Программный маршрутизатор Sophos XG Firewall для x86 платформы – обсуждение | [other] : 300Mb\s - 866Mb\s | 10x100Mb + 10x1Gb | нет



Реп: (746)
Программный маршрутизатор Sophos XG Firewall для x86 платформы – обсуждение


На форуме принято размещать изображения под спойлером


Описание
Программный маршрутатор и одновременно Next-Generation Firewall (NGFW) для установки на x86 платформы.

Межсетевые экраны нового поколения (Next-Generation Firewall, NGFW) — это интегрированные платформы, в которых классический межсетевой экран и маршрутизатор сочетаются с новейшими идеями для фильтрации трафика, такими как системы глубокого анализа трафика Deep Packet Inspection (DPI), аутентификация пользователя любым способом, система предотвращения вторжений Intrusion Prevention System (IPS), и др.


Версия Home Edition решения Sophos XG Firewall предоставляет полную защиту вашей домашней сети, включая все функции коммерческой версии: защита от вирусов, веб фильтрация по категориям и URL, контроль приложений, IPS, шейпинг трафика, VPN (IPSec, SSL, OpenVPN, HTML5 и др.), отчетность, мониторинг и многое другое. Например, с помощью XG Firewall можно провести аудит сети, выявить рисковых пользователей и блокировать трафик по приложениям. Автоматические обновления антивирусных баз.

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)
https://habr.com/ru/company/fgts/blog/521402/

предыдущая статья
https://habr.com/ru/company/fgts/blog/460239/

Удаленная работа или обзор VPN в Sophos XG Firewall
https://habr.com/ru/company/fgts/blog/522432/



Поставляется в виде законченного ISO образа с собственной ОС на базе ядра Linux.
Текущая версия SFOS v18

Работа на Intel-совместимом оборудовании и в виртуализации (wmvare).
Не лицензируется по IP адресам.
Ограничение по сравнению с коммерческой версией — используются до 4 ядер CPU, и до 6ГБ RAM.
Функциональных ограничений бесплатной версии нет.

Описание на сайте производителя
https://www.sophos.com…r-Guide#Reviewer-Guide


Документация в виде PDF


Технические характеристики

Пропускная способность маршрутизатора, число портов зависит исключительно от процессора, количества сетевых интерфейсов, количества памяти.
Можно на простом "домашнем" железе собрать систему, которая обеспечит пропускную способность до 1Гбит/с .


Минимальное железо:

-x86 платформа на базе процессора AMD, Intel (от Atom, Celeron и выше)
-от 2 до 6 GB RAM
-HDD от 16 GB
-не менее двух сетевых интерфейсов (сетевых карт)





Статьи

https://habr.com/ru/company/fgts/blog/460131/

http://abitek.by/wp-co…-XG-Datasheet-ru-1.pdf

Dashboard интерфейса управления http://i.piccy.info/i9…12264/1367883/dash.jpg

Описание на сайте производителя [url="https://www.sophos.com…r-Guide#Reviewer-Guide"]
Форум на сайте производителя. https://community.soph…products/xg-firewall/f




Куратор темы: В теме нет куратора


Сообщение отредактировал densen2002 - 15.02.21, 16:04



Реп: (746)
Как скачать бесплатную домашнюю версию.

Для скачивания образа ПО необходимо:
1. В браузере запустить VPN с американским адресом (обязательно)
2. Зайти https://www.sophos.com…wall-home-edition.aspx
Нажать "Get Started"
3. Заполнить поля на английском языке, указав свою гугловскую почту (обязательно).
4. Получить ссылку для скачивания. Скачать iso образ.
5. На почту придет серийный номер для активации. Срок действия домашней лицензии - до 2099 года

Для установки ПО на вашу платформу необходимо:

