaces múltiples
Coincidir cuando
Sophos Firewall
XG135_XN02_SFOS 18.0.0# ip rul ls
envía tráfico a sí
0: from all lookup local
mismo
51: from all fwmark 0x4002 lookup gw2
51: from all fwmark 0x4001 lookup gw1 Igualar PBR si está marcado
51: from all fwmark 0x4003 lookup gw3
Rutas estáticas que
53: from all lookup main
incluyen redes
estáticas, dinámicas
54: from all fwmark 0x200 lookup routeipsec0
y conectadas 150: from all fwmark 0x8002 lookup gw2
150: from all fwmark 0x8001 lookup gw1 RTG y MLM
directamente
150: from all fwmark 0x8003 lookup gw3
Direcciones IP de 151: from 192.168.254.1 lookup wanlink2
interfaz WAN 151: from 10.101.102.127 lookup wanlink1 Tráfico generado por el sistema
220: from all iif lo lookup 220 y VPN IPsec
221: from all lookup multilink
Añadido por Linux 32766: from all lookup main Sin marca
kernel 32767: from all lookup default MLM para el tráfico generado por el sistema
La mayoría del tráfico no pasa por este punto
Ruta predeterminada de IPv6
El tráfico generalmente no llegará a este punto
Enrutamiento de paquetes
multilink
default proto static
nexthop via 103.226.184.250 dev Port2_ppp weight 1
nexthop via 192.168.8.1 dev WWAN1 weight 1
Additional information in
Configuración de la prioridad de enrutamiento the notes
Puerta de enlace
activa o de copia
de seguridad
Prioridad de
puerta de enlace
Reglas de conmutación por error de WAN Link Manager
Backup Gateway
Activation method
Weight setting
Session handling
Informe de tráfico de WAN Link Manager
CONFIGURAR > Enrutamiento > puertas de enlace
Administrador de pasarela
CONFIGURAR > Enrutamiento > puertas de enlace
Administrador de gateway
Gateways
• Interfaces soportadas
• •Supported interfaces IPv4 IPv6
Static
DHCP
PPPoE
Bridge
LAG (Link Aggregation Group)
VLAN (Virtual LAN)
WWAN (Wireless WAN)
IPsec Tunnel (xfrm)
• •Unsupported interfaces
Interfaces no compatibles
o IPsec,
• IPsec, GRE,GRE, IP Tunnels,
IP Tunnels, SSL VPNSSL VPN site-to-site
site-to-site
Rutas SD-WAN
• El enrutamiento SD-WAN influye en las decisiones de la tabla de
enrutamiento
• Admite escenarios de enrutamiento avanzados
• Compatibilidad con gateway basada en interfaz y próximo salto
• Configurado mediante hosts de puerta de enlace y reglas de ruta SD-WAN
• Criterios de selección de tráfico basados en aplicaciones de usuario y grupo
• SD-WAN sincronizada
• Los perfiles SD-WAN seleccionan la puerta de enlace en función
de la calidad del enlace o las conexiones de equilibrio de carga
Perfiles SD-WAN
ROUND ROBIN Todo el tráfico se distribuye entre las puertas de enlace a su vez
PERSISTENCIA DE LA SESIÓN
DIRECCIÓN IP DE ORIGEN
El tráfico que tiene la misma dirección IP de origen y destino siempre
Y DIRECCIÓN IP DE
se envía a través de la misma puerta de enlace
DESTINO
1s
Probes
Intervalo entre
comprobaciones
Primer veredicto del SLA El enlace está caído El enlace está activo
Latencia: 150ms (5 respuestas consecutivas)
Jitter: 50ms (3 fallos consecutivos)
Latencia: 150ms
Pérdida: 0%
Jitter: 50ms
Pérdida: 0%
Comprobación de
SLA habilitado Comportamiento
estado habilitada
1Gbps
500Mbps
250Mbps
Perfiles SD-WAN
• El motor DPI admite rutas basadas en aplicaciones para todas las aplicaciones
• El proxy web heredado no admite rutas basadas en aplicaciones para
microaplicaciones
• Se admiten aplicaciones de patrones y aplicaciones de seguridad sincronizada
• Las rutas basadas en aplicaciones requieren una licencia activa de Web Protection
• Debe cumplirse una de las siguientes condiciones:
• La clasificación de aplicaciones está activada
• Se aplica una directiva de filtro de aplicaciones a la regla de firewall
• La aplicación forma parte de las firmas de descarga y fluye a través de snort
SD-WAN migró rutas de políticas IPv4 e IPv6
GATEWAY
SWITCH/
ROUTER 172.16.16.250
172.16.16.10
Zonas para puertas de enlace personalizadas
Zonas para puertas de enlace personalizadas
Zonas para puertas de enlace personalizadas
SFVUNL_HV01_SFOS 18.0.4 MR-4# conntrack -E | grep orig-dport=80
[NEW] proto=tcp proto-no=6 timeout=120 state=SYN_SENT orig-src=172.16.16.250
orig-dst=172.16.16.16 orig-sport=56060 orig-dport=80 [UNREPLIED] reply-
src=172.16.16.10 reply-dst=172.16.16.16 reply-sport=80 reply-dport=56060 mark=0x4001
id=3702756992 masterid=0 devin=PortA devout=PortA nseid=16777421 ips=0 sslvpnid=0
webfltid=0 appfltid=0 icapid=0 policytype=1 fwid=2 natid=4 fw_action=1 bwid=0 appid=0
appcatid=0 hbappid=0 hbappcatid=0 dpioffload=0x1 sigoffload=0 inzone=2 outzone=1
devinindex=5 devoutindex=5 hb_src=0 hb_dst=0 flags0=0x400a0000200008
flags1=0x50400800000 flagvalues=3,21,41,43,54,87,98,104,106 catid=0 user=0 luserid=0
usergp=0 hotspotuserid=0 hotspotid=0 dst_mac=00:15:5d:02:05:58
src_mac=00:15:5d:02:05:12 startstamp=1616516496 microflow[0]=INVALID
microflow[1]=INVALID hostrev[0]=0 hostrev[1]=0 ipspid=0 diffserv=0 loindex=5
tlsruleid=0 ips_nfqueue=1 sess_verdict=0 gwoff=0 cluster_node=0 current_state[0]=31
current_state[1]=0 vlan_id=0 inmark=0x8003 brinindex=0 sessionid=362
sessionidrev=27596 session_update_rev=2 dnat_done=3 upclass=0:0 dnclass=0:0
pbrid_dir0=3 pbrid_dir1=0 nhop_id[0]=65535 nhop_id[1]=65535 nhop_rev[0]=0
nhop_rev[1]=0 conn_fp_id=NOT_OFFLOADED
Question 1 of 2
¿Qué comando ejecutaría en la consola para ver qué tipo de rutas
se están procesando primero?
Question 1 of 2
¿Qué comando ejecutaría en la consola para ver qué tipo de rutas
se están procesando primero?
Sophos Firewall marca el tráfico entrante con las rutas correspondientes y la zona de
destino antes de aplicar DNAT. Las rutas se procesan en orden de precedencia antes de
aplicar SNAT
Sophos Firewall tiene el administrador de enlaces WAN para configurar el equilibrio y la
conmutación por error de los enlaces de Internet. También existe el administrador de
puertas de enlace para crear y administrar puertas de enlace personalizadas para el
enrutamiento SD-WAN.
Los perfiles SD-WAN proporcionan una selección de enlaces basada en la calidad y el
rendimiento del enlace mediante latencia, fluctuación, pérdida de paquetes o una
combinación de los tres. Las rutas SD-WAN proporcionan potentes opciones de selección
de tráfico, que pueden aprovechar los perfiles SD-WAN para la selección de enlaces
Resolución de problemas de
enrutamiento en Sophos
Firewall
Sophos Firewall
Version: 19.0v2
Resolución de problemas de enrutamiento en Sophos
Firewall
En este capítulo aprenderá cómo CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
Sophos Firewall enruta los
Enrutamiento y SD-WAN en Sophos Firewall
paquetes y cómo abordar la Uso de registros y captura de paquetes para ayudar
solución de problemas con el análisis de causa raíz
relacionados con el
enrutamiento.
DURACIÓN
17 minutos
Additional information in
Enrutamiento the notes
Rutas estáticas
Protocolos
Precedencia
Rutas SD-WAN
1 2 3 4 5 6 7 8
Marque si hay una DNAT o NAT completo
Búsqueda de NAT coincidencia para según la regla que
para DNAT/reglas RTG coincide en # 3
NAT completas o
Si el tráfico WAN sin Búsqueda de NAT para
Zona de destino PBR y sin marca la mejor coincidencia
actualizada según RTG, entonces SNAT o regla NAT
DNAT marque para MLM vinculada
PBR: Ruta basada en políticas
RTG: Ruta a través de la puerta de enlace
Enrutamiento de paquetes MLM: Gestión de enlaces múltiples
Coincidir cuando
Sophos Firewall XG135_XN02_SFOS 18.0.0# ip rule list
envía tráfico a sí 0: from all lookup local Seleccione la puerta de enlace
mismo o a una 50: from all fwmark 0x1001 lookup gw1 para la sonda de estado
dirección de difusión
50: from all fwmark 0x1002 lookup gw2
51: from all fwmark 0x4002 lookup gw2 Igualar PBR si está
Rutas estáticas que 51: from all fwmark 0x4001 lookup gw1 marcado
incluyen redes 53: from all lookup main
estáticas, dinámicas 54: from all fwmark 0x200 lookup routeipsec0
y conectadas 150: from all fwmark 0x8002 lookup gw2
directamente 150: from all fwmark 0x8001 lookup gw1 RTG y MLM
150: from all fwmark 0x8003 lookup gw3
Direcciones IP de 151: from 192.168.254.1 lookup wanlink2
interfaz WAN 151: from 10.101.102.127 lookup wanlink1
Tráfico generado por el sistema
220: from all iif lo lookup 220
y VPN IPsec
Añadido por Linux 221: from all lookup multilink
kernel 32766: from all lookup main
32767: from all lookup default
Sin marca
MLM para el tráfico generado por el sistema
Ruta predeterminada de IPv6 La mayoría del tráfico no pasa por este punto
El tráfico generalmente no llegará a este punto
Enrutamiento de paquetes
Multienlace
default proto static
nexthop via 103.226.184.250 dev Port2_ppp weight 1
nexthop via 192.168.8.1 dev WWAN1 weight 1
Enrutamiento de paquetes
SFVUNL_VM01_SFOS 19.0.0 EAP2-Build271# conntrack -L | grep 216.137.44
proto=tcp proto-no=6 timeout=116 state=LAST_ACK orig-src=192.168.250.37
orig-dst=216.137.44.126 orig-sport=50288 orig-dport=443 packets=9 bytes=953
reply-src=216.137.44.126 reply-dst=192.168.250.37 reply-sport=443 reply-
dport=50288 packets=9 bytes=5911 [ASSURED] mark=0x4005 use=1 id=3960153370
masterid=2924641482 devin= devout=PortG nseid=0 ips=0 sslvpnid=0 webfltid=13
appfltid=0 icapid=0 policytype=1 fwid=10 natid=2 fw_action=1 bwid=0 appid=100
appcatid=5 hbappid=0 hbappcatid=0 dpioffload=0x33 sigoffload=0 inzone=1
outzone=2 devinindex=0 devoutindex=11 hb_src=0 hb_dst=0
flags0=0x10c0020000280a0b flags1=0x90020a00000
flagvalues=0,1,3,9,11,19,21,41,54,55,60,85,87,93,104,107 catid=29 user=0
luserid=0 usergp=0 hotspotuserid=0 hotspotid=0 dst_mac=00:0c:29:ac:be:7e
src_mac=00:0c:29:7d:03:ef startstamp=1647594231 microflow[0]=INVALID
microflow[1]=INVALID hostrev[0]=0 hostrev[1]=0 ipspid=0 diffserv=0 loindex=0
tlsruleid=0 ips_nfqueue=0 sess_verdict=0 gwoff=0 cluster_node=0
current_state[0]=2992 current_state[1]=2992 vlan_id=0 inmark=0x0 brinindex=0
sessionid=796 sessionidrev=9536 session_update_rev=4 dnat_done=0 upclass=0:0
dnclass=0:0 pbrid[0]=4 pbrid[1]=0 profileid[0]=2 profileid[1]=0
conn_fp_id=NOT_OFFLOADED
Additional information in
Precedencia de ruta the notes
Link 2
SLA not met Sophos
Internet SLA not met Firewall
Link 3
267
Columnas del visor de registros SD-WAN
Visor de registros SD-WAN
Additional information in
Perfiles y puertas de enlace en los registros the notes
• El motor DPI admite rutas basadas en aplicaciones para todas las aplicaciones
• El proxy web heredado no admite rutas basadas en aplicaciones para micro
aplicaciones
• Se admiten aplicaciones de patrones y aplicaciones de seguridad sincronizada
• Las rutas basadas en aplicaciones requieren una licencia activa de Web Protección
• Debe cumplirse una de las siguientes condiciones:
• La clasificación de aplicaciones está activada
• Se aplica una directiva de filtro de aplicaciones a la regla de firewall
• La aplicación forma parte de las firmas de descarga y fluye a través de snort
Solución de problemas de enrutamiento de directivas basadas
en aplicaciones
ipset -L appset
SFVUNL_HV01_SFOS 18.0.1 MR-1-Build396# ipset -L appset
Name: appset
Type: bitmap:appset
Revision: 0
Header: size 20000
Size in memory: 640064
References: 1
Members:
APPSETID=10004,TYPE=app
family:IPv4,proto:tcp,dstip:13.227.223.100,dstport:80,srcip:any
,srcport:any
APPSETID=1,TYPE=appobj
appid
10004
Recursos de red inaccesibles 1
LON-GW1.SOPHOS.WWW
WAN IP: 10.1.1.100 & 10.3.3.100 (/24)
10.100.100.65 (/29)
10.1.1.250 (/24)
MPLS
10.2.2.250 (/24)
10.3.3.250 (/24) 10.100.100.70 (/29)
Sumamente
Rutas de políticas de SD-WAN Arrastre aquí
Precedencia
Menor
Rutas estáticas Arrastre aquí
Precedencia
Question 1 of 3
Organice las rutas en orden de prioridad predeterminada, con la
prioridad más alta en la parte superior.
Sumamente
Drag herede estado
Rutas de comprobación
Precedencia
Rutas
Dragestáticas
here
Rutas VPN
Drag here
Menor
Ruta predeterminada
Drag here
Precedencia
Question 2 of 3
¿Qué comando ejecutaría en la consola para ver qué tipo de rutas
se están procesando primero?
Question 2 of 3
¿Qué comando ejecutaría en la consola para ver qué tipo de rutas
se están procesando primero?
