Machine Translated by Google

Implantação do Sophos Firewall

Opções e comuns
Cenários

Versão Sophos
Firewall : 19.5v1

[Informações adicionais]
Sophos Firewall
FW1005: Opções de implantação do Sophos Firewall e cenários comuns

Versão de novembro
de 2022: 19.5v1

© 2022 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida
de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.

Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados
neste documento podem ser marcas comerciais ou marcas registradas da Sophos Limited ou de seus respectivos
proprietários.

Embora tenha sido tomado cuidado razoável na preparação deste documento, a Sophos não oferece garantias,
condições ou representações (expressas ou implícitas) quanto à sua integridade ou precisão. Este documento está
sujeito a alterações a qualquer momento sem aviso prévio.

A Sophos Limited é uma empresa registrada na Inglaterra sob o número 2096520, com sede em
The Pentagon, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP.

Opções de implantação do Sophos Firewall e cenários comuns - 1

Machine Translated by Google

Opções de implantação do Sophos Firewall e cenários comuns

Neste capítulo, você aprenderá CONHECIMENTO E EXPERIÊNCIA RECOMENDADOS

quais plataformas podem ser

usadas para implantar o
Sophos Firewall e algumas das
formas comuns de implantação.
ÿ Como o Sophos Firewall atua como um firewall baseado em zona
com políticas baseadas em
identidade ÿ As múltiplas camadas de proteção fornecidas para
detectar e bloquear ataques

DURAÇÃO

11 minutos

Neste capítulo, você aprenderá quais plataformas podem ser usadas para implantar o Sophos Firewall e
algumas das formas comuns de implantação.

Opções de implantação do Sophos Firewall e cenários comuns - 2

Machine Translated by Google

Opções de implantação

hardware Programas

Dispositivos Sophos XGS e XG Hardware compatível com Intel

Virtual
Nuvem
Hyper-V, VMware,
Azure, AWS, Nutanix
Hipervisor Citrix, KVM

O Sophos Firewall pode ser implantado de quatro maneiras:

• Como um dispositivo de hardware. Os dispositivos Sophos XGS e XG vêm pré-carregados e

prontos para uso • Como software instalado em hardware
compatível com Intel • Como um dispositivo virtual executado nos hipervisores mais comuns, incluindo
VMware, Citrix Hypervisor, Microsoft Hyper-V e KVM
• E, finalmente, o Sophos Firewall pode ser implantado na nuvem no Azure, Amazon Web Services e no
ecossistema Nutanix.

No entanto, você escolhe implantar o Sophos Firewall, ele usa o mesmo software e fornece a mesma funcionalidade,
independentemente do fator de forma.

Opções de implantação do Sophos Firewall e cenários comuns - 3

Machine Translated by Google

DESEMPENHO E PROTEÇÃO

Destaques da Série XGS

ARQUITETURA DE PROCESSADOR DUPLO

O tratamento de tráfego inteligente
e eficiente libera recursos para tarefas
intensivas

DENSIDADE E DIVERSIDADE PORTUÁRIA

Combina uma CPU multi-core com um Xstream

Flow Processor dedicado para aceleração de
hardware

Ampla gama de opções de conectividade

integradas e adicionais fornecem
flexibilidade

A série XGS de dispositivos para Sophos Firewall oferece excelente desempenho e proteção.
O tratamento de tráfego inteligente e eficiente libera recursos para tarefas intensivas, como a inspeção
TLS. Isso é possível com a arquitetura de processador duplo, que combina uma CPU multi-core com um Xstream Flow
Processor dedicado para aceleração de hardware.

A série XGS inclui uma ampla variedade de opções de conectividade integradas e adicionais, proporcionando
flexibilidade para se adaptar à maioria dos ambientes.

Opções de implantação do Sophos Firewall e cenários comuns - 4

Machine Translated by Google

Visão geral do hardware da série XGS

Processamento de rede
Unidade (NPU) + NPU
Memória

CPU de 64 bits + memória

Módulos opcionais para

expansão de
Portas de rede fixas portas de rede

Fail-to-wire
Suporte a PoE

Cada unidade da série XGS contém uma CPU de 64 bits com memória do sistema, bem como um processador
de fluxo Xstream, também conhecido como unidade de processamento de rede ou NPU, com sua própria
memória. Além das portas de rede fixas, que aumentam com o modelo da unidade, existem módulos
opcionais que fornecem opções flexíveis para expandir a seleção de portas de rede.

