Sophos Firewall: Configuração de Firewall, NAT e VPN em 2026

Sophos · Firewall · SFOS · XGS · IPsec · SSL VPN · SD-WAN · HA  |  ✎ Duarte Spínola  |  2026-06-25

O Sophos Firewall (anteriormente conhecido como XG Firewall e, antes disso, Sophos UTM) é uma appliance de segurança de próxima geração (NGFW) baseada no sistema operativo proprietário SFOS — Sophos Firewall OS. Com a série de appliances XGS (XGS 87/107/116/126/136 para pequenas PME, XGS 2100/2300/3100/3300 para médias empresas, XGS 4300/4500 e XGS 5500/6500/7500/8500 para grandes implementações), a Sophos oferece protecção unificada com firewall, NAT, VPN, web filtering, application control, IPS, ATP e SD-WAN num só produto. Ao contrário de soluções open-source como o OPNsense ou pfSense, o Sophos Firewall tem licenciamento comercial com subscrições para as funcionalidades de segurança avançadas. Este guia cobre a configuração completa em SFOS v22.0: zonas e interfaces, regras de firewall, NAT (static, DNAT, SNAT, 1:1), VPN IPsec site-to-site, SSL VPN com Sophos Connect, Web Protection, Application Control, IPS, ATP, SD-WAN, HA active/passive, autenticação e CLI troubleshooting. As fontes oficiais estão referenciadas inline, baseadas na documentação oficial do Sophos Firewall v22.0.

Neste artigo

  1. Introdução ao Sophos Firewall e SFOS
  2. Arquitectura: Zonas, Appliances XGS e Sophos Central
  3. Passo 1 — Configuração Inicial (Interfaces e Zonas)
  4. Passo 2 — Regras de Firewall com Zonas
  5. Passo 3 — NAT (Static, DNAT, SNAT, 1:1 NAT)
  6. Passo 4 — VPN IPsec Site-to-Site
  7. Passo 5 — SSL VPN com Sophos Connect
  8. Passo 6 — Web Protection, Application Control e IPS
  9. Passo 7 — ATP, SD-WAN e QoS
  10. Passo 8 — Alta Disponibilidade (HA Active/Passive)
  11. Passo 9 — Autenticação (AD, RADIUS, LDAP, SSO)
  12. CLI Troubleshooting (Advanced Shell)
  13. Erros Comuns de Configuração
  14. Checklist Rápido de Verificação

1. Introdução ao Sophos Firewall e SFOS

O Sophos Firewall OS (SFOS) é o sistema operativo que corre em todas as appliances XGS e em versões virtualizadas (VPX, cloud — AWS, Azure, VMware, Hyper-V, KVM). A versão actual em produção é o SFOS 22.0 MR1, com melhorias em SD-WAN, IPS e performance. O SFOS substituiu o antigo Sophos UTM (Unified Threat Management), consolidando todas as funções de segurança numa única appliance com uma interface web de configuração (Sophos Firewall — Startup Help).

A principal diferença face a concorrentes como FortiGate ou Palo Alto é a filosofia Sophos Synchronized Security — a firewall comunica com o Sophos Intercept X (endpoint protection) para identificar dispositivos comprometidos e isolar automaticamente hosts que apresentam comportamento malicioso. A gestão centralizada pode ser feita via Sophos Central, a plataforma cloud da Sophos (Sophos Administrator Help).

💡 ℹ️ Nota

O Sophos Firewall pode ser gerido localmente via interface web (admin portal na porta 4444) ou via Sophos Central (cloud). A gestão via Sophos Central permite administrar múltiplas firewalls a partir de um só painel, mas algumas configurações avançadas só estão disponíveis na interface web local.

2. Arquitectura: Zonas, Appliances XGS e Sophos Central

O SFOS organiza o tráfego em zonas — cada interface física ou lógica é atribuída a uma zona. As zonas predefinidas são LAN, WAN e DMZ, mas o utilizador pode criar zonas customizadas (ex.: Guest, VoIP, VPN). As regras de firewall são aplicadas entre zonas (source zone → destination zone), o que simplifica a gestão comparativamente a regras baseadas em interfaces (Sophos — Rules and Policies).