1. Записать установочный образ iso (примерно 412МБайт) на флешку,например, программой Rufus.
2. Подключить монитор, клавиатуру. Загрузиться с флешки, согласиться с тем, что данные на жестком диске будут уничтожены.
3. Следовать инструкциям.
4. После успешной установки вы можете попасть в консоль xg firewall с логином admin и паролем admin
В консоли вы можете поменять ip-адреса на интерфейсах LAN/WAN. Можно ничего не делать и оставить все умолчанию как есть (рекомендуется).
5. Подключиться ноутбуком/компьютером напрямую к LAN интерфейсу xg firewall. Удостоверится, что ноутбук получил по DHCP адрес (172.16.16.x)
6. Подключить WAN порт xg firewall в домашнюю сеть с выходом в интернет, для первоначальной настройки. (По умолчанию на WAN интерфейсе настроен DHCP клиент)

Основная настройка xg firewall осуществляется только через админку по адресу https://172.16.16.16:4444 (если вы не меняли ничего в п.4)
При первом входе в админку вы увидите wizard который поможет вам пройти первоначальную базовую настройку.

Видероинструкции по первоначальной настройке xg firewall и настройке VPN доступа извне.
https://www.youtube.com/watch?v=0eS2CXKF7Og
https://www.youtube.co…4963-8477-8f3f780984cc

После успешной настройки вы можете выключить свой старый маршрутизатор и поставить вместо него xg firewall.



Сообщение отредактировал densen2002 - 09.06.20, 23:23



Реп: (746)
Как создать OpenVPN сервер и OpenVPN пользователей.


Настройка SSL OpenVPN серверной части
https://www.youtube.com/watch?v=3_mNelRqLyw
https://www.youtube.com/watch?v=G2JXd6hwOTI

На стороне клиента можно использовать любой OpenVPN-совместимый клиент для подключения к XG.
Отлично работает https://play.google.co…e.blinkt.openvpn&hl=ru
Отлично работает https://apps.apple.com…pn-connect/id590379981


Пользователь может зайти удаленно на портал пользователей XG удаленно и скачать готовый кастомизированный под него профайл или сертификат OpenVPN. Там же, прямо с портала можно скачать клиент для Win.

Весьма актуально для удаленки




Не забудьте создать разрешающее правило - из зоны VPN в зону WAN ( если нужен выход в Интернет) и в зону LAN (если нужен доступ к локалке)


По умолчанию включен SSL режим TCP (для работы через сети мобильных операторов)

Как траблшутить клиентов
https://community.sophos.com/kb/en-us/127189

Сообщение отредактировал densen2002 - 02.06.20, 23:57



Реп: (746)
Пользователи

Sophos XG различает два типа пользователей:

1. Конечных пользователей, которые подключаются к Интернету из-за брандмауэра (или удаленно из Интернет к брандмауэру)
2. Пользователей-администраторов, которые имеют доступ к объектам и настройкам брандмауэра.

Более подробно о пользователях https://docs.sophos.co…oncepts/LiveUsers.html

Сообщение отредактировал densen2002 - 02.06.20, 23:58



Реп: (746)
Traffic shaping

Traffic shaping
Используя политики Traffic shaping, вы можете управлять пропускной способностью и назначать приоритеты различным типам трафика,
чтобы уменьшить влияние ограниченной пропускной способности вашего Интернет -канала.

Политики определяют тип ассоциации трафика.
Например, вы можете создать политики, которые будут использоваться для ограничения пропускной способности для пользователей или приложений.
Вы можете ограничить политики по времени, указав расписание.



Реп: (746)
Документ по выбору требуемого железа в зависимости от предполагаемой нагрузки



Примерная грубая табличка по числу обслуживаемых пользователей исходя из использования процессора с ядрами "Intel Core I 2,4 ГГЦ"

Ограничение бесплатной версии - 4С6 (4 ядра процессора + 6ГБ памяти). Зона "бесплатности" обведена карандашом



Видно, что бесплатная версия на железе 4 ядра 6 ГБ памяти в "полной защите" (Full Guard) вытянет примерно 150 пользователей.
Если ограничится только Firewall - до 500 пользователей.