A série XGS inclui suporte para PoE, ou Power over Ethernet, portas (802.3ad e 802.3at) e fail-to-wire,
que podem permitir que o tráfego passe pela unidade se houver queda de energia. Fail-to-wire e PoE
podem estar disponíveis a bordo e com módulos adicionais, dependendo do modelo da unidade.

Opções de implantação do Sophos Firewall e cenários comuns - 5

Machine Translated by Google

Modelos da Série XGS

Modelos de mesa

Modelos 1U
(1,75 polegadas)

Modelos 2U (3
polegadas)

As unidades da série XGS vêm em cinco

variantes: • Modelos de desktop, com e sem wireless integrado
• Modelos de rack de servidor 1U, como dispositivos curtos ou longos, com os modelos de gama inferior por perto
10 cm menos de
profundidade • E modelos de rack de servidor 2U

Todos os modelos 1U e 2U vêm com asas para montagem em rack e incluem trilhos ou têm trilhos como uma opção. Para os
modelos de mesa, as asas de montagem em rack são opcionais.

[Informações adicionais]
https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophos-firewall-br.pdf

Opções de implantação do Sophos Firewall e cenários comuns - 6

Machine Translated by Google

Modelos de desktop XGS

87/87w 107/107w 116/116w 126/126w 136/136w

CPU (Núcleos/Threads) 2/2 4/4 2/4

MEMÓRIA 4GB 6 GB 8 GB

ARMAZENAR 16 GB 64 GB

PORTAS FIXAS 5 9 14

MODEM VDSL SFP Opcional

MÓDULO 3G/4G n/D Opcional

PODER Solteiro Fonte de alimentação dupla opcional

Todos os modelos de desktop estão disponíveis com e sem wireless integrado e vêm com uma única fonte de
alimentação. Todos os modelos de desktop, exceto o XGS 87 básico, têm a opção de conectar uma segunda
fonte de alimentação.

Há um módulo 3G/4G LTE opcional substituível pelo usuário disponível para unidades desktop da
série XGS, exceto 87 e 107.

Opções de implantação do Sophos Firewall e cenários comuns - 7

Machine Translated by Google

Modelos sem fio XGS

87w 107w 116w 126w 136w

ANTENA 2 3

RÁDIOS 1
PADRÕES Banda dupla 802.11a/b/g/n/ac
OPCIONAL n/D Banda dupla MIMO 2x2 802.11n/ac
SEM FIO
MÓDULO

Todos os modelos de desktop sem fio possuem um único rádio de banda dupla 802.11a/b/g/n/ac. Como há
apenas um único rádio, eles só podem transmitir em 2,4 Ghz ou 5 Ghz, não em ambos simultaneamente.

O XGS 116w, 126w e 136w também tem a opção de um segundo módulo wireless que é
802.11n/ac dual band. Essa adição permite que o dispositivo transmita nas bandas de 2,4 Ghz e 5 Ghz
simultaneamente e forneça uma melhor cobertura.

Opções de implantação do Sophos Firewall e cenários comuns - 8

Machine Translated by Google

Modelos XGS 1U

XGS 3100 XGS 4300

2100 2300 3100 3300 4300 4500

CPU (Núcleos/Threads) 2/4 2/4 4/4 4/8 6/12 16/08

MEMÓRIA 8 GB 12 GB 16 GB 32 GB

ARMAZENAR 120 GB 240 GB 2 x 240 GB

SW RAID

PORTAS FIXAS 10 12

FLEXIPORT BAYS 1 2

PODER PSU externo opcional quente opcional

trocável
fonte de alimentação

Todos os dispositivos XGS Series 1U incluem uma porta de gerenciamento Ethernet que permite que você se conecte
ao WebAdmin em https://10.0.1.1:4444. Todos os dispositivos 1U possuem uma fonte de alimentação externa opcional
que pode ser montada na parte traseira da unidade para não ocupar espaço adicional no rack, exceto o XGS 4500,
que possui uma fonte de alimentação interna opcional hot swappable. Os dispositivos 1U também incluem 1 ou 2 baias
FlexiPort.