Lista de reglas IP
Chapter Review
La prioridad de ruta predeterminada son las rutas de comprobación de estado, las rutas estáticas, las rutas
de políticas SD-WAN, las rutas VPN y, a continuación, la ruta predeterminada derivada del equilibrio de
puertas de enlace activas
Sophos Firewall
Version: 19.0v2
Configuración de DNS y DHCP en Sophos Firewall
DURACIÓN
5 minutos
DNS en Sophos Firewall
Seleccione cómo
Sophos Firewall
obtiene servidores
DNS
Configurar hasta
tres servidores
DNS para IPv4 e
IPv6
Servidor DNS
https://training.sophos.com/fw/simulation/ConfigureDNS/1/start.html
DNS dinámico El DNS dinámico se configura en:
CONFIGURAR > red > DNS dinámico
Servidor DHCP DHCP está configurado en:
CONFIGURAR > red > DHCP
3
Question 2 of 2
Tiene un servidor DHCP existente. ¿Qué configuración permite a
Sophos Firewall reenviar solicitudes de arrendamiento a esto?
Relay
Question 2 of 2
Tiene un servidor DHCP existente. ¿Qué configuración permite a
Sophos Firewall reenviar solicitudes de arrendamiento a esto?
Relay
Chapter Review
Los servidores DNS se pueden asignar a Sophos Firewall mediante DHCP, desde la
configuración de la interfaz PPPoE y manualmente
Las rutas de solicitud DNS definen qué servidor DNS se debe usar para buscar hosts en el
dominio seleccionado
Sophos Firewall puede proporcionar DHCP a cualquier red que esté conectada a él.
También puede pasar solicitudes a otro servidor DHCP.
Gestión del acceso a
dispositivos y certificados en
Sophos Firewall
Sophos Firewall
Version: 19.0v1
Gestión del acceso a dispositivos y certificados en Sophos
Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
controlar el acceso a los servicios
Navegación y gestión de Sophos Firewall mediante
de administración y agregar un WebAdminSophos
certificado para reemplazar el
predeterminado
'ApplianceCertificate'.
DURACIÓN
10 minutos
Controlar el acceso a los servicios locales
BEST PRACTICES
Regla de excepción de ACL de servicio local
2 Self-Signed Create a self-signed certificate that will be signed by the ‘Default’ signing CA
Generar certificado
firmado localmente
Direcciones IP utilizadas
para SAN
Certificados Los certificados se pueden ver en:
SISTEMA > Certificados > Certificados
Seleccione un certificado
Autoridades de certificación de verificación
• Incluye certificados para CA raíz de Internet de confianza comunes
• Cargar certificado para CA adicionales
•
Simulación: Importar certificados de CA
https://training.sophos.com/fw/simulation/ImportCACertificates/1/start.html
Firma de entidades emisoras de certificados
Dos Cas de firma predeterminadas:
• Valor predeterminado: se usa para crear certificados
• SecurityApplicance_SSL_CA: Se utiliza para el escaneo HTTPS y las conexiones TLS/SSL de correo electrónico.
Subir Cas adicionales:
• Proporcionar certificado y clave privada
• Se puede seleccionar para su uso en la protección web y de correo electrónico.
Simulación: Despliegue de certificados de CA de Sophos
Firewall
En esta simulación, descargará los
certificados de CA de Sophos
Firewall y los desplegará mediante
la directiva de grupo de Active
Directory.
https://training.sophos.com/fw/simulation/DeployCertificates/1/start.html
Question 1 of 2
¿Cuáles de estos se definen como "Servicios de administración" en
el acceso al dispositivo?
HTTPS SNMP
SSH Ping/Ping6
Question 1 of 2
¿Cuáles de estos se definen como "Servicios de administración" en
el acceso al dispositivo?
HTTPS SNMP
SSH Ping/Ping6
Question 2 of 2
Desea que un certificado esté firmado por una empresa de
terceros. ¿Qué opción elegir?
Sophos Firewall actúa como una autoridad de certificación con dos CA firmantes.
'Default' crea y firma certificados. 'SecurityAppliance_SSL_CA' crea certificados utilizados
en el escaneo web HTTPS y protege las conexiones de correo electrónico TLS/SSL
Consideraciones para
configurar el acceso a
dispositivos en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Consideraciones para configurar el acceso a dispositivos
en Sophos Firewall
En este capítulo aprenderá cómo CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
proteger el acceso administrativo
Uso de la página Acceso a dispositivos para
a Sophos Firewall y configurar administrar las zonas a las que se permite el acceso
cuándo se requiere CAPTCHA a los servicios de administración
para iniciar sesión.
DURACIÓN
10 minutos
Administración Web
SSH Console
Credenciales
predeterminadas
Nombre de usuario: admin
Contraseña: admin
Esto se cambia como parte del
asistente de configuración inicial
Additional information in
Autenticación de clave pública SSH the notes
Red de origen/host y
host de destino
Servicios
Reglas de excepción de ACL de servicio local
Protección del acceso administrativo
CAPTCHA se puede habilitar o deshabilitar para VPN y zona WAN o solo para la zona VPN
console> system captcha-authentication-global show
Captcha authentication status:
Webadmin console: enabled
User portal: enabled
console> system captcha-authentication-vpn disable
Are you sure you want to disable captcha authentication when they are exposed on
the VPN zone (Y/N) ?
y
Captcha authentication for the webadmin and user portal is disabled on the VPN
zone
console> system captcha-authentication-vpn enable
Captcha authentication for the webadmin and user portal is enabled on VPN zone
Configuración CAPTCHA
CAPTCHA se puede habilitar o deshabilitar para el portal de usuario y la consola de administración web por separado o juntos
LAN DMZ
WAN VPN
WiFi
Question 3 of 3
¿Cuáles de estas zonas tienen CAPTCHA habilitado de forma
predeterminada?
LAN DMZ
WAN VPN
WiFi
Chapter Review
Puede habilitar y deshabilitar el CAPTCHA globalmente, tanto para la zona WAN como
para la VPN, o solo para la zona VPN. La configuración se gestiona a través de la consola
Introducción a la
configuración del tráfico en
Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuración del tráfico de red en Sophos Firewall
DURATION
8 minutes
Conformación del tráfico
Limite el ancho de banda de las aplicaciones de gran ancho de banda no críticas para el negocio
Sophos Firewall
Version: 19.0v2
Introducción al firewall y las reglas NAT en Sophos Firewall
DURACIÓN
17 minutos
Reglas de firewall
Propiedades de la
regla
Creación de reglas de firewall
Criterios de
coincidencia
Creating Firewall Rules
Exclusiones
Creación de reglas de firewall
NAT vinculada
Creación de reglas de firewall
Características de
seguridad
Simulación: Crear una regla de firewall
https://training.sophos.com/fw/simulation/FirewallRule/1/start.html
Administración de reglas de firewall
Administración de reglas de firewall
Rule position Rule ID
Cualquier
Usuario/red
Red
Usuario
WAF
Reglas NAT
Criterios coincidentes
Traducciones
Criterios coincidentes
Anular la traducción de
origen para interfaces
de salida específicas
Escenario SNAT enmascarado
WAN: Port2
LAN: VLAN33
DMZ: Port6
LAN: Port1
Regla SNAT predeterminada
Translation
Matching criteria
Simulación: Configurar reglas NAT
En esta simulación, eliminará la
regla NAT vinculada para la regla de
firewall predeterminada,
desvinculará la regla NAT para la
protección del correo electrónico y
creará una regla NAT para el tráfico
MPLS.
https://training.sophos.com/fw/simulation/NatRule/1/start.html
Escenario DNAT
IP address: 172.30.30.50
Zone: DMZ
Client Server
Sophos Firewall
Dirección IP de #Port2
Port: 80
Asistente de acceso al servidor (DNAT)
Asistente de acceso al servidor (DNAT)
Asistente de acceso al servidor (DNAT)
Regla de firewall DNAT
Zone of internal
server
Reglas DNAT
Políticas reflexivas y de bucle invertido
Política reflexiva Política de bucle invertido
SNAT
(Mascarada) app.sophostraining.xyz
app.sophostraining.xyz SNAT
Application
Servidor Server
Aplicación
Usuario Interno
Interno Usuario
Simulación: Crear una regla DNAT mediante el Asistente de
acceso al servidor
https://training.sophos.com/fw/simulation/DnatRule/1/start.html
Question 1 of 5
VERDADERO o FALSO: Las reglas NAT se procesan en orden de
arriba a abajo.
VERDADERO FALSO
Question 1 of 5
VERDADERO o FALSO: Las reglas NAT se procesan en orden de
arriba a abajo.
FALSO
VERDADERO
Question 2 of 5
Haga coincidir el icono del firewall con la descripción.
VERDADERO FALSO
Question 3 of 5
VERDADERO o FALSO: Se evalúan todas las reglas del cortafuegos y
se utiliza la mejor coincidencia.
VERDADERO FALSO
Question 4 of 5
¿Cuáles de los siguientes 3 criterios coinciden que Sophos Firewall
utiliza para asignar automáticamente reglas de firewall a grupos?
Pre-NAT Post-NAT
Question 5 of 5
Complete la oración a continuación:
Al crear una regla de firewall para DNAT, seleccione
La zona de destino ______.
Pre-NAT Post-NAT
Revisión del capítulo
Las reglas de firewall y NAT se procesan en orden y se utiliza la primera regla para que
coincida
Las reglas de firewall del tráfico DNAT utilizan la zona post-NAT y la dirección IP pre-NAT
Gestión avanzada de reglas de
firewall en Sophos Firewall
Sophos Firewall
Version: 19.5v1
Advanced Firewall Rule Management on Sophos Firewall
DURACIÓN
28 minutos
Additional information in
Marco de firewall the notes
5. Filtro
1. Procesamiento de paquetes RAW
6. Falta de
2. Conntrack 7. Filtro
3. Falta de 8. Conntrack
4. DNAT
9. NAT
Tables
Filtro de paquetes
NAT
Additional information in
Marco de firewall the notes
SSLVPN
Access
Server
Filtro de paquetes
Proxy
Proxy
HTTP
IPsec
WAF
Mail
AV
NAT
Arquitectura Xstream
FastPath
• FastPath virtual o acelerado por hardware
• Reenvío de paquetes – descarga L2 y L3
• Entrega directa al motor DPI
Descarga completa de FastPath
Pila de cortafuegos Motor DPI
• Gestión de conexiones • Procesamiento de DPI de transmisión
• Permitir, bloquear, asegurar decisiones • Descarga inteligente
• DoS y QoS • Filtrado web sin proxy
• Política e inspección de SSL
FastPath
• FastPath virtual o acelerado por hardware
• Reenvío de paquetes – descarga L2 y L3
• Entrega directa al motor DPI
•
Entrega inicial de paquetes al motor DPI
Pila de cortafuegos Motor DPI
• Gestión de conexiones • Procesamiento de DPI de transmisión
• Permitir, bloquear, asegurar decisiones • Descarga inteligente
• DoS y QoS • Filtrado web sin proxy
• Política e inspección de SSL
FastPath
• FastPath virtual o acelerado por hardware
• Reenvío de paquetes – descarga L2 y L3
• Entrega directa al motor DPI
•
Descarga de firewall
Pila de cortafuegos Motor DPI
• Gestión de conexiones • Procesamiento de DPI de
• Permitir, bloquear, asegurar transmisión
decisiones • Descarga inteligente
• DoS y QoS • Filtrado web sin proxy
• Política e inspección de SSL
FastPath
• FastPath virtual o acelerado por hardware
• Reenvío de paquetes – descarga L2 y L3
• Entrega directa al motor DPI
Descarga completa de FastPath
Pila de cortafuegos Motor DPI
• Gestión de conexiones • Procesamiento de DPI de
• Permitir, bloquear, asegurar transmisión
decisiones • Descarga inteligente
• DoS y QoS • Filtrado web sin proxy
• Política e inspección de SSL
FastPath
• Virtual or hardware accelerated FastPath
• Forwarding packets – offloading L2& L3
• Direct delivery to DPI engine
Descarga de FastPath
Motor DPI
App
TLS /
IPS AV
SSL
Web
Camino lento Camino lento
DoS VPN FW Adquisición de datos (DAQ) VPN QoS
FastPath
Descarga de FastPath
Flujo clasificado
Descargar DoS, VPN
y acciones de DPI Engine
firewall
App
TLS /
IPS AV
SSL
Web
Camino lento Camino lento
DoS VPN FW Adquisición de datos (DAQ) VPN QoS
FastPath
Descarga de FastPath
DPI Engine
App
TLS /
IPS AV
SSL
Web
Camino lento Camino lento
DoS VPN FW Adquisición de datos (DAQ) VPN QoS
Motor DPI
App
TLS /
IPS AV
SSL
Web
Camino lento Camino lento
DoS VPN FW Adquisición de datos (DAQ) VPN QoS
Procesami
ento de
FastPath
Procesador Xstream Flow
CPU
IPS
DAQ DAQ
IPS API
SlowPath
PCI Express
FP2SP API
SP2FP API
FastPath
Procesador Xstream Flow
Flujo FastPath de la serie XGS | Paquetes iniciales
CPU
IPS
DAQ DAQ
Programa FastPath con
información de estado relevante
por ejemplo, GOTO IPS
IPS API
SlowPath
PCI Express
FP2SP API
SP2FP API
FastPath
Xstream Flow Processor
Flujo FastPath de la serie XGS | Descarga de FastPath a IPS
CPU
IPS
DAQ DAQ
IPS API
SlowPath
PCI Express
FP2SP API
SP2FP API
FastPath
Xstream Flow Processor
Flujo FastPath de la serie XGS | Descarga de FastPath a IPS
CPU
Update connection verdict
e.g., CUT THROUGH IPS
DAQ DAQ
IPS API
SlowPath
PCI Express
FP2SP API
SP2FP API
FastPath
Xstream Flow Processor
Flujo FastPath de la serie XGS | Descarga de FastPath
CPU
IPS
DAQ DAQ
IPS API
SlowPath
PCI Express
FP2SP API
SP2FP API
FastPath
Xstream Flow Processor
Flujo FastPath de la serie XGS | Volver a SlowPath
CPU
IPS
DAQ DAQ
IPS API
SlowPath
PCI Express
FP2SP API FastPath puede actualizar
SlowPath para devolver
SP2FP API una conexión
FastPath
Xstream Flow Processor
Descarga de TLS FastPath
DPI Engine
App
TLS IPS AV
Web
SlowPath SlowPath
DoS VPN FW Adquisición de datos (DAQ) VPN QoS
FastPath
Tráfico que coincide con una Tráfico que coincide con IPS
regla de firewall sin procesos reglas habilitadas con
DPI habilitados SophosLabs descargar firmas
Tráfico que coincide con una Tráfico que coincide con IPS
regla de firewall sin procesos reglas habilitadas con
DPI habilitados SophosLabs descargar firmas
Tráfico que coincide con una Tráfico que coincide con IPS
regla de firewall sin procesos reglas habilitadas con
DPI habilitados SophosLabs descargar firmas
Tráfico que coincide con una Tráfico que coincide con IPS
regla de firewall sin procesos reglas habilitadas con
DPI habilitados SophosLabs descargar firmas
Guest
Wi-Fi
WAN
LAN
Escenario 1 - Reglas
Escenario 1 - Reglas
Escenario 1 - Reglas
Escenario 1 - Reglas
Escenario 2 - Introducción
Users
VLAN DMZ
Guest
VLAN
WAN
Employee
Wi-Fi Server VoIP
VLAN VLAN
Escenario 2 - Reglas
A rule to allow servers in the server VLAN to access the Internet for updates
A rule to allow guests to access the Internet over the guest VLAN
A rule to allow LAN to DMZ access so employees can use the shared resources
A rule to allow servers in the server VLAN to access the Internet for updates
A rule to allow guests to access the Internet over the guest VLAN
Cuanto más específica sea la Cuanto más amplia sea la Todas las reglas permitidas
regla, más cerca de la parte regla, más cerca de la parte creadas solo para iniciar sesión
superior debería estar superior debería estar deben estar en la parte superior
Cuanto más específica sea la Cuanto más amplia sea la Todas las reglas permitidas
regla, más cerca de la parte regla, más cerca de la parte creadas solo para iniciar sesión
superior debería estar superior debería estar deben estar en la parte superior
Drag here
Drag here
Drag here
Drag here
Drag here
Question 2 of 2
jmEl orden correcto se muestra a continuación
Drag here
Drag here
Drag here
Drag here
Drag here
Revisión del capítulo
FastPath puede descargar tráfico para aumentar la velocidad de las conexiones, pero
no todo el tráfico se descargará. Se pueden crear reglas de firewall para maximizar la
cantidad de tráfico descargado en FastPath
Las reglas de firewall se pueden ordenar para el rendimiento y la protección. Los grupos
de reglas de firewall pueden ayudar a organizar dispositivos que tienen muchas reglas
Las reglas generales son; Cuanto más específica sea la regla, más cerca de la parte
superior debería estar la regla, las reglas que se procesan con más frecuencia deberían
estar por encima de otras reglas y, a menos que sea un cajón de sastre, las reglas de
denegación deben estar en la parte superior por seguridad.