Componentes principais:

Componente Função
Zonas LAN, WAN, DMZ ou customizadas — as regras são aplicadas entre zonas
Interfaces Físicas (Port1-8), lógicas (VLAN,.bridge, Aggregate) ou virtuais (VPN)
Firewall Rules Regras allow/deny baseadas em source zone → destination zone
NAT Static NAT, DNAT (port forward), SNAT (outbound), 1:1 NAT (full NAT)
Web Protection Web filtering, HTTPS scanning, anti-malware via Sophos Live Protection
Application Control Filtragem por aplicação (Facebook, WhatsApp, BitTorrent, etc.)
IPS Intrusion Prevention System — assinaturas de ataques conhecidos
ATP Advanced Threat Protection — sandboxing de ficheiros suspeitos
SD-WAN Routes com múltiplos gateways, profiles de failover e load balancing
HA Alta disponibilidade active/passive entre duas appliances idênticas

A linha de appliances XGS cobre diferentes tamanhos de organização. A série XGS 87/107/116/126/136 é adequada para pequenas PME e filiais; a série XGS 2100/2300/3100/3300 cobre médias empresas; a série XGS 4300/4500 e XGS 5500/6500/7500/8500 é destinada a data centers e grandes implementações. Todas as appliances XGS a partir da série 2100 têm arquitectura dual-processor (CPU x86 + processador de rede dedicado NPU) para melhorar a performance de inspeção de tráfego (Sophos Community).

⚠ ⚠️ Atenção

As subscrições do Sophos Firewall (Web Protection, IPS, ATP, Application Control, Sandstorm) têm licenciamento separado. Sem subscrição activa, a firewall funciona como firewall básica, mas sem as funcionalidades de segurança avançada. Verificar o estado das subscrições em Dashboard > License antes de configurar funcionalidades que dependem de licença.

3. Passo 1 — Configuração Inicial (Interfaces e Zonas)

A configuração inicial do Sophos Firewall é feita através do assistente de setup. Após arrancar a appliance pela primeira vez, o utilizador liga-se à porta de gestão (Port A ou Port 1, consoante o modelo) e acede ao assistente web (Sophos — Startup Help).

Assistente de configuração inicial:

  1. Navegar para https://172.16.16.16:4444 (IP predefinido da porta de gestão)
  2. Efectuar login com credenciais predefinidas (admin / password no rótulo da appliance)
  3. Executar o Setup Wizard:
  • Device name: hostname da firewall
  • Time zone: Europe/Lisbon
  • Network Configuration: configurar WAN (DHCP ou IP estático) e LAN
  • Registration: registar a appliance com a conta Sophos (associar licença)
  1. Concluir o assistente e aguardar reinício

Configurar interfaces e zonas manualmente:

  1. Navegar para Network > Interfaces
  2. Atribuir zonas às interfaces:
  • Port1 → WAN zone (IP público DHCP ou estático)
  • Port2 → LAN zone (192.168.1.1/24)
  • Port3 → DMZ zone (192.168.10.1/24)
  1. Para criar uma zona customizada, navegar para Network > Zones e adicionar:
  • Zone name: Guest
  • Type: LAN (tráfego interno)
  • Network: 192.168.20.0/24
  1. Associar a nova zona a uma interface em Network > Interfaces

💡 ℹ️ Nota

No SFOS, cada interface pertence a uma zona e cada zona pode conter múltiplas interfaces. As regras de firewall são sempre source zone → destination zone, o que torna a configuração mais legível do que regras baseadas em interfaces individuais. Para VLANs, criar sub-interfaces em Network > Interfaces e atribuí-las a zonas separadas ou à mesma zona.

Para configurar uma VLAN via CLI no advanced shell:

# Entrar no advanced shell (Configure > Advanced Shell)
# Criar VLAN 10 na interface Port2
console> system_interface_v2 add name=Port2.10 zone=LAN ip=192.168.20.1 netmask=255.255.255.0
# Verificar configuração de interfaces
console> system_interface_v2 show
# Guardar configuração
console> system_config_save

4. Passo 2 — Regras de Firewall com Zonas

As regras de firewall no Sophos Firewall são baseadas no modelo source zone → destination zone. Cada regra define: source zone, destination zone, source networks, destination networks, serviços (portas) e acção (allow, deny, reject). A ordem das regras é relevante — a primeira correspondência ganha (Sophos — Rules and Policies).