Opções de implantação do Sophos Firewall e cenários comuns - 9

Machine Translated by Google

Modelos XGS 2U

XGS 5500 XGS 6500

5500 6500

CPU (Núcleos/Threads) 16/32 24/48

MEMÓRIA 64 GB 80 GB

ARMAZENAR RAID 2 x 480 HW RAID 2 x 480 HW

PORTAS FIXAS 16 20

FLEXIPORT BAYS 2

BAÍAS DE EXPANSÃO DE NIC 1 2

PODER 2 2

As maiores unidades XGS Series 2U incluem armazenamento RAID de hardware, 2 baias FlexiPort e 2 fontes de
alimentação internas hot swappable.

Essas unidades também incluem 1 ou 2 baias de expansão NIC, que podem ser usadas para adicionar um módulo
com 4 portas de 2,5 GbE e 12 portas de GbE.

Opções de implantação do Sophos Firewall e cenários comuns - 10

Machine Translated by Google

Módulos FlexiPort
4 portas 10 GbE SPF+ SFP de 8 portas GbE

4 portas 2,5 GbE PoE Cobre de 4 portas GbE 8 portas GbE

(somente 1U) (2 pares de bypass)

4 portas GbE PoE Desvio de fibra (LC) GbE de 2 portas

& 4 portas GbE & 4 portas GbE SFP+

Aqui você pode ver os módulos FlexiPort que estão disponíveis para os modelos 1U e 2U, além do
4 portas 2.5 GbE PoE, que está disponível apenas nos modelos 1U.

Existem três outros módulos FlexiPort disponíveis apenas para os dispositivos 2U:
• 8 portas 10 GbE SFP+
• 2 portas 10 GbE fiber (LC) Bypass e 4 portas 10 GbE SFP+
• 2 portas 40 GbE QSFP+

Além disso, há um SFP VSDL para todos os modelos que permite conectar um modem DSL via SFP.

Observe que os módulos FlexiPorts não são hot swap e requerem que o dispositivo seja desligado para
instalação.

Opções de implantação do Sophos Firewall e cenários comuns - 11

Machine Translated by Google

Suporte de interface de breakout

O Sophos Firewall suporta cabos breakout para interfaces de 40 gigabits, dividindo-os em interfaces de
10 gigabits usando DAC ou cabos breakout de fibra.

Opções de implantação do Sophos Firewall e cenários comuns - 12

Machine Translated by Google

Informações adicionais em

Plataformas de virtualização suportadas as notas

Antes de instalar, desative as adições e serviços de convidados e interrompa os backups e instantâneos automatizados

Microsoft Hyper-V VMware KVM

Hipervisor Citrix Prisma Nutanix

É importante instalar o Sophos Firewall em uma das plataformas de virtualização suportadas e suas versões testadas
mostradas na ajuda online. Essas plataformas foram testadas e funcionam com o Sophos Firewall Operating System
(SFOS).

[Informações adicionais]
Sophos Firewall: plataformas de virtualização
suportadas: https://docs.sophos.com/nsg/sophos-firewall/
19.5/Help/en us/webhelp/onlinehelp/VirtualAndSoftwareAppliancesHelp/vs_VirtualSoftwareApplianceIntro/
ind ex.html

Opções de implantação do Sophos Firewall e cenários comuns - 13

Machine Translated by Google

Modo Gateway

zona WAN

Internet Porta B

Porta A Porta C
Sophos zona DMZ
zona LAN
Firewall

Vamos dar uma olhada em algumas das formas mais comuns de implantação do Sophos Firewall.

O cenário mais comum é quando você deseja substituir um firewall antigo e precisa proteger sua
rede interna. O Sophos Firewall é implantado para lidar com o roteamento principal e como a primeira
linha de defesa contra ameaças de rede.

Isso é mostrado aqui com o Sophos Firewall no modo gateway. A porta A está configurada para a
zona LAN, a porta B para WAN e a porta C para DMZ. Qualquer ameaça de rede que tentar ir para a
zona LAN ou DMZ será interrompida pelo firewall.

Esse é o tipo de implantação no qual focaremos neste curso.

