Escolar Documentos
Profissional Documentos
Cultura Documentos
Versão Sophos
Firewall : 19.5v1
[Informações adicionais]
Sophos Firewall
FW1005: Opções de implantação do Sophos Firewall e cenários comuns
Versão de novembro
de 2022: 19.5v1
© 2022 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida
de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.
Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados
neste documento podem ser marcas comerciais ou marcas registradas da Sophos Limited ou de seus respectivos
proprietários.
Embora tenha sido tomado cuidado razoável na preparação deste documento, a Sophos não oferece garantias,
condições ou representações (expressas ou implícitas) quanto à sua integridade ou precisão. Este documento está
sujeito a alterações a qualquer momento sem aviso prévio.
A Sophos Limited é uma empresa registrada na Inglaterra sob o número 2096520, com sede em
The Pentagon, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP.
DURAÇÃO
11 minutos
Neste capítulo, você aprenderá quais plataformas podem ser usadas para implantar o Sophos Firewall e
algumas das formas comuns de implantação.
Opções de implantação
hardware Programas
Virtual
Nuvem
Hyper-V, VMware,
Azure, AWS, Nutanix
Hipervisor Citrix, KVM
No entanto, você escolhe implantar o Sophos Firewall, ele usa o mesmo software e fornece a mesma funcionalidade,
independentemente do fator de forma.
DESEMPENHO E PROTEÇÃO
A série XGS de dispositivos para Sophos Firewall oferece excelente desempenho e proteção.
O tratamento de tráfego inteligente e eficiente libera recursos para tarefas intensivas, como a inspeção
TLS. Isso é possível com a arquitetura de processador duplo, que combina uma CPU multi-core com um Xstream Flow
Processor dedicado para aceleração de hardware.
A série XGS inclui uma ampla variedade de opções de conectividade integradas e adicionais, proporcionando
flexibilidade para se adaptar à maioria dos ambientes.
Fail-to-wire
Suporte a PoE
Cada unidade da série XGS contém uma CPU de 64 bits com memória do sistema, bem como um processador
de fluxo Xstream, também conhecido como unidade de processamento de rede ou NPU, com sua própria
memória. Além das portas de rede fixas, que aumentam com o modelo da unidade, existem módulos
opcionais que fornecem opções flexíveis para expandir a seleção de portas de rede.
A série XGS inclui suporte para PoE, ou Power over Ethernet, portas (802.3ad e 802.3at) e fail-to-wire,
que podem permitir que o tráfego passe pela unidade se houver queda de energia. Fail-to-wire e PoE
podem estar disponíveis a bordo e com módulos adicionais, dependendo do modelo da unidade.
Modelos de mesa
Modelos 1U
(1,75 polegadas)
Modelos 2U (3
polegadas)
Todos os modelos 1U e 2U vêm com asas para montagem em rack e incluem trilhos ou têm trilhos como uma opção. Para os
modelos de mesa, as asas de montagem em rack são opcionais.
[Informações adicionais]
https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophos-firewall-br.pdf
MEMÓRIA 4GB 6 GB 8 GB
ARMAZENAR 16 GB 64 GB
PORTAS FIXAS 5 9 14
Todos os modelos de desktop estão disponíveis com e sem wireless integrado e vêm com uma única fonte de
alimentação. Todos os modelos de desktop, exceto o XGS 87 básico, têm a opção de conectar uma segunda
fonte de alimentação.
Há um módulo 3G/4G LTE opcional substituível pelo usuário disponível para unidades desktop da
série XGS, exceto 87 e 107.
RÁDIOS 1
PADRÕES Banda dupla 802.11a/b/g/n/ac
OPCIONAL n/D Banda dupla MIMO 2x2 802.11n/ac
SEM FIO
MÓDULO
Todos os modelos de desktop sem fio possuem um único rádio de banda dupla 802.11a/b/g/n/ac. Como há
apenas um único rádio, eles só podem transmitir em 2,4 Ghz ou 5 Ghz, não em ambos simultaneamente.
O XGS 116w, 126w e 136w também tem a opção de um segundo módulo wireless que é
802.11n/ac dual band. Essa adição permite que o dispositivo transmita nas bandas de 2,4 Ghz e 5 Ghz
simultaneamente e forneça uma melhor cobertura.
Modelos XGS 1U
MEMÓRIA 8 GB 12 GB 16 GB 32 GB
PORTAS FIXAS 10 12
FLEXIPORT BAYS 1 2
Todos os dispositivos XGS Series 1U incluem uma porta de gerenciamento Ethernet que permite que você se conecte
ao WebAdmin em https://10.0.1.1:4444. Todos os dispositivos 1U possuem uma fonte de alimentação externa opcional
que pode ser montada na parte traseira da unidade para não ocupar espaço adicional no rack, exceto o XGS 4500,
que possui uma fonte de alimentação interna opcional hot swappable. Os dispositivos 1U também incluem 1 ou 2 baias
FlexiPort.
Modelos XGS 2U
MEMÓRIA 64 GB 80 GB
PORTAS FIXAS 16 20
FLEXIPORT BAYS 2
PODER 2 2
As maiores unidades XGS Series 2U incluem armazenamento RAID de hardware, 2 baias FlexiPort e 2 fontes de
alimentação internas hot swappable.
Essas unidades também incluem 1 ou 2 baias de expansão NIC, que podem ser usadas para adicionar um módulo
com 4 portas de 2,5 GbE e 12 portas de GbE.
Módulos FlexiPort
4 portas 10 GbE SPF+ SFP de 8 portas GbE
Aqui você pode ver os módulos FlexiPort que estão disponíveis para os modelos 1U e 2U, além do
4 portas 2.5 GbE PoE, que está disponível apenas nos modelos 1U.