Criar regra allow (LAN → WAN):

  1. Navegar para Rules and Policies > Firewall Rules
  2. Clicar Add Firewall Rule e seleccionar New Rule
  3. Configurar:
  • Rule name: LAN_to_WAN
  • Source zone: LAN
  • Destination zone: WAN
  • Source networks: 192.168.1.0/24 (ou Any para toda a LAN)
  • Destination networks: Any
  • Services: HTTP, HTTPS, DNS (ou Any para permitir tudo)
  • Action: Allow
  1. Clicar Save

Criar regra deny (bloquear tráfego Guest → LAN):

  1. Rules and Policies > Firewall Rules > Add Firewall Rule
  2. Configurar:
  • Rule name: Block_Guest_to_LAN
  • Source zone: Guest
  • Destination zone: LAN
  • Source networks: 192.168.20.0/24
  • Destination networks: 192.168.1.0/24
  • Services: Any
  • Action: Deny
  1. Clicar Save

⚠ ⚠️ Atenção

Por defeito, o Sophos Firewall tem uma regra implícita que bloqueia todo o tráfego entre zonas diferentes, excepto LAN → WAN. Não é necessário criar uma regra “deny all” no fim, mas convém criar regras deny explícitas acima das regras allow para bloquear tráfego específico antes de permitir o resto. As regras são avaliadas de cima para baixo.

Tipos de NAT no Sophos Firewall:

Tipo de NAT Função Uso Típico
SNAT (Masquerade) Traduz IP de origem para IP da WAN Clientes LAN a aceder à internet
DNAT (Port Forward) Traduz destino (porta pública → servidor interno) Publicar servidor web interno
Static NAT (1:1) Mapeia IP público completo para IP interno Servidor com IP público dedicado
Full NAT (1:1 inbound) Traduz origem e destino simultaneamente Mail server com IP público dedicado

5. Passo 3 — NAT (Static, DNAT, SNAT, 1:1 NAT)

O Sophos Firewall suporta quatro tipos de NAT. O SNAT (outbound) é automático por defeito — todos os IPs internos são traduzidos para o IP da interface WAN ao aceder à internet. Para os outros tipos, é necessário criar regras explícitas (Sophos — Rules and Policies).

DNAT (Port Forward — publicar servidor web interno):

  1. Navegar para Rules and Policies > NAT Rules > Add NAT Rule
  2. Configurar:
  • Rule name: Web_Server_DNAT
  • Original source: Any
  • Translated source: Original
  • Original destination: WAN IP (ou IP público específico)
  • Translated destination: 192.168.10.100 (servidor DMZ)
  • Original service: HTTP (80)
  • Translated service: HTTP (80)
  • Inbound interface: WAN
  • Outbound interface: DMZ
  1. Clicar Save

ℹ️ Nota: Ao criar uma regra DNAT, o Sophos Firewall cria automaticamente a regra de firewall correspondente (allow) — não é necessário criar uma regra de firewall separada para o port forward, ao contrário do pfSense onde se tem de criar a regra manualmente.

1:1 NAT (Static NAT — servidor com IP público dedicado):

Para mapear um IP público completo para um servidor interno (todas as portas):

  1. Navegar para Network > Interfaces e adicionar o IP público como Secondary IP na interface WAN
  2. Navegar para Rules and Policies > NAT Rules > Add NAT Rule
  3. Configurar:
  • Rule name: Mail_Server_1to1
  • Original source: Any
  • Translated source: 192.168.10.50 (mail server interno)
  • Original destination: 203.0.113.20 (IP público)
  • Translated destination: 192.168.10.50
  • Original service: Any
  • Translated service: Any
  • Inbound interface: WAN
  • Outbound interface: DMZ
  1. Clicar Save

SNAT (outbound personalizado):

Para que um servidor interno saia com um IP público específico (não o IP principal da WAN):

# Advanced shell — criar regra SNAT via CLI
console> nat_rule_add name=”Server_SNAT” origsrc=192.168.10.50 transsrc=203.0.113.20 origdst=ANY transdst=ORIG origservice=ANY transservice=ORIG srczone=DMZ dstzone=WAN
# Verificar regras NAT activas
console> nat_rule_show

6. Passo 4 — VPN IPsec Site-to-Site

A VPN IPsec site-to-site liga dois sites através de um túnel encriptado. O Sophos Firewall suporta IKEv1 e IKEv2, com a recomendação de usar IKEv2 sempre que possível (Sophos — Site-to-Site VPN).