Надо понимать, что режим "Full Guard" - это глубокий анализ трафика "на лету", и бытовым роутерам типа Асуса такое даже не снилось в кошмарном сне.
Конечно, много зависит от тактовой частоты процессора. При возрастании частоты производительность растет "значительно" (цитата)

На практике для домашнего варианта вполне подойдет двух или четырех ядерный Целерон.

Реальный пример - миниатюрный х86 ZBOX-CI321NANO с двумя ядрами 1,2 ГГц Целерон терминирует два туннеля IPSEC (примерно 10-20 мбит/с) и одновременно шлюзует домашнюю сеть в Интернет (60 Мбит/с) (full guard).
Загрузка проца не превышает 25-30 процентов.

Сообщение отредактировал densen2002 - 09.06.20, 23:30



Реп: (412)
densen2002 @ 26.04.20, 15:36 *
Используя политики Traffic shaping

у меня трафик шифрованный - как он их приотизирует?



Реп: (746)
Jomphboob @ 28.04.20, 17:19 *
у меня трафик шифрованный - как он их приотизирует?


https://community.sophos.com/kb/en-us/123357



Реп: (568)
densen2002 @ 26.04.20, 10:07 *
не менее двух сетевых интерфейсов

Таки шо? Если один, то сасамба?



Реп: (412)
Все на самом деле просто, это еще одна версия для продажи под хомячков. Аналитика трафика? В век шифрованного трафика звучит заманчиво и загадочно, анализа нет - а белые списки можно где хочешь ввести. Сигнатуры? Актуальные каждую секунду да и слив информации обеспечен. А сигнатуры то на какой рынок обеспечены? А у нас пользователи ходят на аналогичные ресурсы без сигнатур от этого производителя.
И в итоге кроме построения графиков за 4 ядра и 6гб вы ничего не получите.
Зачем делают сервера и сетевые экраны в энтерпрайз сегменте? Для интеграции своих продуктов! А с чем работает эта система? Да хз. А анализом трафика все занимаются через снифер и датацентры.



Реп: (568)
densen2002 @ 28.04.20, 20:01 *
да ставь с одним, расскажешь потом куда трафик гоняешь.

Туда и обратно, умник.



Реп: (568)
densen2002 @ 28.04.20, 21:25 *
Товарищ, как вы сделали брандмауэр с одним физическим интерфейсом?

Руками.
densen2002 @ 28.04.20, 21:25 *
поделитесь опытом.

Вас в гугле забанили? Я Вам помогу. Вот.



Реп: (40)
С одним интерфейсом - "firewall / router on a stick", есть такое. Однако лично я пользую 2 LAN интерфейса, ибо.
Тем паче, что fanless miniPC с 2-мя интерфейсами можно купить легко, давно есть и с 4,5,6.. LAN.
Не говоря уже про втыкание ещё одной сетевухи в micro-ATX или даже в ноут платой расширения.

Моменты:
1. Тонкость с установкой напрямую на x86 (НЕ виртуалка), шить iso на USB flash надо Etcher, иначе вряд ли. https://www.balena.io/etcher/
2. При переносе физически из "внутри сетки" на самый вход , при втыкании провода из кабельного модема Sophos XG v18 не хотел автоматом подхватывать ip, dns, gateway и даже вручную кочевряжился.
3. Есть 18.0 GA-Build379, после установки 17.5 можно накатить только upgrade, а не full, появится второй инстанс, перейти на него. https://community.soph…0-ga-build379-released
4. Виртуалка с точки зрения безопасности лучше наката XG прямо на Intel (mini) PC.
5. Очень не рекомендуют домашние SSD, особенно TLC / QLC. Или HDD или Industrial SSD, ибо движок постоянно записи делает, у народа гробились дешёвые SSD.