Resolución de problemas de
reglas de firewall en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Resolución de problemas de reglas de firewall en Sophos
Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
solucionar problemas comunes
Creación y administración de reglas de firewall
con la configuración de reglas de Uso de la CLI y el Shell avanzado para la solución de
firewall en Sophos Firewall. problemas
DURACIÓN
7 minutos
Solución de problemas de reglas de firewall
Policy Type
1: Network Firewall Rule
2: Firewall Rule with User Matching
3: Web Server Protection Rule
Los servidores no pueden descargar actualizaciones 2
Los servidores no pueden descargar actualizaciones 2
Los servidores no pueden descargar actualizaciones 3
Herramientas adicionales
Herramientas adicionales
Regla de firewall de
Regla de firewall de
Regla de firewall de red protección de servidor
usuario
web
Question 1 of 1
En el visor de registros puede ver qué tipo de regla de firewall se
está emparejando; red, usuario o servidor web. ¿Qué tipo de regla
coincidiría si el tipo de directiva fuera 2?
Regla de firewall de
Regla de firewall de
Regla de firewall de red protección de servidor
usuario
web
Revisión del capítulo
L
as causas más comunes de problemas de reglas de firewall son el orden de las reglas, la
configuración de las reglas y las directivas aplicadas a la regla.
El visor de registros muestra qué tipo de regla de firewall coincide, una regla de red, una
regla de usuario o una regla de protección de servidor web
Configuración avanzada de
NAT en Sophos Firewall
Sophos Firewall
Version: 19.0v2
Configuración de NAT empresarial en Sophos Firewall
DURATION
15 minutos
Configuración de NAT
1 2 3 4 5 6 7
DNAT o NAT completo
La zona de
según la regla que
destino se
coincide en # 3
cambiará según la
o
regla DNAT si
Búsqueda de NAT para la
coincide en #3
mejor coincidencia SNAT
o regla NAT vinculada
Additional information in
Tipos de NAT admitidos the notes
Política reflexiva
Un clic en la interfaz de usuario Equilibrio de carga NAT
Permite que el tráfico atraviese la NAT en la Round robin, aleatorio, IP pegajosa, primero
dirección opuesta vivo, uno a uno
Configuración de NAT
WAN: Port2
LAN: VLAN33
DMZ: Port6
LAN: Port1
Regla SNAT predeterminada
Traducción
Criterios
coincidentes
Escenario DNAT
IP address: 172.30.30.50
IP address of #eth1 Port: 4567
Port: 80 Zone: DMZ
Client Server
Sophos Firewall
Escenario DNAT
REGLA DE FIREWALL REGLA NAT
Regla NAT reflexiva
SNAT
(Mascarada)
app.sophostraining.xyz
Aplicación
Servidor
Interno
Usuario
Políticas reflexivas y de bucle invertido
Regla NAT de bucle invertido
SNAT app.sophostraining.xyz
Application
Server
Internal
User
Políticas reflexivas y de bucle invertido
Escenarios NAT
NTP Proxy Aplicación del servidor DNS
• Para las reglas NAT vinculadas, el criterio de coincidencia es el ID de regla del firewall
• Esto también tiene en cuenta los usuarios y las restricciones de programación.
• Cuando se migra desde v17.5, se conserva todo el orden de reglas para firewall y NAT
Cosas para recordar...
• Las directivas NAT de invalidación/NAT específicas de la puerta de enlace no forman parte de la regla
NAT
• Usar la opción Anular la traducción de origen desde interfaces de salida específicas
SITIO A SITIO B
172.16.16.16 MPLS 192.168.16.16
10.250.1.1 10.250.1.2
172.16.16.10
Domain Controller
STAS
VERDADERO FALSO
Question 1 of 2
VERDADERO o FALSO: Las reglas DNAT tienen prioridad sobre el
acceso al dispositivo.
VERDADERO FALSO
Question 2 of 2
Haga coincidir el tipo de regla NAT con su descripción.
Política de bucle
invertido
Regla reflexiva
Puede utilizar directivas NAT locales para establecer la dirección IP de origen para el
tráfico generado por el sistema a destinos seleccionados
Resolución de problemas de
reglas NAT en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Troubleshooting NAT Rules on Sophos Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
solucionar problemas de
Creación y administración de reglas NAT
configuración comunes con Uso de la CLI y el Shell avanzado para la solución de
reglas NAT. problemas
DURATION
8 minutos
Proceso NAT
Coincidencia de
Búsqueda de NAT reglas de firewall
para DNAT/reglas realizada en la zona
NAT completas post-NAT y la IP pre-
NAT
Packet Packet
Marking NAT Lookup Zone DNAT Firewall NAT
Arrives Delivered
1 2 3 4 5 6 7
Destination zone DNAT or Full NAT
will be changed as per rule
as per DNAT rule matched in #3
if matched in #3 or
NAT lookup for
the best match
SNAT or linked
NAT rule
Additional information in
Solución de problemas de reglas NAT the notes
Main Menu
1. Network Configuration
2. System Configuration
3. Route Configuration
4. Device Console
5. Device Management
6. VPN Management
7. Shutdown/Reboot Device
0. Exit
Post-NAT Pre-NAT
Question 1 of 2
Al crear una regla de firewall para permitir el tráfico que coincide
con una regla DNAT, ¿qué IP de destino se debe usar?
Post-NAT Pre-NAT
Question 2 of 2
¿Cuáles de las siguientes instrucciones son VERDADERAS si tiene una entrada de registro de firewall que
incluye log_component="Acceso al dispositivo"?
Las causas más comunes de problemas con las reglas NAT son el orden de las reglas, la
configuración de reglas y las reglas de firewall para permitir el tráfico NATed
Al solucionar problemas de reglas NAT, comience por identificar qué reglas NAT y firewall
coincidían
Sophos Firewall
Version: 19.0v1
Configuring TLS Decryption on Sophos Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
configurar el descifrado TLS para
Uso de WebAdmin para configurar reglas y
el tráfico que pasa a través de directivas
Sophos Firewall.
DURACIÓN
8 minutos
TLS Inspection Rules
• Decrypt
• Do not decrypt Certificate, protocol
• Deny and cipher settings
Match on categories
and websites
Reglas de inspección TLS
Ejemplo de regla TLS catch-all
Configuración de inspección TLS
Perfiles de descifrado Los perfiles de descifrado se configuran en:
SYSTEM > Profiles > Decryption profiles
Perfiles de descifrado
Perfiles de descifrado
Simulación: Crear una regla de inspección TLS en Sophos
Firewall
https://training.sophos.com/fw/simulation/TlsRule/1/start.html
Question 1 of 2
¿Dónde excluiría un sitio web de la inspección TLS?
Las exclusiones de inspección TLS se administran mediante grupos de URL web. Hay dos
grupos de URL de forma predeterminada, uno administrado localmente y otro
administrado por Sophos
Los perfiles de descifrado contienen la configuración para las CA de firma que se deben
usar, cómo administrar el tráfico no descifrable y qué conexiones se bloquearán en
función de los errores, el tamaño de la clave y los algoritmos.
Configuración del tráfico de
red en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuración del tráfico de red en Sophos Firewall
DURATION
7 minutos
Modelado del tráfico de red
Directiva de configuración
Web Control de tráfico Reglas de firewall
predeterminada
Question 1 of 2
Antes de aplicar una política de configuración de tráfico, ¿qué
debe configurarse en el firewall de Sophos?
Directiva de configuración
Web Control de tráfico Reglas de firewall
predeterminada
Question 2 of 2
TRUE o FALSE: una directiva basada en el usuario no se puede
aplicar a los grupos
Verdadero Falso
Question 2 of 2
TRUE o FALSE: una directiva basada en el usuario no se puede
aplicar a los grupos
Verdadero Falso
Revisión del capítulo
Las políticas de configuración de tráfico pueden dirigirse al tráfico de red o a los usuarios
Sophos Firewall
Version: 19.0v1
Introducción a la prevención de intrusiones en Sophos
Firewall
CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
En este capítulo aprenderá a
habilitar y configurar los ajustes Uso de Sophos Firewall WebAdmin para configurar
básicos de prevención de políticas
intrusiones en Sophos Firewall.
DURACIÓN
10 minutos
Descripción general de la prevención de intrusiones
ATTACKER
SERVERS
Detectar y bloquear el tráfico
malicioso y mal formado
procedente de equipos de la
red
ORDENADOR COMPROMETIDO
Habilitación de IPS
Políticas IPS listas para usar Las directivas IPS se configuran en:
PROTECT > Intrusion prevention > IPS policies
Creación de directivas IPS
Máximo 15 caracteres
Free-text filter
https://training.sophos.com/fw/simulation/IpsPolicy/1/start.html
Protección contra falsificaciones
IPS
Drag
Policies
here Protege contra exploits y tráfico mal formado.
Question 2 of 2
¿Qué 2 cosas debe hacer para usar las políticas IPS?
Seleccionar una
Crear una nueva
directiva IPS en una
directiva IPS
regla de firewall
Seleccionar una
Crear una nueva
directiva IPS en una
directiva IPS
regla de firewall
Las directivas IPS son una lista ordenada de reglas. Cada regla contiene una o más firmas,
y las firmas se pueden seleccionar automáticamente para la regla mediante filtros. Cada
regla también tiene una acción
Para usar directivas IPS, IPS debe habilitarse mediante el conmutador y se debe aplicar
una directiva a una regla de firewall
Configuración avanzada de
Sophos Firewall IPS
Sophos Firewall
Version: 1.0v1
Configuración avanzada de Sophos Firewall IPS
DURACIÓN
13 minutos
Sistema de prevención de intrusiones (IPS)
Computer Internet
Módulo IPS
App
TLS /
IPS AV
SSL
Web
Camino lento Camino lento
DoS VPN FW Adquisición de datos (DAQ) VPN QoS
DPI Engine
App
TLS /
IPS AV
SSL
Web
Camino lento Camino lento
DoS VPN FW Data Acquisition (DAQ) VPN QoS
IPS se puede utilizar para inspeccionar cualquier tráfico que pase a través de Sophos Firewall
Para un rendimiento óptimo, cree directivas IPS personalizadas basadas en el tráfico que se
inspecciona
Ajuste fino de IPS
NOTA: El comando deshabilita TODAS las directivas incluidas en el módulo de directiva estricta
Question 1 of 2
Al crear una directiva IPS, ¿de qué 3 de las siguientes formas se
pueden seleccionar las firmas?
Las directivas IPS predeterminadas están diseñadas para cubrir una amplia gama de
escenarios y, por lo tanto, no están optimizadas.
Cada regla de firewall debe tener su propia directiva IPS personalizada que solo incluya
las firmas de los servicios y hosts que la utilizarán.
Al crear una nueva directiva IPS, puede clonar reglas de una directiva existente para
agilizar el proceso
Activación de la protección
avanzada contra amenazas en
Sophos Firewall
Sophos Firewall
Version: 19.0v1
Activación de la protección avanzada contra amenazas en
Sophos Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
habilitar la protección avanzada
El papel de Advanced Threat Protection (ATP) en la
contra amenazas y a revisar los cadena de ataque de muerte, bloqueando el tráfico
detalles de las detecciones. saliente a los servidores de comando y control
DURATION
5 minutes
Descripción general de Advanced Threat Protection (ATP)
Registrar y soltar
Solo registro
Exclusiones
Configuración de Advanced Threat Protection
Alertas avanzadas de protección contra amenazas
Alertas avanzadas de protección contra amenazas
Informe de protección contra amenazas avanzadas
Control Center
Simulación: Habilitación de la protección avanzada contra
amenazas
https://training.sophos.com/fw/simulation/Atp/1/start.html
Question 1 of 1
¿Qué 2 acciones se puede configurar ATP para realizar cuando
detecta tráfico a un servidor de comando y control?
La protección avanzada contra amenazas, o ATP, utiliza datos de todos los servicios
habilitados en Sophos Firewall para detectar equipos comprometidos en la red que se
conectan a servidores de comando y control
ATP se puede configurar para inspeccionar solo contenido procedente de fuentes que no
son de confianza o que van a destinos que no son de confianza, o para inspeccionar todo
el contenido
Resolución de problemas de
alertas ATP en Sophos Firewall
Sophos Firewall
Version: 19.0v2
Resolución de problemas de alertas ATP en Sophos
Firewall
En este capítulo aprenderá qué CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
hacer cuando recibe alertas de
Habilitación de la protección avanzada contra
ATP. amenazas
DURATION
3 minutos
Detecciones de ATP 1
Detalles de detección 2
Consulte el sitio web de Sophos 2
Additional information in
Corregir la causa de la detección the notes 3
Sophos Firewall
Version: 19.0v1
Introducción a Security Heartbeat en Sophos Firewall
DURATION
10 minutos
Latido del corazón de seguridad
Comunicación inteligente entre los endpoints gestionados de Sophos
Central y Sophos Firewall
Los ordenadores deben estar conectados a la red local o a Sophos Firewall a través de una VPN
¿Cómo funciona Security Heartbeat?