Configuração no Site A:

  1. Navegar para Site-to-Site VPN > IPsec > Add
  2. Configurar Connection name: VPN_SiteA_to_SiteB
  3. Connection type: Site-to-Site
  4. Authentication mode: Preshared Key
  5. IKE version: IKEv2
  6. Remote gateway: 203.0.113.50 (IP público do Site B)
  7. Pre-shared key: string aleatória de 32+ caracteres
  8. Phase 1 ( IKE):
  • Encryption: AES-256
  • Hash: SHA-256
  • DH Group: 14 (2048-bit) ou 21 (NIST P-521)
  • Lifetime: 28800 segundos (8 horas)
  1. Phase 2 (IPsec):
  • Local network: 192.168.1.0/24
  • Remote network: 192.168.2.0/24
  • Encryption: AES-256
  • Hash: SHA-256
  • PFS: ON, DH Group 14
  • Lifetime: 3600 segundos (1 hora)
  1. Clicar Save

Configuração no Site B (espelhada):

Phase 1 idêntica (mesmo PSK, IKEv2, AES-256, SHA-256, DH 14). Phase 2 espelhada: Local network = 192.168.2.0/24, Remote network = 192.168.1.0/24.

⚠ ⚠️ Atenção

Se ambos os sites usam a mesma subnet (ex.: 192.168.1.0/24), o túnel IPsec não funciona — é necessário usar NAT traversal ou mudar a subnet de um dos sites. Verificar também que as portas UDP 500 e 4500 estão abertas no ISP ou roteador a montante. Consultar o guia de troubleshooting IPsec para erros comuns.

7. Passo 5 — SSL VPN com Sophos Connect

O Sophos Firewall oferece VPN de acesso remoto via SSL VPN, com o cliente oficial Sophos Connect. Este cliente está disponível para Windows, macOS, iOS e Android, e pode ser descarregado do User Portal da firewall (Sophos — Remote Access VPN).

Configurar o servidor SSL VPN:

  1. Navegar para Remote Access VPN > SSL VPN (Client-to-Site) > Add
  2. Configurar:
  • Connection name: SSL_VPN_Remote
  • SSL VPN port: 443 (ou porta customizada como 8443)
  • WAN interface: WAN (interface onde o servidor escuta)
  • Local network: 192.168.1.0/24 (rede interna a que os VPN clients acedem)
  • VPN client IP pool: 10.10.50.0/24 (subnet atribuída aos clientes VPN)
  • DNS server: 192.168.1.10 (servidor DNS interno)
  1. Clicar Save

Configurar utilizadores VPN:

  1. Navegar para Authentication > Users e adicionar utilizadores
  2. Para cada utilizador, activar SSL VPN access e atribuir grupo VPN apropriado
  3. Em Remote Access VPN > SSL VPN > Groups, associar grupos ao perfil SSL VPN

User Portal (download do cliente):

O User Portal permite aos utilizadores descarregar o cliente Sophos Connect e a configuração de VPN:

  1. Os utilizadores acedem a https://<ip-wan>:443/ (User Portal)
  2. Autenticam-se com as suas credenciais
  3. Descarregam o Sophos Connect Client e o ficheiro de configuração .ovpn (provisioning file)
  4. Instalam o cliente e importam a configuração

ℹ️ Nota: O Sophos Connect substitui o antigo cliente SSL VPN do browser. O cliente é mais estável, suporta split tunneling e mantém a ligação activa mesmo após mudança de rede (ex.: de Wi-Fi para 4G). Para ambientes com autenticação por certificado, o User Portal permite ao utilizador descarregar o seu certificado pessoal.

Verificar o estado do SSL VPN via CLI:

# Advanced shell — verificar sessões SSL VPN activas
console> sslvpn_show_sessions
# Ver logs do SSL VPN
console> log_filter category=”SSLVPN” severity=”Information”
# Verificar configuração do servidor SSL VPN
console> sslvpn_show_config

⚠ ⚠️ Atenção

Se o SSL VPN não estabelece ligação, verificar: (1) a porta 443 (ou customizada) está aberta na WAN; (2) o utilizador tem permissão SSL VPN activa; (3) o certificado do servidor SSL VPN é válido; (4) o cliente Sophos Connect está actualizado. Consultar o guia de troubleshooting SSL VPN para diagnóstico detalhado.