На коробочке 4-core, 4GB RAM, как лучше использовать ресурсы x86, не парить мозг и продолжать сидеть на чистом XG поверх железа?
А какой гипервизор меньше ресурсов жрёт, из бесплатных версий vSphere or Hyper-V ? Или всё равно, нет смысла 2 из 4 ядер и 2 из 4GB RAM отдавать?

Сообщение отредактировал Morrowing - 18.05.20, 03:54



Реп: (746)
Не вижу смысла ставить на stick, ибо нужен свитч с вланами, который сам по себе стоит примерно полтиннник у.е. Смысл?

К тому же, понятно, один физический порт эзернет на стике будет бутылочным горлышком на скоростях подключения в сотни мегабит.

У нас такие скорости становятся нормой.

по пунктам

1. Ставил напрямую на х86 с флешки, подготовленной ruckus. Без проблем.
2. XG без проблем подключился к прову по pppoe
3. пока не апгрейдил
4. чем?
6. беру на ибее серверные Intel SSD, никаких проблем не было никогда.

Виртуалка актуальна для тех, у кого 24/7/365 работает машина для виртуалок. У меня такая есть, для работы, жрет энергии много, поэтому мне жалко электричества.

Я предпочел fanless PC с двумя сетевыми картами. На ибее навалом. Или на али, или еще дешевле - таобао.

Сообщение отредактировал densen2002 - 18.05.20, 09:15



Реп: (40)
В-общем, немножко вывихнул мозг, но настроил комбинацию - каб.модем, fanless miniPC 2xLAN и Sophos XG v18 GA (НЕ виртуалка)
https://community.soph…0-ga-build379-released

В похожем случае надо сделать так:

1. Подставить MAC-address от ранее подключённого WiFi роутера (мой каб.модем почему-то miniPC ничего не выдаёт по DHCP и вручную тоже не обойти):
Configure-Network-Port2(WAN)-Edit interface-Advanced settings-Override default MAC address и туда вставить заранее скопированный MAC-address от ранее подключённого роутера.

2. Создать правила firewall для пропускания, собсно, интернета, которых нормальных в v18 нет, почти всё запрещено (я ещё и все правила по дефолту удалил):
Protect - Rules and policies - в правом верх углу кнопка Add Firewall rule-New rule и сделать два правила Lan to Wan и Wan to Lan с параметрами
Source LAN, Destination WAN (второе правило - наоборот), везде временно оставить "Any", хотя services нужно HTTP, HTPPS и если ваш девайс назначен - DNS,
Security features - я поставил все 3 галки в Malware and content scanning
Other security features - Detect and prevent exploits (IPS) я соответственно правилу поставил LAN to WAN или наоборот.

3. Выключить и включить все сет.устройства (свичи, точки доступа..), которые идут далее в сетке после вашего свежеустановленного firewall, чтобы адреса обновились.
Не забыть где и как настроены ip, а то ваш новый Sophos XG раздаёт по DHCP, а точка доступа имеет статически прописанный и т.п.

4. Открыть пиво и читая маны, регистрировать Sophos XG полученным серийником, обновлять сигнатуры и детально настраивать firewall
(прямо в панели управления сверху ссылки на видео-гайды How-to и текстовый help)

P.S. В моём случае после выключения-перезагрузки при нач.настройке п.п. 1 и 2 - нужно было подключить USB клаву к mini PC и нажать Enter, иначе он не грузился полноценно.

Сообщение отредактировал Morrowing - 21.05.20, 06:06



Реп: (746)
В моем случае (версия 17.5) дефолтная конфигурация нормально работает из коробки, надо было только настроить линк на провайдера (РРоЕ)

Вообще, как и у Микротика, не нужно сносить дефолтный файрвол

Он нормально работает.

Сообщение отредактировал densen2002 - 03.06.20, 00:00



Реп: (746)
Есть хитрость с DHCP сервером.