Internet
PROTEGIDO PROTEGIDO
Sophos Firewall
Sophos Firewall
Switch
PROTECTED PROTECTED
Estado de salud
Información del
3. Endpoint informa de
rojo
proceso
2. Sophos Firewall envía un información adicional a
mensaje al endpoint para Sophos Firewall
cambiar su estado de
mantenimiento a rojo
Laptop
Registro en Sophos Central
SISTEMA > Sophos Central
Registro en Sophos Central
Configuración de Security Heartbeat
https://training.sophos.com/fw/simulation/Heartbeat/1/start.html
Question 1 of 3
Si desea configurar Security Heartbeat, ¿qué es lo primero que
debe hacer?
Nombre de usuario y
OTP
contraseña
Certificado ACL
Question 3 of 3
¿Qué 2 formas puede registrar Sophos Firewall con Sophos
Central?
Certificado ACL
Chapter Review
El tráfico de los puntos finales con un estado de mantenimiento RED se puede bloquear si pasa a través del
firewall. Para evitar el movimiento lateral, el firewall compartirá las direcciones MAC de los dispositivos
con un estado de salud ROJO con todos los demás dispositivos con los que tenga latidos.
Sophos Firewall
Version: 19.0v1
Gestión e implementación de Security Heartbeat en
Sophos Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
administrar Security Heartbeat y
Requisitos para Security Heartbeat
lo que debe tener en cuenta al Registro en Sophos Central y configuración de
implementarlo en un entorno de Security Heartbeat
producción.
DURACIÓN
28 minutos
Latido de seguridad con Sophos Firewall
• Latido: unos pocos bytes cada 15 segundos
Comunicación entre Sophos • Eventos
Firewall y los endpoints • Estado de salud
gestionados por Central • Información sobre el origen de amenazas
• Autenticación
VERDE El agente de punto final se está ejecutando. No se detectó malware o PUAs activas o inactivas
AMARILLO El agente de punto final se está ejecutando. Se ha detectado malware inactivo o PUA
Es posible que el agente de punto final no se esté ejecutando y que los dispositivos no estén protegidos. Malware
ROJO activo, malware no limpiado, tráfico de red malicioso o comunicación con hosts malos conocidos
Cómo funciona Security Heartbeat
No se puede eliminar el tráfico basado en la Sophos Firewall puede bloquear el acceso a
dirección MAC y no está protegido por otras redes y compartir la dirección MAC
Sophos Firewall del ordenador con estado de estado rojo
Switch con puntos finales en buen estado
Router
El
Internet
autoaislamie Sophos Firewall
nto se puede
habilitar en Switch Router
Sophos Switch
Protegido
Central
Protegido
Computer with
red health status
Latido de seguridad con Sophos Firewall
• Los brokers de Sophos Central confían entre el ordenador y el cortafuegos
• Cualquier equipo administrado puede latir con cualquier firewall registrado
Sophos Computer
Firewall Aquí está su certificado Sophos Estas son las CA para los certificados
Esta es la dirección IP y el puerto del Central de Sophos Firewall
latido Esta es una lista de Sophos Firewalls
Esta es una lista de identificadores registrados
para los equipos que administro y sus Esta es la dirección IP y el puerto del
certificados de cliente latido
Establecimiento de una conexión de latido de seguridad
Hola Computadora
Establecimiento de una conexión de latido de seguridad
Computer B
https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-
us/webhelp/onlinehelp/nsg/sfos/cliGuide/concepts/SystemCommands.html#concept_udr_4z5_k5__section_tyn_bdl_t4b
Indicadores de reglas de firewall
Enlace a
Usuario y equipo con la alerta
Sophos Central
Restricciones de latidos de seguridad en las reglas del firewall
El punto final detectó un proceso que intentó ponerse en contacto con una dirección IP o URL
C2/Generic-B
de servidor C&C conocida
Sophos Firewall detectó una amenaza C2/Generic-A y notificó al endpoint para notificar una
C2/Generic-C
amenaza C2/Generic-C en la cuarentena para el proceso identificado
Implementación de Security Heartbeat
Uso de reglas de firewall con una prioridad más alta para permitir tráfico
específico sin comprobaciones de latidos
Internet
Wireless User
Sophos Firewall Computers
Implementación de Security Heartbeat para usuarios
conectados a la red
VLAN:3
Servers
Managed Switch
Internet
Sophos Firewall
VLAN:4
Computers
Implementación de Security Heartbeat para usuarios
conectados a la red
VLAN:3
Servers
Utilice un switch
gestionado para
Managed Switch enrutar el tráfico entre
Internet VLAN a través de
Sophos Firewall
Sophos Firewall
VLAN:4
Computers
Implementación de Security Heartbeat para el modo puente
Sophos Firewall
Switch
Internet
Computers Existing Firewall
SPAN port
Switch
Internet
Existing Firewall
Computers
Implementación de Security Heartbeat para el modo Discover
Sophos Firewall
LAN Ports WAN Port
Servers
Switch
Internet
Existing Firewall
Question 1 of 3
VERDADERO o FALSO: Un Sophos Firewall se puede asociar a
varias cuentas de Sophos Central.
VERDADERO FALSO
Question 1 of 3
VERDADERO o FALSO: Un Sophos Firewall se puede asociar a
varias cuentas de Sophos Central.
VERDADERO FALSO
Question 2 of 3
¿Cuáles 2 de las siguientes son las causas potenciales de que un
punto final administrado tenga un estado de latido AMARILLO?
Los dispositivos con un latido de seguridad se identifican por su dirección IP cuando el tráfico pasa a través
del firewall. Para la protección de movimiento lateral, otros dispositivos utilizan la dirección MAC de los
puntos finales con un estado de mantenimiento ROJO para eliminar el tráfico
Los intermediarios centrales confían entre los puntos finales y el firewall mediante
certificados, pero el latido se establece entre el punto final y el firewall.
Los endpoints utilizan una dirección IP pública para establecer el latido con el firewall para que se enrute a
través de la puerta de enlace de Internet, que debería ser el Sophos Firewall. Por esta razón, los puntos
finales deben conectarse directamente a la red o a través de VPN
Tareas de laboratorio
Sophos Firewall
Version: 19.0v1
Conexión de sitios con Sophos Firewall
DURACIÓN
5 minutos
Conexiones de sitio a sitio
Sophos Firewall
Sophos Firewall
SSH IPsec
SSL RSA
FTP PPTP
Question 1 of 2
¿Qué 2 protocolos VPN admite Sophos Firewall para VPN de sitio a
sitio?
SSH IPsec
SSL RSA
FTP PPTP
Question 2 of 2
VERDADERO o FALSO: Las conexiones RED siempre se agregan
automáticamente a la zona VPN.
VERDADERO FALSO
Question 2 of 2
TRUE or FALSE: Las conexiones RED siempre se agregan
automáticamente a la zona VPN.
VERDADERO FALSO
Chapter Review
Sophos Firewall incluye dos métodos para conectar sitios: VPN y dispositivos Ethernet
remotos (REDs)
Sophos Firewall admite dos protocolos VPN de sitio a sitio: SSL, que es fácil de configurar,
e IPsec, que es más configurable y flexible.
Todas las conexiones VPN se agregan automáticamente a la zona VPN, que es una zona
especial sin interfaces físicas que no se pueden editar.
Configuración de VPN SSL
Site-to-Site en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuración de VPN SSL Site-to-Site en Sophos Firewall
DURACIÓN
5 minutos
VPN SSL de sitio a sitio
El cliente inicia la
conexión con el servidor
CLIENTE
Simulación: Crear una VPN SSL de sitio a sitio
https://training.sophos.com/fw/simulation/SslVpnS2s/1/start.html
Question 1 of 2
¿Cuál es el puerto VPN SSL predeterminado?
80 443 3192
80 443 3192
La configuración de SSL VPN es global y se aplica tanto a VPN SSL de sitio a sitio como
de acceso remoto
Debe habilitar las VPN SSL para las zonas en las que desea crearlas
Sophos Firewall
Version: 19.0v1
Getting Started with IPsec Site-to-Site VPNs on Sophos
Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
configurar conexiones VPN de
Zonas e interfaces de Sophos Firewall
sitio a sitio IPsec para entornos Protocolos utilizados para el acceso VPN
sencillos.
DURACIÓN
11 minutos
VPN de sitio a sitio IPsec
VPN basada en
VPN basada en rutas
políticas
• La conexión VPN es • Las redes locales y remotas se
independiente de las rutas de definen como parte de la VPN
tráfico • La VPN debe editarse para
• Las rutas se pueden modificar cambiar las redes y requiere
sin desconectar la VPN desconectarse y volver a
• Las rutas se crean conectarse
manualmente • Las rutas se crean
automáticamente
Los perfiles de VPN IPsec se configuran en:
Perfiles de VPN IPsec SYSTEM > Profiles > IPsec profiles
Seleccione cualquiera de
los dos:
• Clave previamente compartida
• Certificado digital
• Clave RSA
•
Creación de las interfaces de túnel VPN
https://training.sophos.com/fw/simulation/IpsecVpnS2s/1/start.html
VPN IPsec basada en directivas: Asistente para VPN IPsec
configuran en:
CONFIGURE > VPN > IPsec Connections
This will restart all IPsec tunnels and stop offloading IPsec VPN traffic
to the Xstream flow processor.
This will restart all IPsec tunnels and offload IPsec VPN traffic to the
Xstream flow processor.
ESP + Pedir
La NPU detecta el
paquete encapsulado y
realiza el cifrado
NPU/Xstream Processor
Pedir ESP Pedir
Aceleración IPsec con aceleración de firewall (FastPath)
SOPHOS FIREWALL
KERNEL
Contraseña de un solo
Certificado Digital Clave RSA
uso
Autenticación
AES-256 Key Clave precompartida
sincronizada
Question 1 of 2
¿Qué tipos de autenticación se pueden usar para las VPN de sitio a
sitio IPsec?
Contraseña de un solo
Certificado Digital Clave RSA
uso
Autenticación
Clave AES-256 Clave precompartida
sincronizada
Question 2 of 2
¿En qué tipo de VPN IPsec necesita definir las redes locales y
remotas?
Las VPN basadas en rutas crean una interfaz xfrm que está configurada como cualquier
otra interfaz. Las rutas se crean manualmente, separadas de la conexión
Las VPN basadas en políticas definen las redes y las rutas se crean automáticamente.
La VPN requiere una reconexión si edita las redes para la VPN
Las reglas de firewall se pueden crear automáticamente al crear una VPN basada en
políticas, pero son amplias y deben editarse
Advanced IPsec Site-to-Site
Configuration on Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Configuración avanzada de sitio a sitio de IPsec en Sophos
Firewall
En este capítulo aprenderá cómo CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
utilizar las características
Configuración de conexiones VPN de sitio a sitio
avanzadas de IPsec y cómo IPsec para entornos sencillos
combinar VPN IPsec con perfiles
SD-WAN y rutas de políticas para
seleccionar el vínculo más
óptimo.
DURATION
21 minutes
Conexiones VPN IPsec
• La opción VPN más popular
• Compatible con proveedores
cruzados
• Diferentes productos tienen
diferentes nombres para las mismas
opciones
Vs.
Additional information in
Perfiles IPsec the notes
• Parámetros de seguridad utilizados para establecer y mantener la conexión VPN entre dos pares
• Ambos lados de la VPN deben admitir la misma configuración
• Crear y modificar directivas IPsec en: SYSTEM > Perfiles > IPsec
Grupo Diffie-Hellman
Enlace MPLS
3. Cree una ruta de política SD-WAN que enrute el tráfico en función del perfil SD-WAN
NATing VPN basado en rutas
SNAT SNAT
172.20.77.0/24 -> 172.20.77.0/24 ->
172.20.81.0/24 172.20.82.0/24
Sophos Firewall A Sophos Firewall B
DNAT DNAT
172.20.81.0/24 -> 172.20.82.0/24 ->
172.20.77.0/24 172.20.77.0/24
Limitar el alcance de las reglas NAT utilizando las redes de origen y destino
VPN basada en políticas NATing
WAN link 2
Debe habilitar NATing en la conexión VPN Debe crear reglas SNAT y DNAT para las
redes superpuestas a cada lado de la VPN
Debe utilizar intervalos IP para las redes al Usar redes de origen y destino no NATed
configurar NATing para limitar el ámbito de la NATing
Usar equilibrio de carga uno a uno para el Usar equilibrio de carga uno a uno para el
SNAT DNAT
Question 1 of 3
Ha creado una VPN basada en rutas en un entorno donde hay
subredes superpuestas a ambos lados. ¿Cuál de las siguientes
afirmaciones es VERDADERA?
Debe utilizar intervalos IP para las redes al Usar redes de origen y destino no NATed
configurar NATing para limitar el ámbito de la NATing
Usar equilibrio de carga uno a uno para el Usar equilibrio de carga uno a uno para el
SNAT DNAT
Question 2 of 3
VERDADERO o FALSO: Puede usar perfiles SD-WAN con VPN
basadas en rutas.
VERDADERO FALSO
Question 2 of 3
VERDADERO o FALSO: Puede usar perfiles SD-WAN con VPN
basadas en rutas.
VERDADERO FALSO
Question 3 of 3
VERDADERO o FALSO: La única forma de conmutación por error entre dos
VPN IPsec basadas en rutas es crear un grupo de conmutación por error.
VERDADERO FALSO
Question 3 of 3
VERDADERO o FALSO: La única forma de conmutación por error entre dos VPN IPsec basadas
en rutas es crear un grupo de conmutación por error.
FALSO
VERDADERO
Revisión del capítulo
Las VPN basadas en rutas admiten el enrutamiento mediante rutas estáticas, rutas de políticas SD-WAN
y enrutamiento dinámico. Puede usar perfiles SD-WAN y rutas de políticas SD-WAN con VPN basadas en
rutas para seleccionar el mejor vínculo para el tráfico
Cuando tenga subredes superpuestas a ambos lados del túnel, debe usar NATing. Para
las VPN basadas en rutas, puede crear reglas SNAT y DNAT utilizando el método normal.
Para las VPN basadas en políticas, debe configurar el NATing en la conexión
Puede crear grupos de conmutación por error para VPN IPsec. Sería más común usarlos
con VPN basadas en políticas, ya que puede usar rutas de políticas SD-WAN para
administrar conexiones para VPN basadas en rutas.
Introducción a los dispositivos
Ethernet remotos en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Introducción a los dispositivos Ethernet remotos en
Sophos Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
desplegar un dispositivo
Zonas e interfaces de Sophos Firewall
Ethernet remoto en Sophos Protocolos utilizados para el acceso VPN
Firewall.