8. Passo 6 — Web Protection, Application Control e IPS

O Web Protection é o módulo de filtragem web do Sophos Firewall. Combina web filtering (categorização de URLs), HTTPS scanning (inspecção de tráfego encriptado) e anti-malware via Sophos Live Protection (cloud-based threat intelligence). O Application Control permite bloquear ou limitar aplicações específicas (redes sociais, P2P, jogos, etc.) com base na categorização da Sophos (Sophos — Applications).

Activar Web Protection:

  1. Navegar para Web > General Settings
  2. Activar Web Filter e HTTPS Scanning
  3. Em Web > Filter Policies, criar política:
  • Policy name: Corporate_Web
  • Categories to block: Adult/Violence/Gambling/Social Networking (conforme política da empresa)
  • Apply to: grupos de utilizadores ou zonas
  1. Em Web > HTTPS Exceptions, adicionar sites onde o HTTPS scanning causa problemas (ex.: bancos, sites com certificate pinning)

Application Control:

  1. Navegar para Application Filter > Application Filter Policies
  2. Criar política:
  • Policy name: Block_Social_P2P
  • Applications: Facebook, Instagram, TikTok, BitTorrent, uTorrent
  • Action: Block (ou Limit bandwidth)
  1. Associar a política a regras de firewall específicas

⚠ ℹ️ Nota

O HTTPS scanning requer que o certificado CA do Sophos Firewall seja instalado nos clientes. Sem isto, os browsers mostram avisos de certificado inválido. Em ambientes com Active Directory, o certificado pode ser distribuído via GPO. Para sites que usam certificate pinning (algumas apps móveis, banking), é necessário criar exceções em Web > HTTPS Exceptions.

IPS (Intrusion Prevention System):

  1. Navegar para Intrusion Prevention > Rules
  2. Activar IPS (requer subscrição)
  3. Seleccionar os Attack groups a aplicar:
  • High/Medium/Low Priority — recomenda-se activar todos, mas monitorizar falsos positivos
  • Specific attack groups para tráfego específico (ex.: attacks against web servers, attacks against database servers)
  1. Aplicar às interfaces ou zonas relevantes (WAN, DMZ)
  2. Definir Action: Drop (bloquear) ou Alert (apenas alertar — recomendado nos primeiros dias)

9. Passo 7 — ATP, SD-WAN e QoS

O Advanced Threat Protection (ATP) é o módulo de sandboxing do Sophos Firewall. Ficheiros suspeitos que não são detectados pelas assinaturas tradicionais são enviados para a cloud Sophos (Sandstorm), onde são executados num ambiente controlado para detectar comportamento malicioso. Se o ficheiro for malicioso, a firewall bloqueia a comunicação e isola o host.

Activar ATP:

  1. Navegar para Advanced Threat Protection > Settings
  2. Activar ATP (requer subscrição)
  3. Configurar:
  • File types: executáveis, documentos Office, scripts, PDFs
  • Action on malicious file: Block and log
  • Action on suspicious file: Quarantine
  1. Em Advanced Threat Protection > ATP Events, monitorizar ficheiros detectados

⚠ ⚠️ Atenção

O ATP tem um overhead de latência — ficheiros grandes podem demorar vários segundos a ser analisados. Para tráfego sensível a latência (ex.: VoIP, vídeo em tempo real), considerar excluir esses fluxos da análise ATP. O ATP é mais eficaz quando combinado com o Sophos Intercept X (endpoint), que partilha inteligência de ameaças via Synchronized Security.

SD-WAN Routes:

O Sophos Firewall suporta SD-WAN com múltiplos gateways WAN, permitindo failover automático e load balancing baseado em políticas. Ao contrário do Check Point, que não tem SD-WAN nativo, o Sophos oferece SD-WAN integrado sem módulo adicional (Sophos — Routing).