Для статических адресов надо зарезервировать диапаазон, который не должен пересекаться с дипазоном дин. адресов. (например 172.16.16.50-172.16.16.100 для статики 172.16.16.100-172.16.16.254 для динамики)

Забить в таблицу статических записей пару МАК-адрес (172.16.16.50-172.16.16.100) .
Клиент с данным МАКом получит по дхцп статический адрес.

Клиент вне таблицы получить по дхцп динамический адрес из диапазона 172.16.16.100-172.16.16.254 .

Сообщение отредактировал densen2002 - 29.05.20, 21:59



Реп: (746)
Sophos XG Firewall русифицирован.
На страничке входа в ниспадающем меню выберите русский язык и залогиньтесь.

Сообщение отредактировал densen2002 - 30.05.20, 11:00



Реп: (746)
https://www.youtube.com/watch?v=3GZ-tm9ePsg

Простейший способ создавать IPSEC удаленных пользователей (о создании OpenVPN пользователей см. сообщение 3 в этой ветке)

1. Сначала создаем пользователя по пути Configure- Authentification - Users
Указываем логин/пароль/e-mail
Указываем - Sophos Connect Client - Enable
Сохраняем пользователя.


2.Идем по пути Configure - VPN - Sophos VPN Client
Создаем нового пользователя.
Указываем пассфразу.
после конфигурирования пользователя экспортируем его конфиг и высылаем пользователю (почтой или вайбер/телеграм).

Пользователь после установки Sophos VPN Client на своем РС импортирует конфиг и запускает соединение.
Указывает логин/пароль по п.1.
Все работает.

Таким образом заметно упрощается создание IPSEC соединения для удаленщиков.

Для того чтобы удаленщики могли выходить в Интернет, надо создать разрешающее правило, из зоны VPN в зону WAN (на видео подробно)
Можно разрешать избирательно, отдельным пользователям (Match Users)
При создании пользователя по п.1 можно назначить ему персональные политики ограничения скорости, трафика, и т.д.

Сообщение отредактировал densen2002 - 02.06.20, 12:43



Реп: (746)
Как смотреть логи.

1 способ.
Есть кнопка вэб-просмотра справа сверху дашборд.



2 способ.
Некоторые логи, в частности дебаги, требуют консольного доступа

Зайти по ssh, каталог /log
(как попасть в шелл: ssh > option 5 > option 3)

Сообщение отредактировал densen2002 - 02.06.20, 02:57



Реп: (746)
Кому нужнол поднять site-to-site IPSEC туннель с Mikrotik - см. нюансы:

https://community.soph…cept-any-proposal-sent


проверенный конфиг микротика версии 6.46.5


/ip ipsec profile
set [ find default=yes ] dh-group=\
ecp256,ecp384,ecp521,ec2n185,ec2n155,modp8192,modp6144,modp4096,modp3072,modp2048,modp1536,modp1024,modp768 dpd-interval=30s \
enc-algorithm=aes-256,camellia-256,aes-192,camellia-192,aes-128,camellia-128,3des,blowfish hash-algorithm=sha256
add dh-group=modp2048 dpd-interval=30s enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=1h name=sophos nat-traversal=no
/ip ipsec peer
add address=remote_wan_ip/32 comment="sophos ATM" exchange-mode=ike2 local-address=local_wan_ip name=peer3 profile=sophos \
send-initial-contact=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha512,sha256,sha1 enc-algorithms=\
aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm,3des,des pfs-group=\
ecp256
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=1h name=sophos pfs-group=modp2048
/ip ipsec identity
add peer=peer3 secret="my_secret"
/ip ipsec policy
set 0 dst-address=local_lan proposal=sophos src-address=remote_lan
add dst-address=remote_lan peer=peer3 proposal=sophos sa-dst-address=remote_wan_ip sa-src-address=local_wan_ip src-address=\
local_lan tunnel=yes
/ip ipsec settings
set accounting=no


Сообщение отредактировал densen2002 - 02.06.20, 13:01


Полная версия   Текстовая версия

Помощь   Правила

Сейчас: 29.03.24, 00:11