Shunze 學園 - 《分享》Bridge Mode手動設定

Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》Bridge Mode手動設定

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》Bridge Mode手動設定

Bridge Mode橋接模式，又稱Transparent Mode，
一般用於無法取代現有防火牆，但又想加強某區域安全性的一種做法，
Bridge Mode也是PoC時常用的一種測試架構。

將Bridge Mode防火牆設定在某區域連外的通道，
透過防火牆上的安全模組來分析、掃描流通其上的封包，藉以達到加強安全性的效果。
實際部署時，可選購 Hardware bypass模組，以避免Bridge Mode防火牆死機或斷電時，
Bridge Mode防火牆成為網路中的障礙。

在不透過Wizard的情況下，手動建立Bridge Mode的方式如下。

在 CONFIGURE > Network 中按下 Add Bridge 建立橋接配對網卡。
在Bridge Interface組態中，選擇兩張未使用的網卡，並設置其所屬Zone，例如LAN與WAN，
然後設定其IP與該網段的Gateway IP相關資訊。

↑PoC時，請不要勾選“Enable routing on this bridge pair”選項！
完成後，在Network中就可看到此新增的橋接介面。
點擊它，可展開其橋接網卡成員。
然後設定網卡成員間的防火牆規則。
由於順子的範例中，兩張網卡成員分別屬於LAN與WAN，
所以順子建立了LAN to WAN與WAN to LAN雙向開放規則。

在這兩條規則中，因為都是內部傳導，不需要NAT，所以順子取消了NAT與Routing的相關設定！
最後，如一開始所述，部署Bridge Mode是為了加強某區域安全性的一種做法，那麼重點自然是在“安全性”這部分；
不然在完全透通的情形下，不做任何安全性模組的套用，Bridge Mode只是增加了一個設備故障風險的節點。

在橋接點內對外，外對內的雙向測試暢通無誤後，我們就可以在雙向的防火牆規則中，加入適合的模組來套用。
以達安全防護的目的！

Bridge Mode的設定到此完成～

另外，Bridge Mode在部署時無法適用於以下場景，環境規劃時請留意。

Dynamic DNS
Multicast Routing
DHCP Client
IPsec VPN
VLAN
Virtual Host
PPPoE
Bridge (a Bridged Interface cannot be a member of Bridge)

此外，在Bridge Mode下順子測試過以下的Sophos應用場景是OK的，一併分享給大家。

Email Protect (Legacy Mode)。
RED，需Mapping外部IP的TCP/UDP 3400,3410給XG。
Wifi Protection，需在Router中設一筆Host route 1.2.3.4指向XG。

參考資料
Deploy Sophos Firewall in Bridge Mode
https://community.sophos.com/kb/en-us/123276

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2016-11-30, 10:52

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》Enable routing on this bridge pair是什麼？

在Bridge Mode設定中，有一個“Enable routing on this bridge pair”的選項可供勾選，
這個選項的功能是什麼？

在Community上提問題後，得到如下的答覆。

簡單來說，在啟用routing的情況下，橋接點因為有進行routing，
所以從橋接對Port 4上來的流量往目的192.168.1.100送時，
會在橋接點做routing下車，直接往Port 3 (192.168.1.0/24網段)的192.168.1.100主機；
而回程時，192.168.1.100主機的gateway指向Port 3，所以會從Port 3上車，進行routing後往Port 4送。
完成對稱的來回交流。

而在不啟用routing的情況，
從橋接對Port 4上來的流量往目的192.168.1.100送時，會直接送到Port 5，
然後在外部routing完，傳送到192.168.1.100主機；
而回程時，192.168.1.100主機的gateway指向Port 3，所以會從Port 3上車，進行routing後往Port 4送。
形成不對稱的來回交流。

以上是XG上有Mix Mode (Bridge Mode與Gateway Mode並存)的情況下才會發生的情境，
在一般單純2 Port組成Bridge Mode的情況下，順子不建議勾選“Enable routing on this bridge pair”，
因為順子曾經遇到過勾選此選項後，造成LAN無法透過WAN連外的情況發生！
取消此選項後，一切變的正常，LAN也可以順利連外了...

透過Bridge Mode進行PoC時，建議不要勾選此選項，以免出現預期之外的狀況！
以上分享給大家～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2016-11-30, 12:05

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》Bridge Mode的調整設定

XG預設部署方式是Gateway Mode，
在改成Bridge Mode後，有些系統參數需進行調整，
使用時才不會出現一些怪怪、不合理的現象。

這些原廠建議的調整指令如下。

set http_proxy add_via_header off
是否增加HTTP header裏的via資訊.預設值on,請設定為off.

set advanced-firewall tcp-est-idle-timeout 2700
TCP連線閒置的斷開時間,可接受值2700-432000,預設值10800,請改到最小的2700,以加速time,release已建立的session.

set advanced-firewall midstream-connection-pickup on
是否啟用midstream-connection-pickup機制,預設值off,請改為on.

set advanced-firewall tcp-seq-checking off
檢查TCP封包中的SYN與ACK號碼,預設值on,請改為off.

set advanced-firewall tcp-selective-acknowledgement off
TCP協定中的receiver回應sender已收到資料片段的一個確認機制.預設值on,請改為off.

set advanced-firewall strict-policy off
是否套用嚴格的政策機制.預設值on,請改為off.

sys auth cta unauth-traffic drop-period 2
未認證流量被拒絕的時間區間,預設值120秒,建議調整為2秒.

set service-param HTTPS invalid-certificate allow
HTTPS協定中,非法憑證是否允許.預設值allow,請確認是否為allow.

另外，還有Web裏的pharming protection網址嫁接保護也要取消勾選。

順子在客戶端環境遇到這樣的情形，在XG以Bridge Mode的方式介接後，
原本可以對外提供服務的HTTPS站台都無法在外網連入了！
但HTTP的服務卻不受影響？

必需停用pharming protection，提供外網的HTTPS連線才恢復正常，
部署時，請注意此點。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2017-05-17, 22:55

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》Bridge Mode下所有網頁都打不開？

同事在使用bridge mode做PoC時遇到了一個奇怪的問題，
當啟用Web Filter時，所有網頁都打不開，
即便是選擇Allow All也一樣！

但改為none時，所有網頁卻都可以正常開啟了！
這是怎麼回事？

原來有沒有啟用web filter在封包的處理上有很大的不同，
當選擇為none時，XG不進行過濾，封包直接經由橋接配對送到另外一端。

但選擇其它web filter時，XG會以proxy的架構來處理封包，
封包會先停留在XG上，然後由XG比對pattern，判定這個封包該擋，還是放？

這時若XG本身無法更新pattern，那麼在檢查時就會出了問題，無法判斷該擋還是該放？
然後就造成了啟用web filter後，所有網頁無法開啟的狀況！

同事的這個案例，是因為環境中有兩個routing設備-既有防火牆與Core Switch，而XG就夾在兩個設備之間。
在這個案例中，XG的gateway指向既有防火牆與Core Switch都可以連外，所以也沒有想到會是gateway的問題。

直到後來發現雖然gateway指向既有防火牆可以通，
但XG的license sync與pattern update都會失敗，才發現是這個問題。
在將gateway改指向Core Switch後，問題總算順利排除。

至於環境中的gateway究竟是要指向既有防火牆還是Core Switch？
這要看環境架構而定。
不過一個簡單的測試方法就是去試license sync與pattern update，
成功了，就是對的；錯了，就改成另一個吧～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2019-12-25, 15:35