  1. Navegar para Routing > SD-WAN Routes > Add
  2. Configurar:
  • Destination network: 0.0.0.0/0 (internet) ou rede específica
  • SD-WAN profile: criar novo perfil ou seleccionar existente
  1. Em Routing > SD-WAN Profiles > Add (SD-WAN profiles):
  • Profile name: WAN_Failover
  • Primary gateway: WAN1 (fibra)
  • Backup gateway: WAN2 (4G/5G)
  • Failover type: Link-based (muda para WAN2 se WAN1 cair)
  • Health check: Ping para IP externo (ex.: 8.8.8.8) — detecta falhas mesmo com link aparentemente activo
  1. Clicar Save

QoS e Traffic Shaping:

  1. Navegar para Rules and Policies > Traffic Shaping Rules > Add
  2. Para priorizar VoIP:
  • Rule name: QoS_VoIP
  • Source zone: LAN
  • Destination zone: WAN
  • Service: SIP (5060/UDP) + RTP (10000-20000/UDP)
  • Traffic shaping: High priority
  • Bandwidth guarantee: 5 Mbps (upload)
  1. Para limitar tráfego não prioritário:
  • Criar regra para tráfego de backup/downloads com Bandwidth limit: 20 Mbps

ℹ️ Nota: O traffic shaping no Sophos Firewall usa o motor do SFOS. As políticas de QoS só funcionam correctamente se os limites de bandwidth reflectirem a realidade da ligação. Se o link real for 50 Mbps mas o shaping estiver configurado para 100 Mbps, o QoS não consegue priorizar correctamente — o buffer da linha satura antes do shaper actuar.

10. Passo 8 — Alta Disponibilidade (HA Active/Passive)

O Sophos Firewall suporta HA em modo active/passive — duas appliances idênticas onde uma é primária (active) e a outra secundária (passive). Se a primária cair, a secundária assume em segundos, mantendo as ligações activas via state synchronisation (Sophos — HA Configuration).

Requisitos de HA:

  1. Ambas as appliances têm de ser do mesmo modelo (ex.: duas XGS 2300)
  2. Mesma versão de SFOS
  3. Mesmo número de interfaces físicas
  4. Uma interface dedicada para HA sync (link entre as duas appliances)
  5. Licenças idênticas em ambas as appliances

⚠ ⚠️ Atenção

Verificar todos os pré-requisitos de HA antes de configurar. Appliances de modelos diferentes não funcionam em HA. A Sophos recomenda um cabo directo entre as duas appliances para o link de sync, numa interface dedicada (não usar a interface de gestão).

Configuração do HA:

  1. Navegar para High Availability > Configuration (em ambas as appliances)
  2. Configurar na primária:
  • HA mode: Active-Passive
  • Device role: Primary
  • Peer IP: IP da secundária (ex.: 192.168.254.2)
  • HA link interface: Port8 (interface dedicada)
  • Heartbeat: enable
  • Encrypt configuration: ON (recomendado)
  1. Configurar na secundária:
  • HA mode: Active-Passive
  • Device role: Auxiliary
  • Peer IP: IP da primária (ex.: 192.168.254.1)
  • HA link interface: Port8
  1. Clicar Save e aguardar sincronização

State synchronisation:

Para que a secundária mantenha as ligações activas durante o failover, activar State synchronisation em High Availability > Configuration. Isto replica a tabela de estados (conexões activas, sessões VPN, etc.) para a secundária.

Verificar estado do HA via CLI:

# Advanced shell — verificar estado HA
console> ha_status
# Verificar peer
console> ha_peer_status
# Forçar failover (cuidado: derruba ligações temporariamente)
console> ha_failover
# Ver logs HA
console> log_filter category=”HA” severity=”Warning”

⚠ ℹ️ Nota

Em caso de problemas com o HA, consultar o guia de troubleshooting HA. Os problemas mais comuns são: interfaces em broadcast domains diferentes, mismatch de versões de SFOS, e licenças diferentes entre as duas appliances.

11. Passo 9 — Autenticação (AD, RADIUS, LDAP, SSO)

O Sophos Firewall suporta múltiplos métodos de autenticação para utilizadores de VPN, web proxy e admin portal: Active Directory, RADIUS, LDAP, eSingle Sign-On (SSO) via Sophos Authentication for Thin Client (SATC) (Sophos — Authentication).

Configurar Active Directory:

  1. Navegar para Authentication > Servers > Add Server
  2. Seleccionar tipo Active Directory
  3. Configurar:
  • Server name: AD_Domain
  • Domain: empresa.local
  • Server IP: 192.168.1.10 (IP do domain controller)
  • Admin username: admin-sophos (conta de serviço com permissões de leitura do AD)
  • Admin password: password da conta de serviço
  • Connection port: 445 (default) ou 389 (LDAP)
  1. Clicar Save e testar a ligação com Test Connection

Configurar RADIUS:

  1. Navegar para Authentication > Servers > Add Server > RADIUS
  2. Configurar:
  • Server name: RADIUS_NPS
  • Server IP: 192.168.1.11
  • Shared secret: string secreta partilhada com o servidor RADIUS
  • Port: 1812
  • Authentication type: PAP (default) ou MSCHAPv2
  1. Clicar Save

SSO com SATC (Sophos Authentication for Thin Client):

O SATC é um agente instalado em computadores Windows que autentica o utilizador automaticamente na firewall com base na sessão do Windows, sem solicitar credenciais adicionais. Isto é útil para web filtering baseado em utilizador.