DURACIÓN
9 minutos
Descripción general de RED
• Conectividad de sucursales plug and play
• No se requiere experiencia técnica in situ
• Crea un túnel de capa 2 a Sophos Firewall
RED
Túnel de capa 2
Router TCP:3400
Servidor UDP:3410 Sophos Firewall
DHCP y DNS
Implementación de RED
Servicio de aprovisionamiento
RED:
red.astaro.com
1. Configurar el dispositivo RED
Sede social
RED
7. Establecer túnel de capa 2
4. Recibir Router
IP local Sophos Firewall
(DHCP)
https://training.sophos.com/fw/simulation/DeployRED/1/start.html
Additional information in
Modelos SD-RED the notes
SD-RED 20 y SD-RED 60
Additional information in
Modelos SD-RED the notes
SD-RED 20 SD-RED 60
RENDIMIENTO
Rendimiento máximo 250 Mbps 850 Mbps
CONECTIVIDAD
LAN Interfaces 4 x 10/100/1000 Base-TX (1 GbE Cobre)
WAN Interfaces 1 x 10/100/1000 Base-TX (shared 2 x 10/100/1000 Base-TX
with SFP) (WAN1 shared port with SFP)
SPF Interfaces 1x SFP Fiber (puerto compartido 1x SFP Fiber (puerto compartido
con WAN) con WAN1)
PoE Ports None 2 puertos PoE (potencia total
30W)
MODULARIDAD
Bahías de expansión 1 (para usar con Wi-Fi opcional O tarjeta 4G/LTE)
REDUNDANCIA
Componentes intercambiables 2ª fuente de alimentación opcional
Modelos RED compatibles descontinuados
Hay dos modelos RED; SD-RED 20 y SD-RED 60. Opcionalmente, puede agregar un
módulo Wi-Fi o 4G utilizando la bahía de expansión
Tareas de laboratorio
Sophos Firewall
Version: 19.5v1
Introducción a la autenticación en Sophos Firewall
DURATION
7 minutos
Información general sobre la autenticación
Red Filtrado
Acceso Web
Aplicación
Enrutamiento
Control
Autenticación local
Los usuarios heredan directivas de los grupos a los que están asignados
Servidor de autenticación
externo
Políticas Web
Redes inalámbricas
Autenticación de servidor
web
Habilite 'Excluir esta actividad de
Portal de usuario
usuario de la contabilidad de datos'
si este tráfico no debe contar para
Administración Web las cuotas
¿Dónde se puede utilizar la autenticación?
Reglas de firewall
Seleccionar usuarios y grupos como
Reglas de descifrado TLS parte de la coincidencia de origen en las
reglas de descifrado TLS
Rutas de políticas de SD-
WAN
VPNs
Políticas Web
Redes inalámbricas
Autenticación de servidor
web
Portal de usuario
Administración Web
¿Dónde se puede utilizar la autenticación?
Reglas de firewall
Políticas Web
Redes inalámbricas
Autenticación de servidor
web
Portal de usuario
Administración Web
¿Dónde se puede utilizar la autenticación?
Reglas de firewall
Políticas Web
Redes inalámbricas
Autenticación de servidor
web
Portal de usuario
Seleccione los usuarios y grupos
Administración Web que pueden conectarse a la VPN
¿Dónde se puede utilizar la autenticación?
Reglas de firewall
Políticas Web
Redes inalámbricas
Autenticación de servidor
web
Portal de usuario
Administración Web
¿Dónde se puede utilizar la autenticación?
Firewall Rules
Web Policies
Redes inalámbricas
Autenticación de servidor
web
Portal de usuario
Administración Web
¿Dónde se puede utilizar la autenticación?
Reglas de firewall
Políticas Web
Redes inalámbricas
Proteja el acceso a los recursos web
Autenticación de servidor con autenticación de usuario
web
Portal de usuario
WebAdmin
¿Dónde se puede utilizar la autenticación?
Reglas de firewall
Políticas Web
Redes inalámbricas
Permitir que los usuarios inicien
Autenticación de servidor sesión y gestionen Sophos Firewall
web
Portal de usuario
Administración Web
Question 1 of 2
¿Qué tipo de servidor se utiliza para la autenticación inalámbrica?
LDAP LDAPS
RADIUS TACACS+
ENVIAR
Question 1 of 2
¿Qué tipo de servidor se utiliza para la autenticación inalámbrica?
LDAP LDAPS
RADIO TACACS+
CONTINUE
Question 2 of 2
¿Cuándo pueden iniciar sesión en WebAdmin los usuarios que no
son administradores?
SUBMIT
Question 2 of 2
¿Cuándo pueden iniciar sesión en WebAdmin los usuarios que no
son administradores?
CONTINUE
Revisión del capítulo
Las capacidades de autenticación de Sophos Firewall ofrecen la oportunidad de controlar el acceso a los
recursos de red, filtrar sitios web, enrutar el tráfico, controlar aplicaciones y mucho más. También puede
obtener informes detallados sobre la actividad del usuario e identificar a los usuarios de alto riesgo.
Sophos Firewall
Version: 19.0v1
Configuración de servidores y servicios de autenticación
DURATION
16 minutos
Servidores de autenticación
Additional information in
Agregar un servidor the notes
Introduzca un nombre
Haga clic en Probar conexión para validar las credenciales y comprobar la conexión
Servidor de Active Directory
DN base para la
importación
Asistente para importar grupos
https://training.sophos.com/fw/simulation/AddAdServer/1/start.html
Servidor de autenticación RADIUS
Contabilidad RADIUS
Los productos de 3rd party se pueden utilizar para analizar datos contables
Contabilidad RADIUS
El usuario inicia sesión
en el dominio
Sophos Firewall
Internet
El usuario realiza una
Computer operación de cierre de
10.1.1.1 sesión Sophos Firewall envía
una solicitud de
Sophos Firewall envía detención contable
una solicitud de inicio
de contabilidad
Controlador de dominio RADIUS Server
Configuración
Habilitar la contabilidad de
Radius
Puerto de contabilidad
Radius
Nombre del grupo secreto
compartido
Additional information in
LDAP seguro (LDAPS) the notes
STARTTLS SSL/TLS
• Attempts to negotiate an encrypted connection • Enforces an encrypted connection
• Falls back to plain text using the plaintext port
Requisitos de LDAP seguro (LDAPS)
Public Key
LDAP seguro: Método uno Private Key
LDAP-CERT
Crear una CSR Certificados > Agregar > Generar solicitud de
firma de certificado (CSR)
Additional information in
Descargar o copiar la RSC the notes
Tipo de
certificado
CSR
Public Key
2. Importar CA-CERT
Sophos
Firewall
SF-CA-CERT SF-CERT 3. Importar SF-CA-CERT LDAP Server
5. Comunicación segura
CA-CERT LDAP-CERT
4. Seleccione SF-CA-CERT como certificado de cliente para el servidor LDAP seguro
LDAP seguro
Validar certificado de
servidor
Certificado de cliente
Question 1 of 2
Si se añade un servidor de autenticación a Sophos Firewall, este se
convertirá en el método de autenticación predeterminado.
VERDADERO FALSO
ENVIAR
Question 1 of 2
Si se añade un servidor de autenticación a Sophos Firewall, este se
convertirá en el método de autenticación predeterminado.
VERDADERO FALSO
CONTINUAR
Question 2 of 2
Un usuario es miembro de varios grupos de Active Directory. ¿Qué sucederá
cuando inicien sesión por primera vez en Sophos Firewall?
ENVIAR
Question 2 of 2
Un usuario es miembro de varios grupos de Active Directory. ¿Qué sucederá
cuando inicien sesión por primera vez en Sophos Firewall?
CONTINUAR
Revisión del capítulo
Los grupos se pueden importar desde Active Directory. Cuando un usuario inicia
sesión, se agregará automáticamente al grupo de firewall que coincida con su grupo de
Active Directory
De forma predeterminada, la autenticación para los servicios es local. Una vez que se
han agregado los servidores de autenticación, estos se pueden habilitar para servicios
como el firewall y el portal de usuarios
Configuración de Azure AD
SSO en Sophos Firewall
Sophos Firewall
Version: 19.5v1
Configuración de Azure AD SSO en Sophos Firewall
DURACIÓN
10 minutos
Inicio de sesión de Azure AD SSO para la consola web
Crear un nuevo
Creación de un Agregar un rol de Agregar permisos de
secreto de cliente en
registro de aplicación aplicación al registro API al registro de la
el registro de la
en Azure de la aplicación aplicación
aplicación
Seleccione el servidor
Agregar un URI de Agregar un servidor
de autenticación
redireccionamiento al de autenticación SSO Asignar usuarios al rol
como fuente de
registro de la de Azure AD en de aplicación
autenticación para los
aplicación en Azure Sophos Firewall
administradores en
Sophos Firewall
Creación de un registro de aplicación en Azure
Crear un nuevo secreto de cliente para el registro de la
aplicación
Registro de aplicaciones
Agregar un servidor de autenticación de SSO de Azure AD en
Sophos Firewall
Habilitar el servidor de autenticación para inicios de sesión de
administrador
Agregar una dirección URL de redireccionamiento al registro
de la aplicación en Azure
Inicio de sesión en la consola web con SSO habilitado
Simulación: Sophos Firewall Admin Azure SSO for Web
Console
https://training.sophos.com/fw/simulation/AzureADAdminSSO/1/start.html
Question 1 of 2
}
Al configurar SSO de Azure AD para administrador; en la consola web de
Sophos Firewall, ¿dónde puede encontrar la URL de redireccionamiento que
debe agregarse al registro de la aplicación en Azure AD?
Configuración de
Acceso al dispositivo
administrador y usuario
Servidores de Configuración de
autenticación autenticación
SUBMIT
Question 1 of 2
Al configurar SSO de Azure AD para administrador; en la consola web de
Sophos Firewall, ¿dónde puede encontrar la URL de redireccionamiento que
debe agregarse al registro de la aplicación en Azure AD?
Configuración de
Acceso al dispositivo
administrador y usuario
Servidores de Configuración de
autenticación autenticación
CONTINUAR
Question 2 of 2
TRUE o FALSE: Azure AD SSO para la consola web de Sophos
Firewall requiere una capa de pago de Azure AD.
Verdadero Falso
ENVIAR
Question 2 of 2
TRUE o FALSE: Azure AD SSO para la consola web de Sophos
Firewall requiere una capa de pago de Azure AD.
Verdadero Falso
CONTINUAR
Revisión del capítulo
Sophos Firewall le permite configurar el inicio de sesión único de Azure AD para que los
administradores inicien sesión en la consola web mediante las funcionalidades incluidas
en el nivel gratuito de Azure AD.
Sophos Firewall
Version: 19.0v1
Introducción a Sophos Firewall Authentication
DURACIÓN
30 minutos
Métodos de autenticación
Punto de acceso
Usuarios sin cliente
Precedencia
Agente de autenticación
Portal Cautivo
Actividad
Poner los métodos de autenticación en orden o prioridad
Portal Cautivo
Agente de autenticación
Punto de acceso
Punto de acceso
Agente de autenticación
Portal Cautivo
Puntos calientes
Hotspot type
selection
Tipos de usuario
Usuarios
Autenticarse con un nombre de usuario y contraseña
Puede autenticarse local o externamente
Creación de usuarios sin cliente Los usuarios sin cliente se administran en:
CONFIGURAR > autenticación > usuarios sin cliente
Los usuarios invitados se administran en:
Creación de usuarios invitados CONFIGURAR > autenticación > usuarios invitados
Creación de usuarios invitados
Creación de usuarios locales Los usuarios locales se administran en:
CONFIGURAR > autenticación > usuarios
Perfiles de
administración
Seleccionar directivas
para asociar al usuario
Identidad de usuario sincronizada
Sophos Firewall obtiene automáticamente el
ID de usuario de los endpoints que se
encuentran en un dominio de Active Directory
Sophos Firewall
Sophos
Security Heartbeat™
Endpoints
Internet
4 Los equipos con un latido™ de seguridad sincronizarán los detalles del usuario
Desactivación de la identidad de usuario sincronizada:
agregar enlace
Sophos Firewall
===============
(C) Copyright 2000-2020 Sophos Limited and others. All rights reserved.
Sophos is a registered trademark of Sophos Limited and Sophos Group.
All other product and company names mentioned are trademarks or registered
trademarks of their respective owners.
https://techvids.sophos.com/watch/nPQbf634vyUSqHYCd8SDS7
Sophos Transparent Authentication Suite (STAS)
• Utiliza un agente instalado en controladores de dominio
• Requiere una instalación STAS para cada controlador de dominio
• Proporciona SSO sin un cliente en los endpoints
• Solo admite IPv4
Lucy Fox inicia sesión en el Sophos Firewall inicia sesión en Lucy Fox y mapea
dominio desde un el tráfico desde 10.1.1.1 hasta el usuario
ordenador con la dirección
IP 10.1.1.1
El controlador de dominio
escribe los detalles de
inicio de sesión en el
STAS notifica al Sophos
registro de eventos con el
Firewall el inicio de sesión
identificador 4768
en el puerto 6060
Additional information in
Instalación del software STAS the notes
Obligatorio si está
instalado en un
servidor miembro
Configurar el software STAS
La(s) dirección(es) IP(s)
del(los) Firewall(s) de Sophos
a las que enviar la
información de inicio de
sesión
El sondeo para el usuario que
ha iniciado sesión
Opcionalmente, detectar actualmente se puede
cuándo cierra la sesión del realizar mediante WMI o
usuario mediante sondeo acceso de lectura al Registro
o PING
STAS está configurado en:
Configurar STAS en Sophos Firewall CONFIGURAR > autenticación > STAS
Configurar STAS en Sophos Firewall
Simulación: Configurar el inicio de sesión único mediante
STAS en Sophos Firewall
En esta simulación, configurará el
inicio de sesión único mediante
Sophos Transparent Authentication
Suite (STAS) en Sophos Firewall. A
continuación, probará la
configuración.
https://training.sophos.com/fw/simulation/STAS/1/start.html
Agente de autenticación
Es necesario El usuario
instalar el agente establece sus
y el certificado credenciales
El agente
autentica al
usuario
Inicio de sesión único (SSO) de Chromebook
1. Implementar extensión 2. Servidor de Active Directory 3. Autenticación de Chromebook
La extensión de Chrome debe Sophos Firewall debe configurarse con La extensión de Chromebook
enviarse a los dispositivos desde un servidor de Active Directory comparte el ID de usuario con Sophos
Google G Suite sincronizado con G Suite y Firewall
Chromebook SSO habilitado
Sophos Firewall
Google G Suite
https://training.sophos.com/fw/simulation/UserPolicies/1/start.html
Question 1 of 4
Debe crear una cuenta de usuario para autenticar un sistema VoIP
que necesite acceso a Internet. ¿Qué tipo de usuario es mejor?
ENVIAR
Question 1 of 4
Debe crear una cuenta de usuario para autenticar un sistema VoIP
que necesite acceso a Internet. ¿Qué tipo de usuario es mejor?
CONTINUE
Question 2 of 4
¿Qué 3 de las siguientes acciones debe completar para que
funcione el ID de usuario sincronizado?