Existem três outros módulos FlexiPort disponíveis apenas para os dispositivos 2U:
• 8 portas 10 GbE SFP+
• 2 portas 10 GbE fiber (LC) Bypass e 4 portas 10 GbE SFP+
• 2 portas 40 GbE QSFP+
Além disso, há um SFP VSDL para todos os modelos que permite conectar um modem DSL via SFP.
Observe que os módulos FlexiPorts não são hot swap e requerem que o dispositivo seja desligado para
instalação.
O Sophos Firewall suporta cabos breakout para interfaces de 40 gigabits, dividindo-os em interfaces de
10 gigabits usando DAC ou cabos breakout de fibra.
Informações adicionais em
Antes de instalar, desative as adições e serviços de convidados e interrompa os backups e instantâneos automatizados
É importante instalar o Sophos Firewall em uma das plataformas de virtualização suportadas e suas versões testadas
mostradas na ajuda online. Essas plataformas foram testadas e funcionam com o Sophos Firewall Operating System
(SFOS).
[Informações adicionais]
Sophos Firewall: plataformas de virtualização
suportadas: https://docs.sophos.com/nsg/sophos-firewall/
19.5/Help/en us/webhelp/onlinehelp/VirtualAndSoftwareAppliancesHelp/vs_VirtualSoftwareApplianceIntro/
ind ex.html
Modo Gateway
zona WAN
Internet Porta B
Porta A Porta C
Sophos zona DMZ
zona LAN
Firewall
Vamos dar uma olhada em algumas das formas mais comuns de implantação do Sophos Firewall.
O cenário mais comum é quando você deseja substituir um firewall antigo e precisa proteger sua
rede interna. O Sophos Firewall é implantado para lidar com o roteamento principal e como a primeira
linha de defesa contra ameaças de rede.
Isso é mostrado aqui com o Sophos Firewall no modo gateway. A porta A está configurada para a
zona LAN, a porta B para WAN e a porta C para DMZ. Qualquer ameaça de rede que tentar ir para a
zona LAN ou DMZ será interrompida pelo firewall.
Modo Ponte
zona WAN Existir
Firewall + Segurança sincronizada
+ Prevenção de Intrusão
Internet Porta B + Proteção avançada contra ameaças
+ Ligando zonas LAN e DMZ
Porta A Porta C
Sophos zona DMZ
zona LAN
Firewall
Outro tipo comum de implantação é onde há um firewall existente que lida com a conectividade
WAN que não será substituída. Isso geralmente é feito para adicionar recursos de proteção
adicionais não oferecidos pelo firewall existente.
Para que você não precise alterar o esquema de endereço IP da rede, o Sophos Firewall pode ser
implantado no modo bridge, também conhecido como modo transparente ou modo inline.
Neste modo, os clientes na rede não estão cientes do Sophos Firewall e o tráfego passa sem
que o endereço IP seja alterado, mas ainda permitindo que o Sophos Firewall verifique e proteja
contra ameaças.
estouros de buffer
zona WAN Existir
Firewall
Porta A Porta C
Sophos zona DMZ
zona LAN
Firewall
injeção SQL
Servidor web Servidor de aplicativos
Escalação de privilégio
O Sophos Firewall também pode ser adicionado a uma rede para proteger aplicativos da web. Muitas vezes, existem muitos
componentes que compõem um aplicativo da Web, incluindo servidores da Web, bancos de dados, servidores de arquivos e
assim por diante, mas isso significa que também há uma ampla gama de ataques que podem ser lançados contra eles.
No exemplo aqui, o Sophos Firewall pode proteger o aplicativo da web de ataques comuns,
incluindo estouros de buffer e injeção de SQL.
zona WAN
Firewall existente
Internet
Trocar
+ Espelhamento de porta
O último tipo de implantação que veremos é geralmente usado para avaliar os recursos do Sophos
Firewall sem a necessidade de fazer alterações na rede.
Neste exemplo, o Sophos Firewall está conectado a uma porta no switch que tem o espelhamento de porta
ativado, de modo que uma cópia de todo o tráfego seja enviada ao Sophos Firewall.
Embora o Sophos Firewall não possa influenciar o tráfego ao vivo na rede, ele pode registrar e relatar o que vê e,
a partir disso, você pode ver a proteção adicional que pode adicionar à rede.
Revisão do capítulo
O Sophos Firewall pode ser implantado usando dispositivos de hardware da série XGS e XG ,
virtualmente no local e na nuvem, ou usando hardware compatível com Intel
Os dispositivos da série XGS têm uma CPU de 64 bits e uma unidade de processamento de rede
(NPU) separada, ambas com memória própria. A série XGS tem suporte para fontes de alimentação
duplas , PoE, fail-to-wire e expansão com módulos FlexiPort
O Sophos Firewall pode ser implantado para uso de várias maneiras, as mais comuns são o modo
de gateway padrão , como uma ponte transparente, para proteção do servidor da web e no
modo de descoberta
Aqui estão as três principais coisas que você aprendeu neste capítulo.
O Sophos Firewall pode ser implantado usando dispositivos de hardware das séries XGS e XG, virtualmente no
local e na nuvem, ou usando hardware compatível com Intel.
Os dispositivos da série XGS têm uma CPU de 64 bits e uma unidade de processamento de rede (NPU)
separada, ambas com memória própria. A série XGS tem suporte para fontes de alimentação duplas, PoE,
fail-to-wire e expansão com módulos FlexiPort.
O Sophos Firewall pode ser implantado para uso de várias maneiras, as mais comuns são o modo de gateway
padrão, como uma ponte transparente, para proteção do servidor da Web e no modo de descoberta.