  1. Navegar para Authentication > Servers > Active Directory e activar SSO
  2. Descarregar o SATC da Sophos (disponível no portal de suporte)
  3. Instalar o SATC nos computadores dos utilizadores (via GPO recomendado)
  4. Configurar firewall rules baseadas em utilizador/grupo em vez de IP

⚠ ⚠️ Atenção

O SSO via SATC só funciona para utilizadores autenticados no Windows com sessão no AD. Dispositivos que não corram o SATC (telemóveis, tablets, impressoras) não são identificados e usam a política predefinida da zona. Para tráfego não autenticado, definir uma política de web filtering por zona como fallback.

Para ambientes que usam Sophos Central, a autenticação pode ser integrada com o Sophos Central Identity, permitindo gestão centralizada de utilizadores e grupos em múltiplas firewalls. O registo da firewall no Sophos Central é feito em Central Management > Sophos Central.

12. CLI Troubleshooting (Advanced Shell)

O Sophos Firewall tem uma CLI acessível via SSH, consola directa ou interface web (Configure > Advanced Shell). A CLI usa comandos próprios do SFOS, diferentes de Linux standard — o advanced shell dá acesso a uma shell bash restrita para diagnóstico (Sophos — Command Line Help).

Entrar no advanced shell:

# Via SSH
ssh [email protected]
# Na consola CLI, entrar no advanced shell
console> 5 # opção 5 = Advanced Shell
# Ou directamente:
console> shell
admin@Sophos:~ $

Diagnósticos de rede:

# Ver tabela de routing
admin@Sophos:~ $ netstat -rn

# Ver interfaces e estado
admin@Sophos:~ $ ifconfig

# Ping e traceroute
admin@Sophos:~ $ ping 8.8.8.8
admin@Sophos:~ $ traceroute 8.8.8.8

# Testar DNS
admin@Sophos:~ $ nslookup kbase.pt

# Ver portas em escuta
admin@Sophos:~ $ netstat -tlnp

Logs e diagnóstico:

# Ver logs do firewall em tempo real (advanced shell)
admin@Sophos:~ $ tail -f /log/firewall.log

# Logs do IPsec
admin@Sophos:~ $ tail -f /log/ipsec.log

# Logs do SSL VPN
admin@Sophos:~ $ tail -f /log/sslvpn.log

# Logs do sistema
admin@Sophos:~ $ tail -f /log/system.log

# Verificar uso de CPU e memória
admin@Sophos:~ $ top

# Estado do IPS
admin@Sophos:~ $ ips_status.sh

Comandos de diagnóstico via CLI (console mode):

# Verificar sessões IPsec activas
console> ipsec_status
# Reiniciar processo IPsec
console> ipsec_restart
# Verificar túneis SSL VPN
console> sslvpn_show_sessions
# Ver estado HA
console> ha_status
# Diagnosticar rota para destino
console> system_route_test destination=8.8.8.8
# Exportar configuração (backup)
console> system_config_backup filename=”backup-2026-06-25.tar”

⚠ ℹ️ Nota

O fluxo de troubleshooting recomendado para problemas de conectividade é: (1) verificar estado das interfaces com ifconfig; (2) confirmar routing com netstat -rn; (3) verificar logs do firewall com tail -f /log/firewall.log; (4) testar DNS com nslookup; (5) verificar estado dos túneis VPN com ipsec_status ou sslvpn_show_sessions. Para problemas de VoIP, consultar o guia de troubleshooting VoIP.