Opções de implantação do Sophos Firewall e cenários comuns - 14

Machine Translated by Google

Modo Ponte
zona WAN Existir
Firewall + Segurança sincronizada
+ Prevenção de Intrusão
Internet Porta B + Proteção avançada contra ameaças
+ Ligando zonas LAN e DMZ

Porta A Porta C
Sophos zona DMZ
zona LAN
Firewall

Outro tipo comum de implantação é onde há um firewall existente que lida com a conectividade
WAN que não será substituída. Isso geralmente é feito para adicionar recursos de proteção
adicionais não oferecidos pelo firewall existente.

Para que você não precise alterar o esquema de endereço IP da rede, o Sophos Firewall pode ser
implantado no modo bridge, também conhecido como modo transparente ou modo inline.

Neste modo, os clientes na rede não estão cientes do Sophos Firewall e o tráfego passa sem
que o endereço IP seja alterado, mas ainda permitindo que o Sophos Firewall verifique e proteja
contra ameaças.

Opções de implantação do Sophos Firewall e cenários comuns - 15

Machine Translated by Google

Firewall de aplicativos da Web

estouros de buffer
zona WAN Existir
Firewall

Internet Porta B + Firewall de aplicativos da Web

Porta A Porta C
Sophos zona DMZ
zona LAN
Firewall

injeção SQL
Servidor web Servidor de aplicativos

Escalação de privilégio

O Sophos Firewall também pode ser adicionado a uma rede para proteger aplicativos da web. Muitas vezes, existem muitos
componentes que compõem um aplicativo da Web, incluindo servidores da Web, bancos de dados, servidores de arquivos e
assim por diante, mas isso significa que também há uma ampla gama de ataques que podem ser lançados contra eles.

No exemplo aqui, o Sophos Firewall pode proteger o aplicativo da web de ataques comuns,
incluindo estouros de buffer e injeção de SQL.

Opções de implantação do Sophos Firewall e cenários comuns - 16

Machine Translated by Google

Modo de descoberta Existir

Firewall

zona WAN
Firewall existente

Internet
Trocar

zona LAN Porta D zona DMZ

Modo de descoberta
Porta A
porta habilitada
porta de gerenciamento

+ Espelhamento de porta

+ Relatório de Auditoria de Segurança

Sophos
Firewall

O último tipo de implantação que veremos é geralmente usado para avaliar os recursos do Sophos
Firewall sem a necessidade de fazer alterações na rede.

Neste exemplo, o Sophos Firewall está conectado a uma porta no switch que tem o espelhamento de porta
ativado, de modo que uma cópia de todo o tráfego seja enviada ao Sophos Firewall.

Embora o Sophos Firewall não possa influenciar o tráfego ao vivo na rede, ele pode registrar e relatar o que vê e,
a partir disso, você pode ver a proteção adicional que pode adicionar à rede.

Isso é chamado de modo de descoberta.

Opções de implantação do Sophos Firewall e cenários comuns - 17

Machine Translated by Google

Revisão do capítulo

O Sophos Firewall pode ser implantado usando dispositivos de hardware da série XGS e XG ,
virtualmente no local e na nuvem, ou usando hardware compatível com Intel

Os dispositivos da série XGS têm uma CPU de 64 bits e uma unidade de processamento de rede
(NPU) separada, ambas com memória própria. A série XGS tem suporte para fontes de alimentação
duplas , PoE, fail-to-wire e expansão com módulos FlexiPort

O Sophos Firewall pode ser implantado para uso de várias maneiras, as mais comuns são o modo
de gateway padrão , como uma ponte transparente, para proteção do servidor da web e no
modo de descoberta

Aqui estão as três principais coisas que você aprendeu neste capítulo.

O Sophos Firewall pode ser implantado usando dispositivos de hardware das séries XGS e XG, virtualmente no
local e na nuvem, ou usando hardware compatível com Intel.

Os dispositivos da série XGS têm uma CPU de 64 bits e uma unidade de processamento de rede (NPU)
separada, ambas com memória própria. A série XGS tem suporte para fontes de alimentação duplas, PoE,
fail-to-wire e expansão com módulos FlexiPort.

O Sophos Firewall pode ser implantado para uso de várias maneiras, as mais comuns são o modo de gateway
padrão, como uma ponte transparente, para proteção do servidor da Web e no modo de descoberta.

Opções de implantação do Sophos Firewall e cenários comuns - 24

Machine Translated by Google

Opções de implantação do Sophos Firewall e cenários comuns - 25