Habilitar ID de usuario
Configurar un servidor de
sincronizado para las zonas
autenticación de AD en requeridas en el acceso al
Sophos Firewall dispositivo
ENVIAR
Question 2 of 4
¿Qué 3 de las siguientes acciones debe completar para que
funcione el ID de usuario sincronizado?
Habilitar ID de usuario
Configurar un servidor de
sincronizado para las zonas
autenticación de AD en requeridas en el acceso al
Sophos Firewall dispositivo
CONTINUAR
Question 3 of 4
¿Qué número de puerto utiliza el portal cautivo?
443 4444
8080 8090
ENVIAR
Question 3 of 4
¿Qué número de puerto utiliza el portal cautivo?
443 4444
8080 8090
CONTINUE
Question 4 of 4
Está instalando STAS en un único controlador de dominio. ¿Qué
tipo de instalación selecciona?
ENVIAR
Question 4 of 4
Está instalando STAS en un único controlador de dominio. ¿Qué
tipo de instalación selecciona?
CONTINUE
Revisión del capítulo
Sophos Firewall tiene tres tipos de usuario. Los usuarios sin cliente se identifican por su dirección IP. Los
usuarios invitados reciben acceso temporal a la red. Los usuarios estándar se autentican localmente o
mediante un servidor externo como Active Directory
Los agentes de autenticación para Windows, Mac y Linux se pueden instalar localmente en el equipo.
Sophos Transparent Authentication Suite proporciona SSO transparente mediante un agente en el
controlador de dominio de Microsoft Active Directory
Configuración avanzada de
STAS en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuración avanzada de STAS en Sophos Firewall
DURACIÓN
10 minutos
Sophos Transparent Authentication Suite (STAS)
Proporciona SSO sin un cliente en cada estación de trabajo
Facilita la aplicación de políticas basadas en el usuario
Requisitos previos de
instalación
• El agente STAS se puede instalar en controladores de dominio de Active
Directory
• Cada controlador de dominio debe ser supervisado por STAS
• Se puede instalar en un servidor miembro:
• Un servidor miembro puede servir a un controlador de dominio
• Se requiere STAS versión 2.5 o superior
2. El controlador de dominio
escribe los detalles de inicio
de sesión en el registro de Sophos Internet
eventos de seguridad con ID
4768 Domain Controller Firewall
(ID 672 en Windows 2003)
4. STAS notifica al Sophos
Firewall el inicio de sesión en el
puerto 6060
Registro de auditoría
de seguridad STAS
IP 3. STAS supervisa el registro de eventos en busca de
UN eventos de inicio de sesión
STAS con varios controladores de dominio
2. El controlador de dominio crea 3. STA Agent envía el
un evento de registro de evento de inicio de
auditoría de seguridad sesión a STA Collector
IP IP
UN UN
Domain Controller
Computer: 10.1.1.1 4. STA Collector envía el Computer: 10.1.1.2
evento de inicio de sesión
1. El usuario inicia sesión en STA Collector &
el dominio a Sophos Firewall
Agent
Instalación
Seleccionar componentes
Sophos Firewall
Recopilador primario
Controlador de dominio
con STA Collector
y Agente
Agentes y coleccionistas
• TODOS los agentes informan a TODOS los recopiladores
• Un grupo por región o ubicación en implementaciones más Los agentes se configuran
grandes con las direcciones IP de
todos los recopiladores
Sólo el recopilador principal
responde a los agentes
Primary Sophos
Firewall
Controlador de Controlador de dominio
dominio con STA Collector
y Agente
con STA Collector LIVE USERS
y Agente John Smith 10.1.1.1
Jane Doe 10.1.1.2
Lisa Fox 10.1.1.3
Tom Jones 10.1.1.4
Recopilador primario
• Realiza la detección de cierre de sesión
• Autentica a los usuarios que no están en las listas de
usuarios dinámicos
Port 6677
Sophos
Primary
Firewall
Controlador de dominio
con STA Collector Controlador de dominio
y Agente con STA Collector
y Agente
10.1.1.1
3. El recopilador principal sondea el 1. John Smith intenta
equipo para el usuario que ha iniciado acceder a Internet
sesión
Autenticación a través de VPN
Login request from user
STAS login details to firewall
Controlador de Computer
dominio Sophos Sophos
Con STA Suite Firewall Firewall
1 3 5
ENVIAR
Question 1 of 2
Al configurar STAS, ¿cuál es el número máximo de recopiladores
que puede tener en un grupo de recopiladores?
1 3 5
CONTINUAR
Question 2 of 2
STAS tiene un grupo de coleccionistas con 3 coleccionistas y 12 agentes.
¿Qué direcciones IP de Collector necesita configurar en los agentes STA?
ENVIAR
Question 2 of 2
STAS tiene un grupo de coleccionistas con 3 coleccionistas y 12 agentes.
¿Qué direcciones IP de Collector necesita configurar en los agentes STA?
CONTINUE
Revisión del capítulo
Todos los recopiladores deben configurarse con las direcciones IP de todos los Sophos
Firewalls
Todos los agentes deben configurarse con las direcciones IP de todos los recopiladores
Sophos Firewall
Version: 19.0v1
Activación de la autenticación multifactor en Sophos
Firewall
En este capítulo aprenderá cómo CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
configurar la autenticación
Configuración de la autenticación y los usuarios en
multifactor en Sophos Firewall y Sophos Firewall
cómo esto cambia la forma en
que los usuarios se autentican.
DURACIÓN
9 minutos
Autenticación multifactor
Las contraseñas de un solo uso pueden ser tokens de software o tokens de hardware
que cumplan con RFC 6238
Contraseñas de un solo uso
Time Time
456789
234567
123456
Key Key
567890
Token Algorithm Algoritmo de token
678901
Las contraseñas de un solo uso se configuran en:
Crear tokens de
software para
usuarios
Configuración de marca
de tiempo de OTP
Agregar tokens manualmente
training-user@C01001CP99YB30E
Configuración de token adicional
Configuración de token adicional
https://training.sophos.com/fw/simulation/MFA/1/start.html
Question 1 of 2
¿Cuáles 2 de los siguientes son requisitos para el secreto al crear
un token manualmente?
ASCII HEX
Mínimo de 32
No más de 64 caracteres
Caracteres
ENVIAR
Question 1 of 2
¿Cuáles 2 de los siguientes son requisitos para el secreto al crear
un token manualmente?
ASCII HEX
Mínimo de 32
No más de 64 caracteres
Caracteres
CONTINUE
Question 2 of 2
Un usuario ha perdido su teléfono con la aplicación Authenticator.
¿Cuál es la forma más segura de permitir la autenticación?
Modificar la configuración de
la marca de tiempo de OTP Crear manualmente códigos
Deshabilitar temporalmente
para que el usuario pueda de un solo uso y
OTP para ese usuario
seguir usando el mismo proporcionar al usuario estos
código
SUBMIT
Question 2 of 2
Un usuario ha perdido su teléfono con la aplicación Authenticator.
¿Cuál es la forma más segura de permitir la autenticación?
Modificar la configuración de
la marca de tiempo de OTP Crear manualmente códigos
Deshabilitar temporalmente
para que el usuario pueda de un solo uso y
OTP para ese usuario
seguir usando el mismo proporcionar al usuario estos
código
CONTINUAR
Revisión del capítulo
Los tokens se pueden generar automáticamente para que cuando un usuario inicie sesión en el Portal de usuarios
después de que se hayan habilitado las contraseñas de un solo uso, se muestre el mensaje para configurar un token de
software. Por lo general, esto se hace escaneando el código QR con una aplicación.
Sophos Firewall
Version: 19.0v1
Descripción general de Sophos Firewall Web Protection
DURACIÓN
10 minutos
Información general sobre la protección web
Protección Control
Transparente
Explícito
DPI vs. filtrado de proxy web
DPI Filtrado de proxy web
Detección de protocolos
independientes de puertos
Aplicar SafeSearch
Compatibilidad con FastPath
Aplicar restricciones de YouTube
Descifra el tráfico TLS 1.3
Modo proxy explícito
Descarga el tráfico en el que
confía SophosLabs
Additional information in
Motor DPI frente a proxy web the notes
DPI Engine
FastPath
Filtrado de proxy web
DPI Engine
FastPath
Implementación de Sophos Firewall for Web Protection
Implementaciones de puerta de enlace o modo
mixto
Internet
Sophos Firewall
Firewall Internet
Sophos Firewall
Filtre de forma
transparente el Otras redes como
tráfico web DMZ no serán
filtradas
Implementación de Sophos Firewall for Web Protection
Switch
Firewall Internet
Sophos Firewall
Proxy transparente vs. proxy explícito
Transparente Explícito
Puente Transparente
ENVIAR
Question 1 of 2
¿Cuáles son las 2 formas en que se puede implementar el filtrado
web en Sophos Firewall?
Puente Transparente
CONTINUE
Question 2 of 2
Si utiliza Sophos Firewall como proxy explícito, ¿qué opción de
filtrado web se utilizará?
ENVIAR
Question 2 of 2
Si utiliza Sophos Firewall como proxy explícito, ¿qué opción de
filtrado web se utilizará?
CONTINUE
Chapter Review
DPI implementa el filtrado sin proxy manejado por el motor IPS. Proporciona detección
de protocolo independiente del puerto y admite la descarga de flujos de tráfico a la red
FastPath. Puede descifrar y escanear el tráfico TLS 1.3.
Cuando el proxy web está habilitado, el proxy web procesará el tráfico HTTP y HTTPS en
los puertos 80 y 443 para su descifrado, política web y escaneo de contenido antes de ser
entregado al motor DPI para el control de aplicaciones e IPS.
Si Sophos Firewall es la puerta de enlace de red, se puede habilitar el filtrado web para el tráfico que pasa
a través de ella. Cuando no es la puerta de enlace de red principal, puede funcionar en modo puente,
filtrando de forma transparente el tráfico web o configurarse como un proxy explícito
Configuración de la protección
web en Sophos Firewall
Sophos Firewall
Version: 19.5v1
Configuración de la protección web en Sophos Firewall
DURACIÓN
24 minutos
Políticas Web
Grupos de URL
Lista de exclusión de
TLS local
https://training.sophos.com/fw/simulation/WebCategories/1/start.html
Filtros de contenido
Simulación: Crear un filtro de contenido web en Sophos
Firewall
En esta simulación, creará un filtro
de contenido personalizado que se
utilizará para detectar páginas web
que contengan términos comunes
de intimidación.
https://training.sophos.com/fw/simulation/ContentFilter/1/start.html
Aplicación de directivas
Políticas Web
Simulación: Crear una política web personalizada en Sophos
Firewall
En esta simulación, clonará y
personalizará una política web
agregando reglas adicionales. A
continuación, probará la directiva
utilizando dos usuarios diferentes y
la herramienta de prueba de
directivas.
https://training.sophos.com/fw/simulation/WebPolicy/1/start.html
Additional information in
Protección Web the notes
https://training.sophos.com/fw/simulation/WebPolicyOverrides/1/start.html
Excepciones
Excepciones
Question 1 of 2
¿Cuál de estas opciones ES compatible cuando se utiliza el motor
DPI?
Habilitar caché de
Aplicar SafeSearch
contenido web
ENVIAR
Question 1 of 2
¿Cuál de estas opciones ES compatible cuando se utiliza el motor
DPI?
Habilitar caché de
Aplicar SafeSearch
contenido web
CONTINUAR
Question 2 of 2
Las excepciones de protección web se aplican a todas las políticas de protección web
independientemente de cuándo se apliquen en Sophos Firewall.
VERDADERO FALSO
ENVIAR
Question 2 of 2
Las excepciones de protección web se aplican a todas las políticas de protección web
independientemente de cuándo se apliquen en Sophos Firewall.
VERDADERO FALSO
CONTINUAR
Revisión del capítulo
Las reglas de directiva web pueden aplicarse a usuarios y grupos específicos, o a cualquier persona.
Definen las actividades o tipos de tráfico web y tienen una acción para permitir, advertir, aplicar cuota o
bloquear. Se puede aplicar una acción independiente al tráfico HTTPS.
Las anulaciones de directivas web permiten a los usuarios autorizados anular los sitios
bloqueados en los dispositivos de los usuarios, lo que permite temporalmente el acceso
Cuotas de protección web de
Sophos Firewall y
configuración del tráfico
Sophos Firewall
Version: 19.0v1
Cuotas de protección web de Sophos Firewall y
configuración del tráfico
En este capítulo aprenderá a usar CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
las cuotas de reglas de directiva
Configuración de la protección web en Sophos
web, las cuotas de navegación y Firewall
la configuración del tráfico para Configuración de los ajustes de configuración del
tráfico
controlar el acceso web.
DURACIÓN
7 minutos
Cuotas y configuración del tráfico
https://training.sophos.com/fw/simulation/SurfingQuota/1/start.html
Traffic Shaping
Traffic Shaping
Traffic Shaping
Aplicación de la directiva de
configuración de tráfico a la nueva
categoría
Question 1 of 1
¿Qué método utilizaría para limitar el ancho de banda para un solo
sitio web?
Cuota de regla de
Cuotas de surf
directiva web
Políticas de configuración
del tráfico
ENVIAR
Question 1 of 1
¿Qué método utilizaría para limitar el ancho de banda para un solo
sitio web?
Cuota de regla de
Cuotas de surf
directiva web
Políticas de configuración
del tráfico
CONTINUAR
Revisión del capítulo
Mediante las directivas web, puede incluir reglas para aplicar una acción de cuota a
todas las actividades. Cuando un usuario accede a una actividad con una cuota, se le
pregunta cuánto tiempo debe usar
Sophos Firewall
Version: 19.0v1
Introducción a Application Control en Sophos Firewall
DURACIÓN
15 minutos
Información general sobre el control de aplicaciones
Almacenamiento en la
Punto a punto
nube
Protéjase contra
aplicaciones de riesgo Garantice ancho de
banda para aplicaciones
Bloquear o limitar empresariales
aplicaciones Sophos Firewall
improductivas
Computer
Las aplicaciones se pueden encontrar en:
Lista de aplicaciones PROTECT > Lista de aplicaciones >
aplicaciones
Las conexiones actuales se pueden monitorear en:
Conexiones en vivo MONITOR & MANGE > Actividades actuales > Conexiones
en vivo
Las aplicaciones se pueden encontrar en:
Filtros de aplicaciones PROTECT > Aplicaciones > Filtro de
aplicaciones
Creación de filtros de aplicación
https://training.sophos.com/fw/simulation/AppFilter/1/start.html
Control de aplicaciones sincronizado
1 month
3 months
6 months
9 months
12 months
Simulation: Use Synchronized App Control to Block an
Application
https://training.sophos.com/fw/simulation/SyncAppControl/1/start.html
Enrutamiento de aplicaciones
OneDrive OneDrive
Dropbox Dropbox
https://training.sophos.com/fw/simulation/CloudApplications/1/start.html
Question 1 of 2
TRUE o FALSE: las reglas de filtro de aplicaciones se aplican a
usuarios y grupos.