13. Erros Comuns de Configuração

Problema Causa Solução
Sem internet após configurar WAN Gateway errado ou DNS não resolve Verificar Network > Interfaces > WAN que o gateway está correcto. Testar com nslookup e ping no advanced shell
VPN IPsec não estabelece Mismatch de IKE parameters ou portas bloqueadas Garantir que Phase 1 e Phase 2 são idênticas em ambos os sites. Verificar portas UDP 500/4500 abertas
SSL VPN não conecta Porta 443 bloqueada ou certificado inválido Verificar porta 443 aberta na WAN. Verificar certificado SSL VPN válido. Actualizar cliente Sophos Connect
Port forward não funciona Falta regra de firewall ou NAT mal configurada Verificar que a regra DNAT tem o IP de destino correcto. O Sophos cria a regra de firewall automaticamente, mas confirmar em Firewall Rules
HTTPS scanning quebra sites Certificado CA não instalado nos clientes Instalar o certificado CA do Sophos Firewall nos clientes via GPO. Adicionar sites problemáticos a HTTPS Exceptions
HA não sincroniza Versões SFOS diferentes ou interfaces em L2 diferente Garantir que ambas as appliances têm a mesma versão de SFOS e estão no mesmo broadcast domain. Verificar link de HA
ATP bloqueia tráfego legítimo Falsos positivos no sandboxing Verificar ATP Events e adicionar ficheiros legítimos a ATP Exceptions. Considerar excluir tráfego sensível a latência
SD-WAN não faz failover Health check desactivado ou IP inatingível Activar health check com ping a IP fiável (ex.: 8.8.8.8). Verificar que ambos os gateways estão configurados correctamente
QoS não prioriza VoIP Bandwidth configurada superior à real Definir bandwidth dos shapers = bandwidth real da ligação. Se a linha satura antes do shaper, o QoS não funciona
SSO (SATC) não identifica utilizadores SATC não instalado ou conta de serviço sem permissões Instalar SATC via GPO em todos os PCs. Verificar que a conta de serviço do AD tem permissões de leitura
Aplicação não é bloqueada pelo App Control Aplicação não identificada ou usa tunelamento Verificar que a aplicação está na lista de filtros. Algumas apps usam HTTPS/TLS para contornar filtros — activar HTTPS scanning

14. Checklist Rápido de Verificação

  • [ ] Configurar interfaces WAN, LAN e DMZ com IPs correctos e zonas atribuídas
  • [ ] Verificar que o assistente de setup foi concluído e a appliance está registada
  • [ ] Criar zonas customizadas (Guest, VoIP) conforme necessário em Network > Zones
  • [ ] Verificar SNAT automático activo (outbound) para acesso à internet dos clientes LAN
  • [ ] Criar regra allow LAN → WAN com serviços necessários (HTTP, HTTPS, DNS)
  • [ ] Criar regras deny para bloquear tráfego entre zonas sensíveis (ex.: Guest → LAN)
  • [ ] Configurar DNAT (port forward) para serviços publicados (web, mail, RDP)
  • [ ] Configurar 1:1 NAT para servidores com IP público dedicado
  • [ ] Configurar VPN IPsec site-to-site com IKEv2, AES-256, SHA-256, PFS DH Group 14+
  • [ ] Configurar SSL VPN com Sophos Connect para acesso remoto
  • [ ] Activar User Portal para download de cliente e configuração VPN
  • [ ] Activar Web Protection (web filtering + HTTPS scanning) e instalar CA nos clientes
  • [ ] Configurar Application Control para bloquear aplicações não autorizadas
  • [ ] Activar IPS em modo Alert primeiro, migrar para Drop após 1-2 semanas
  • [ ] Activar ATP (Advanced Threat Protection) para sandboxing de ficheiros suspeitos
  • [ ] Configurar SD-WAN com profiles de failover se houver múltiplas WANs
  • [ ] Activar health check nos gateways SD-WAN com ping a IP externo fiável
  • [ ] Configurar QoS para priorizar VoIP com bandwidth garantida e limitar tráfego não prioritário
  • [ ] Configurar HA active/passive se houver duas appliances (mesmo modelo, mesma versão)
  • [ ] Activar state synchronisation no HA para manter ligações durante failover
  • [ ] Configurar autenticação (AD, RADIUS ou LDAP) em Authentication > Servers
  • [ ] Activar SSO com SATC para web filtering baseado em utilizador
  • [ ] Verificar com ha_status e ipsec_status que HA e VPN estão operacionais
  • [ ] Exportar backup da configuração com system_config_backup após configuração completa

Artigos Relacionados

Este artigo foi útil?

Duarte Spínola

Artigos  

Deixe um Comentário