VERDADERO FALSO
ENVIAR
Question 1 of 2
TRUE o FALSE: las reglas de filtro de aplicaciones se aplican a
usuarios y grupos.
VERDADERO FALSO
CONTINUAR
Question 2 of 2
Si se agrega una nueva aplicación que coincide con una regla de filtro de control de
aplicaciones existente, ¿cuál de las siguientes instrucciones es VERDADERA?
La aplicación se incluye
La aplicación se bloquea
automáticamente en la
hasta que se aprueba
regla existente
ENVIAR
Question 2 of 2
Si se agrega una nueva aplicación que coincide con una regla de filtro de control de
aplicaciones existente, ¿cuál de las siguientes instrucciones es TRUE?
La aplicación se incluye
La aplicación se bloquea
automáticamente en la
hasta que se aprueba
regla existente
CONTINUAR
Revisión del capítulo
Los filtros de aplicación son una lista ordenada de reglas que permiten o deniegan
aplicaciones en función de criterios de filtro. Los filtros de aplicación deben aplicarse
en una regla de firewall
Sophos Firewall puede detectar aplicaciones en la nube; Estos se pueden clasificar para
informar sobre el uso de aplicaciones no autorizadas en la red
Configuración del tráfico de
aplicaciones en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Configuración del tráfico de aplicaciones en Sophos
Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
configurar y aplicar una directiva
Configuración de Application Control en Sophos
de configuración de tráfico para Firewall
aplicaciones. Configuración de los ajustes de configuración del
tráfico
DURACIÓN
10 minutos
Las aplicaciones se pueden encontrar en :
Forma de tráfico predeterminada PROTECT > Aplicaciones > Tráfico dando forma
predeterminada
Las aplicaciones se pueden encontrar en :
Forma de tráfico predeterminada PROTECT > Aplicaciones > Tráfico dando forma
predeterminada
Las directivas de configuración de tráfico se configuran en :
Políticas de configuración del tráfico CONFIGURAR > Servicios del sistema >
Modelado de tráfico
Las directivas de configuración de tráfico se configuran en :
Políticas de configuración del tráfico CONFIGURAR > Servicios del sistema >
Modelado de tráfico
Las directivas de configuración de tráfico se configuran en :
Políticas de configuración del tráfico CONFIGURAR > Servicios del sistema >
Modelado de tráfico
Las directivas de configuración de tráfico se configuran en :
Políticas de configuración del tráfico CONFIGURAR > Servicios del sistema >
Modelado de tráfico
Ejemplo de directivas de configuración de tráfico
Aplicación de la configuración del tráfico
Simulación: Crear una directiva de configuración del tráfico de
aplicaciones
https://training.sophos.com/fw/simulation/AppTrafficShaping/1/start.html
Question 1 of 2
¿Con qué se pueden asociar las políticas de configuración de
tráfico?
ENVIAR
Question 1 of 2
¿Con qué se pueden asociar las políticas de configuración de
tráfico?
CONTINUAR
Question 2 of 2
Es posible aplicar una política de configuración de tráfico
predeterminada a todo el tráfico
Verdadero Falso
ENVIAR
Question 2 of 2
Es posible aplicar una política de configuración de tráfico
predeterminada a todo el tráfico
Verdadero Falso
CONTINUE
Revisión del capítulo
Puede aplicar directivas de configuración de tráfico a categorías de aplicaciones, así como a aplicaciones
individuales. Las políticas de configuración de tráfico aplicadas a aplicaciones individuales tendrán
prioridad sobre las políticas de configuración de tráfico aplicadas a la categoría
Sophos Firewall
Version: 19.0v1
Configuración de VPN de acceso remoto SSL en Sophos
Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
configurar VPN de acceso
Protocolos utilizados para el acceso VPN
remoto SSL e IPsec en Sophos Servidores de autenticación, usuarios y grupos
Firewall.
DURACIÓN
20 minutos
VPN de acceso remoto
IPsec SSL
Establecer VPN IPsec de Establecer VPN SSL de acceso
acceso remoto mediante el remoto mediante el cliente
cliente de Sophos Connect o Sophos Connect, el cliente SSL
VPN heredado o los clientes
clientes de terceros
OpenVPN
https://training.sophos.com/fw/demo/SslVpnAssistant/1/play.html
Latido de seguridad sobre SSL VPN
De forma predeterminada,
Sophos Firewall utiliza
Puerto 8443
Cliente VPN SSL
https://training.sophos.com/fw/simulation/SslUserVpn/1/start.html
Configuración de VPN IPsec
DNS servers
Configuración de VPN IPsec
Configuración de VPN IPsec
https://training.sophos.com/fw/simulation/IpsecUserVpn/1/start.html
Additional information in
Implementación de Sophos Connect the notes
SUBMIT
Question 1 of 2
¿Cuál es el puerto predeterminado para las VPN SSL?
8443
CONTINUAR
Question 2 of 2
¿Dónde se descarga la configuración de VPN IPsec?
Administración
Portal de usuario Sophos.com
Web
SUBMIT
Question 2 of 2
¿Dónde se descarga la configuración de VPN IPsec?
Administración
Portal de usuario Sophos.com
Web
CONTINUAR
Chapter Review
El asistente VPN agiliza la configuración de todo lo necesario para las VPN SSL de acceso
remoto
El puerto predeterminado para las VPN SSL es 8443. Esto se puede cambiar en la
configuración de SSL VPN. Esta configuración es global y se aplica a las VPN SSL de sitio a
sitio.
El cliente de Sophos Connect es compatible con VPN IPsec y SSL y se puede descargar tanto desde el
administrador web como desde el portal de usuarios. La configuración de SSL VPN se descarga en el portal
de usuario, mientras que la configuración de VPN IPsec se descarga en el administrador web
Configuración avanzada de
Sophos Connect en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Configuración avanzada de Sophos Connect en Sophos
Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
utilizar las opciones de
Configuración de VPN de acceso remoto en Sophos
configuración avanzadas con Firewall
Sophos Connect en Sophos
Firewall.
DURACIÓN
9 minutos
Cliente de Sophos Connect
Cliente VPN de Sophos Connect para Windows y Mac OS X
Seguridad sincronizada
Servidores DNS
Intervalo IP y DNS: IPsec
Servidores DNS
Configuración avanzada de IPsec
SOPHOS FIREWALL
Abrir un archivo de
aprovisionamiento
(.pro) Descargar la política
de conexión
El archivo de aprovisionamiento
admite...
Varias puertas de enlace, seleccionadas por aleatoria, latencia o en orden
Múltiples conexiones
Autenticación de dos factores
Documentación
https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/concepts/SConProvisioningFile.html
Aprovisionamiento automático
Aprovisionamiento automático
Si el certificado del
portal de usuarios no
es de confianza, los
usuarios verán un
error de certificado
Aprovisionamiento automático
Cree un nuevo GPO para y vincúlelo en la unidad organizativa que contiene los equipos en los que desea
instalar
1. Despliegue el MSI de Sophos Connect a través de un script
de GPO
1
2. Inserte el archivo de configuración a través de la
configuración de GPO
Question 1 of 2
¿Qué archivo de configuración para VPN de acceso remoto IPsec
admite túnel dividido y opciones avanzadas?
ENVIAR
Question 1 of 2
¿Qué archivo de configuración para VPN de acceso remoto IPsec
admite túnel dividido y opciones avanzadas?
CONTINUE
Question 2 of 2
¿Qué 2 piezas de información necesita incluir en un archivo de
aprovisionamiento automático?
Las VPN de acceso remoto IPsec y SSL admiten túneles completos y túneles divididos.
Esto se configura mediante la opción 'Usar como puerta de enlace predeterminada'
Sophos Connect se puede implementar mediante la directiva de grupo de Active Directory. Se puede
utilizar un script de inicio para comprobar y ejecutar el instalador de Sophos Connect y se puede copiar un
archivo de configuración en el directorio de importación
Configuración del acceso sin
cliente en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Configuración del acceso sin cliente en Sophos Firewall
DURACIÓN
8 minutos
Portal de acceso sin cliente
Configuración
Asignar marcadores a
usuarios y grupos
2
1
Marcadores
Protocolos
• RDP
• TELNET
• SSH
• FTP/FTPS
• SMB
• VNC
Grupos de marcadores
Acceso sin cliente
https://training.sophos.com/fw/simulation/ClientlessVpn/1/start.html
Question 1 of 1
¿Qué 5 protocolos admite el acceso SSL VPN sin cliente?
HTTP FTP
SSH RDP
VNC SMB
ENVIAR
Question 1 of 1
¿Qué 5 protocolos admite el acceso SSL VPN sin cliente?
HTTP FTP
SSH RDP
VNC SMB
CONTINUAR
Revisión del capítulo
Se pueden crear marcadores para: RDP, TELNET, SSH, FTP, SMB y VNC. Cada marcador
es una sola sesión para ese recurso
Sophos Firewall
Version: 19.0v1
Introducción a la protección inalámbrica en Sophos
Firewall
En este capítulo aprenderá los CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
tres modos de operación que se
Comunicación de red inalámbrica
pueden usar para las redes Opciones de implementación de Sophos Firewall
inalámbricas, el rango de puntos
de acceso admitidos y qué
dispositivos tienen conexión
inalámbrica incorporada.
DURACIÓN
9 minutos
Conexiones de red
Acceso a portátiles de la empresa
Descripción general de la tecnología inalámbrica Acceso a portátiles para invitados
Internet
Portátil de la empresa
conectado a la red inalámbrica Portátil invitado conectado a
de la empresa la red de invitados
Sophos Firewall
Access
Point
Access RED
Point
Portátil de la empresa
Ordenadores internos y conectado a la red inalámbrica
servidores conectados a la red de la empresa
Modos de tráfico de cliente: puente a LAN AP
Wireless
clients
Internet
Local Network
Traffic
Traffic
Traffic
Switch
Traffic Traffic
Sophos Administración
Access point
Firewall
Modos de tráfico de cliente: puente a VLAN
Wireless
clients
Internet
Red local VLAN X
Tráfico de invitados
de VALN Z
Tráfico VLAN X
Traffic
Puerto troncal
Traffic
Traffic
Bloqueado por la
regla del firewall
VXLAN
Switch
Administración
Sophos Access point
Firewall
Activity
Hacer coincidir el modo de tráfico del cliente con su
descripción
Capacidades MIMO
Punto de acceso de Gama o serie de Generación de
2 = 2x2
última generación modelos productos
3 = 3x3
4 = 4x4
Ejemplo: APX 3 2 0
Modelos de puntos de acceso – Serie APX
APX 120 APX 320 APX 530 APX 740
Despliegue Montaje en interiores, Interior; Soporte de escritorio, Interior; Soporte de escritorio, Interior; Soporte de escritorio,
escritorios, paredes o techos pared o techo pared o techo pared o techo
Rendimiento máximo 300 Mbps + 867 Mbps 300 Mbps + 867 Mbps 450 Mbps + 1.3 Gbps 450 Mbps + 1.7 Gbps
Múltiples SSID 8 para radio 8 para radio 8 para radio 8 para radio
(16 en total) (16 en total) (16 en total) (16 en total)
LAN Interfaces 1x 12V DC-in 1 x puerto serie de consola de 1 x puerto serie de consola de conector 1 x puerto serie de consola del
1x RJ45 10/100/1000 conector RJ45 RJ45 conector RJ45
1 x puerto Ethernet RJ45 10/100/1000 1 x puerto Ethernet RJ45
Ethernet con PoE 1 x RJ45 10/100/1000
1 x RJ45 10/100/1000 Ethernet w / PoE 10/100/1000
Ethernet w / PoE 1 x RJ45 10/100/1000 Ethernet w /
PoE
Compatibilidad con 802.11 a/b/g/n/ac Onda 2 802.11 a/b/g/n/ac Onda 2 802.11 a/b/g/n/ac Onda 2 802.11 a/b/g/n/ac Onda 2
estándares WLAN
Alimentación a través 802.3af 802.3af 802.3at 802.3at
de Ethernet
Número de radios 1x banda única de 2,4 GHz 1 x 2,4 GHz/5 GHz de doble 1 x banda única de 2,4 GHz 1 x banda única de 2,4 GHz
1x banda única de 5 GHz banda 1 x 5 GHz banda única 1 x 5 GHz banda única
1 x 5 GHz banda única 1 x Bluetooth de baja energía (BLE) 1 x Bluetooth de baja energía
1 x Bluetooth de baja energía (BLE) (BLE)
Capacidades de MIMO 2x2 2x2 3x3 4x4
Guía de implementación
Videoconferencia
Conectividad de alta Conectividad de alta
Conectividad básica Navegación mixta
velocidad velocidad
XGS 87w XGS 107w XGS 116w XGS 126w XGS 136w
Venta al por Sucursal en
Pequeña oficina Pequeña oficina Pequeña sucursal
Despliegue menor/SOHO crecimiento
Escritorio Escritorio Escritorio
Escritorio Escritorio
Múltiples SSID 8 para radio
Estándares WLAN 802.11a/b/g/n/ac
compatibles 2.4 GHz/5 GHz
Número de radios 1 1 1
(2º módulo WI-FI disponible)
Capacidades MIMO 2x2:2 2x2:2 2x2:2 3x3:3 3x3:3
Revisión del capítulo
Sophos Firewall puede gestionar el tráfico de red inalámbrica utilizando tres modos de
tráfico de cliente: puente a AP LAN, puente a VLAN y zona separada
Sophos Firewall es compatible con los puntos de acceso de la serie APX y de la serie AP
heredados
Los modelos de escritorio de XGS tienen una variante inalámbrica interna que incluye una sola
radio. Los modelos de escritorio más grandes incluyen una opción para agregar un segundo
módulo de radio inalámbrico
Implementación de la
protección inalámbrica en
Sophos Firewall
Sophos Firewall
Version: 19.0v1
Implementación de la protección inalámbrica en Sophos
Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
implementar puntos de acceso y
Modos de funcionamiento que se pueden utilizar
configurar redes inalámbricas. para las redes inalámbricas de Sophos Firewall
Puntos de acceso compatibles
Dispositivos Sophos Firewall que tienen conexión
inalámbrica integrada
DURACIÓN
8 minutos
Redes inalámbricas
Sin cifrado
Nombre de red WEP Abierto
visible WPA Personal/Empresa
WPA2 Personal/Enterprise (recomendado)
Separate Zone
Bridge to AP LAN
Bridge to VLAN
DHCP se puede utilizar para anular la IP mágica si Sophos Firewall no es la puerta de enlace
predeterminada
Despliegue
Punto de acceso
externo
Inalámbrico
incorporado
Radiodifusión de redes inalámbricas
Usar grupos de puntos de acceso para asignar
Asignar redes inalámbricas a puntos de acceso
redes inalámbricas
DNS y DHCP
Simulación: Implementación de un punto de acceso
https://training.sophos.com/fw/simulation/DeployAp/1/start.html
Question 1 of 1
¿A qué dirección IP envían los puntos de acceso los paquetes de
descubrimiento?
SUBMIT
Question 1 of 1
¿A qué dirección IP envían los puntos de acceso los paquetes de
descubrimiento?
1.2.3.4
CONTINUAR
Revisión del capítulo
Los puntos de acceso envían paquetes de descubrimiento a 1.2.3.4, que como dirección enrutable de
Internet enviada a la puerta de enlace predeterminada, se supone que es Sophos Firewall. DHCP puede
anularlo si Sophos Firewall no es la puerta de enlace predeterminada.
Los puntos de acceso aparecerán como pendientes en el administrador web hasta que
sean aceptados por un administrador
Las redes inalámbricas definen los requisitos de seguridad y autenticación, así como los
parámetros de red. Las redes inalámbricas deben asignarse a los puntos de acceso para
comenzar a transmitir
Autenticación inalámbrica en
Sophos Firewall
Sophos Firewall
Version: 19.0v1
Autenticación inalámbrica en Sophos Firewall
DURACIÓN
10 minutos
Problema de seguridad: autenticación WiFi
Asaltante
Configurar WPA/WPA2 Enterprise
Configurar el servicio de autenticación RADIUS
ENVIAR
Question 1 of 1
¿Qué modo de seguridad necesita seleccionar en la red
inalámbrica para utilizar la autenticación RADIUS?
CONTINUAR
Revisión del capítulo
Será necesario agregar un servidor RADIUS como servidor de autenticación. Esto utiliza
el puerto 1812 de forma predeterminada
Sophos Firewall
Version: 19.0v1
Creación de puntos de acceso en Sophos Firewall
DURACIÓN
8 minutos
Tipo de hotspot
Condiciones de aceptación
Voucher
Creación de puntos de acceso
Condiciones de aceptación
Contraseña del día
Vale
Creación de puntos de acceso
Automatically delete
expired vouchers
ENVIAR
Question 1 of 2
¿Cuáles son los diferentes tipos de hotspot que puede crear en
Sophos Firewall?
CONTINUAR
Question 2 of 2
VERDADERO o FALSO: Solo puede crear puntos de acceso en
interfaces inalámbricas.
VERDADERO FALSO
ENVIAR
Question 2 of 2
VERDADERO o FALSO: Solo puede crear puntos de acceso en
interfaces inalámbricas.
VERDADERO FALSO
CONTINUAR
Revisión del capítulo
Hay tres tipos de hotspot: términos de aceptación, cupón y contraseña del día. Los
términos se pueden habilitar opcionalmente para puntos de acceso de cupones y
contraseñas
Los vales y contraseñas pueden ser administrados en el portal de usuarios por los
usuarios administrativos seleccionados en la configuración del hotspot
Configuración de redes de
malla inalámbrica en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Configuración de redes de malla inalámbrica en Sophos
Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
crear una red de malla en Sophos
Configuración de puntos de acceso inalámbricos en
Firewall. Sophos Firewall
DURACIÓN
7 minutos
Redes de malla inalámbricas
Puente inalámbrico
Ethernet 1 Ethernet 2
Repetidor inalámbrico
Ethernet 1 Wireless Network
Punto de acceso de
Punto de acceso raíz Clientes inalámbricos
Sophos Firewall malla
Puente inalámbrico
Wireless Bridge
Ethernet 1 Ethernet 2
Repetidor inalámbrico
Ethernet 1 Wireless Network
Punto de acceso de
Punto de acceso Clientes inalámbricos
Sophos malla
raíz
Firewall
Compatibilidad con las funciones de redes de malla
Punto de acceso de
Drag here Se conecta a la red de forma inalámbrica
malla
ENVIAR
Question 1 of 1
Haga coincidir el rol de malla con la descripción.
Punto de acceso de
Drag here Se conecta a la red de forma inalámbrica
malla
CONTINUAR
Revisión del capítulo
Las redes de malla se pueden utilizar para conectar una conexión Ethernet de forma
inalámbrica, para repetir una red inalámbrica o ambas cosas.
Los puntos de acceso raíz se conectan al Sophos Firewall a través de una conexión
Ethernet, los puntos de acceso de malla se conectan de forma inalámbrica una vez que
han recibido la configuración
Registro e informes
Ejecución y personalización de
informes en Sophos Firewall
Sophos Firewall
Version: 19.0v1
Ejecución y personalización de informes en Sophos
Firewall
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
ejecutar, personalizar y
Le recomendamos que tenga los conocimientos hasta
programar informes. e incluidos en los módulos anteriores.
DURACIÓN
7 minutes
Informes
Informes integrados
• Paneles preconfigurados para tráfico, seguridad, informes ejecutivos y cociente de
amenazas de usuario (UTQ)
• Informes preconfigurados y personalizados
• Informes centrados en el cumplimiento para estándares comunes, incluidos HIPAA y
PCI
• Exportar o programar informes para enviarlos por correo electrónico
•
Informes de firewall central
•
• Últimos 7 días de datos disponibles en Sophos Central
• Acceso a informes y registros
Informes
Marcadores
Marcadores
Grupo de marcadores
Medidor de riesgo de aplicaciones
https://training.sophos.com/fw/simulation/RunReports/1/start.html
Additional information in
Informes de protección de día cero the notes
ENVIAR
Question 1 of 1
Ha creado un informe que muestra los datos que desea comprobar
diariamente. ¿Cómo puede hacer que estos datos estén fácilmente
disponibles en la interfaz WebAdmin?
CONTINUAR
Revisión del capítulo
Sophos Firewall incluye muchos informes integrados, incluso para el cumplimiento. Puede filtrar
rápidamente estos informes seleccionando campos en los gráficos. Una vez que haya personalizado el
informe, puede crear un marcador y, opcionalmente, programarlo para que se envíe por correo
electrónico.
Se accede a los informes de inteligencia de amenazas para archivos que se han referido a
la protección de día cero desde MONITOREAR y ANALIZAR > Protección de día cero >
Descargas y archivos adjuntos
Gestión de registros y
notificaciones en Sophos
Firewall
Sophos Firewall
Version: 19.0v1
Gestión de registros y notificaciones en Sophos Firewall
DURACIÓN
7 minutos
Registro
Up to 5
Agregar hasta 5 servidores syslog externos
Email SNMP
SISTEMA > Configuración de SISTEMA > Administración > SNMP:
administración > notificación: • Habilitar el agente SNMP
• Configurar los ajustes del servidor de correo electrónico • Crear usuarios y capturas SNMPv3
• Establecer direcciones de correo electrónico
• Seleccione la dirección de la interfaz de administración
• Crear una comunidad SNMPv1 y v2c y
capturas
Opcionalmente, configure un
servidor de correo electrónico
para enviarlo a enviar
notificaciones
Habilitar y deshabilitar
globalmente las notificaciones
para correo electrónico y
SNMP
2 3 4
5 10 15
ENVIAR
Question 1 of 2
¿Cuál es el número máximo de servidores syslog externos que
puede configurar en Sophos Firewall?
2 3 4
5 10 15
CONTINUAR
Question 2 of 2
Sophos Firewall puede enviar notificaciones utilizando cuál de los
siguientes protocolos?
SMTP SMS
VoIP SNMP
ENVIAR
Question 2 of 2
Sophos Firewall puede enviar notificaciones utilizando cuál de los
siguientes protocolos?
SMTP SMS
VoIP SNMP
CONTINUE
Revisión del capítulo
Acceda al visor de registros utilizando el enlace en la parte superior derecha desde cada página del
WebAdmin. Aquí puede seleccionar qué registros ver, filtrar los registros, personalizar las columnas y hacer
clic en los campos para acceder y modificar las políticas.
Puede habilitar las notificaciones por correo electrónico y SNMP desde Sophos Firewall,
y puede seleccionar qué eventos registrar de forma independiente para cada protocolo.
Administración central de
cortafuegos
Gestión de Sophos Firewall en
Sophos Central
Sophos Firewall
Version: 19.0v1
Gestión de Sophos Firewall en Sophos Central
En este capítulo aprenderá a CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
gestionar Sophos Firewalls en
Navegación y gestión de Sophos Firewall mediante
Sophos Central, incluida la WebAdmin
creación y gestión de grupos, la Uso de Sophos Central como solución de gestión
en la nube
orquestación de VPN y la gestión
de copias de seguridad y
actualizaciones de firmware.
DURACIÓN
10 minutos
Información general sobre la administración de Central
Firewall
Las reglas locales de Sophos Firewall solo se sobrescriben cuando se crea una
regla con el mismo nombre en Sophos Central
Objetos dinámicos
Objetos dinámicos
Objetos dinámicos
Orquestación de VPN
SOPHOS
CENTRAL
Configuración Configuración
SOPHOS SOPHOS
FIREWALL FIREWALL
VPN Connection
https://training.sophos.com/fw/simulation/CentralManagement/1/start.html
Implementación sin intervención
Arranque Sophos con
Crear configuración Configuración de envío Crear USB
USB
Utilice el asistente de Opcionalmente, envíe la Copie la configuración en Conecte la unidad USB al
configuración de Sophos configuración por correo una unidad USB Sophos Firewall e inícielo
Central electrónico a otra
ubicación
Los archivos de configuración sin intervención solo se pueden crear para números de serie de
hardware no registrados
Question 1 of 2
¿Cuál de las siguientes afirmaciones es TRUE sobre los grupos de
conexión SD-WAN?
5
Chapter Review
Todas las licencias incluyen Central Management for Sophos Firewall, incluyendo; Acceso
remoto en tiempo real al administrador web, programación de actualizaciones de
firmware y copias de seguridad, gestión de la configuración del firewall mediante grupos
Puede configurar redes SD-WAN orquestadas por VPN en Sophos Central mediante
grupos de conexión SD-WAN. Esto requiere orquestación central como parte de la
licencia
La implementación sin intervención permite que incluso una persona no técnica conecte y configure un
Sophos Firewall remoto y lo conecte a Sophos Central. Los archivos de configuración sin intervención
solo se pueden crear para números de serie de hardware no registrados
Informes de firewall en
Sophos Central
Sophos Firewall
Version: 19.0v1
Informes de firewall en Sophos Central
En este capítulo aprenderá cómo CONOCIMIENTOS Y EXPERIENCIA RECOMENDADOS
habilitar los informes de Sophos
Navegación y gestión de Sophos Firewall mediante
Firewall en Sophos Central y WebAdmin
cómo ejecutar informes. Uso de Sophos Central como solución de gestión
en la nube
DURACIÓN
6 minutos
Información general sobre informes de Central Firewall
Introducir filtros
manualmente
Generador de informes
Personalizar el tipo de
gráfico.
• Gráfico de barras
• Gráfico de barras
horizontales
• Gráfico circular
• Gráfico de líneas
• Gráfico de área de
apilamiento Personalizar los
campos del gráfico
Generador de informes
Personalizar las
columnas de la tabla
Logs
Seleccionar
Haga clic en los columnas
vínculos para aplicar
filtros
Introducir filtros
manualmente
Informes de firewall central (CFR) avanzados
Central Firewall Reporting Advanced Enhancements
https://community.sophos.com/sophos-xg-firewall/b/blog/posts/new-enhancements-to-central-firewall-reporting
Informes de firewall central (CFR) avanzados
Informes de firewall central (CFR) avanzados
Informes de firewall central (CFR) avanzados
Informes de firewall central (CFR) avanzados
Informes de firewall central (CFR) avanzados
Informes de firewall central (CFR) avanzados
Simulación: Informes de firewall central
https://training.sophos.com/fw/simulation/CentralReporting/1/start.html
Question 1 of 2
¿Cuántos días de datos están disponibles en Sophos Central utilizando Central
Firewall Reporting gratuito? Introduzca la respuesta en dígitos
ENVIAR
Question 1 of 2
¿Cuántos días de datos están disponibles en Sophos Central utilizando Central Firewall
Reporting gratuito? Introduzca la respuesta en dígitos
CONTINUAR
Question 2 of 2
¿Cuánto almacenamiento se incluye con cada licencia de Central Firewall
Reporting Advanced en GB? Introduzca la respuesta en dígitos
ENVIAR
Question 2 of 2
¿Cuánto almacenamiento se incluye con cada licencia de Central Firewall
Reporting Advanced en GB? Introduzca la respuesta en dígitos
100
CONTINUAR
Chapter Review
Para empezar a utilizar Central Firewall Reporting, Sophos Firewall debe estar registrado
en Sophos Central y la opción Enviar registros e informes a Sophos Central debe estar
activada. Puede personalizar los datos que se cargan en la configuración del registro
Sophos Firewall
Version: 19.0v1
Cómo encontrar ayuda de Sophos
CONOCIMIENTOS Y EXPERIENCIA
Una vez que haya completado este RECOMENDADOS
capítulo, podrá encontrar ayuda para
sus productos de Sophos. No hay conocimiento o experiencia recomendada
antes de completar este capítulo.
Comprenderá cómo puede
mantenerse al día con las últimas
noticias y alertas de Sophos.
DURACIÓN 8 minutos
Cómo encontrar ayuda
sophos.com/support
Documentación
https://www.sophos.com/support/documentation
Artículos de Knowledge Base
https://support.sophos.com
Additional information in
Comunidad Sophos the notes
https://community.sophos.com
SophosLabs
https://sophos.com/labs
Proporciona la
información más
reciente acerca de las
amenazas de
seguridad
Additional information in
Información sobre amenazas the notes
https://sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware.aspx
Vídeos técnicos de Sophos
https://techvids.sophos.com
Additional information in
Soporte de Sophos the notes
https://support.sophos.com
number
SERVICIO DE
FUENTE RSS
NOTIFICACIÓN POR SMS
NOTICIAS SOPHOS
news.sophos.com
Additional information in
Servicio de notificación por SMS the notes
sms.sophos.com
http://sophos.com/company/rss-feeds
Additional information in
Twitter the notes
http://twitter.com/sophossupport
Additional information in
NakedSecurity the notes
http://nakedsecurity.sophos.com
Question 1 of 2
Introduzca la dirección URL del sitio web de soporte de Sophos
www.sophos.com/ __________________
Question 1 of 2
Introduzca la dirección URL del sitio web de soporte de Sophos
www.sophos.com/ _____support______
Question 2 of 2
¿Sobre qué proporciona información la página de SophosLabs?
Artículos de la base de
Acceso a la comunidad de
conocimientos sobre
Sophos
amenazas conocidas
Documentación sobre
Datos en tiempo real e
cómo corregir amenazas
informes de amenazas
conocidas
Question 2 of 2
¿Sobre qué proporciona información la página de SophosLabs?
Artículos de la base de
Acceso a la comunidad de
conocimientos sobre
Sophos
amenazas conocidas
Documentación sobre
Datos en tiempo real e
cómo corregir amenazas
informes de amenazas
conocidas
Revisión del capítulo
Póngase en contacto con el soporte de Sophos a través del portal de soporte, el chat en
vivo y Twitter
CONTINUE
Examen
Examen
Encuesta
COMENTARIOS SOBRE LA CAPACITACIÓN
CUSTOMERS
PARTNERS