
Decidimos testar o Sophos XG Firewall Home Edition e nessa postagem, abordo os principais pontos positivos e negativos de uma primeira impressão com este produto da Sophos.
O que é uma Appliance Virtual / VM Firewall?

Várias empresas de segurança estão investindo em Appliances Virtuais, no qual caracteriza a instalação do sistema completo de um firewall dentro de uma máquina virtual (VM) ou a própria instalação em um computador / servidor, em geral licenciado pelo número máximo de núcleos / memória pelo sistema.
Afinal, é Gratuito ou Pago?

O Sophos XG Firewall Home Edition é uma edição voltada para uso doméstico ou para testes e também não pode ser comercializado.
Ainda assim, os melhores recursos que se encontram num firewall físico da Sophos estão disponíveis nessa edição, incluindo funções UTM / NFGW até a sétima camada de rede, ainda com atualizações gratuitas liberadas “até 2999” (risos).
Qual a diferença de um “Firewall Virtual” e um Firewall Físico?

A principal diferença é a forma de funcionamento.
Em geral, firewalls virtuais tem restrições em relação ao chipset de rede e também ao processador da máquina em que será instalado, seja ela máquina física ou virtual.
Falando de performance, um firewall virtual tende a ter menos capacidade de processamento que um firewall dedicado a isso (appliance), uma vez que appliances tem um hardware especificamente para lidar com tráfego de rede, além do software ser otimizado primeiro para os modelos de “caixa”, e os modelos de “caixa” costumam ter SoCs (System on a Chip) / processadores dedicados a rede e outros recursos, isso traz ganho de performance considerável.
É algo parecido com o que a Apple faz com os Macs, a “perfeição” é garantida com o sistema operacional da fabricante, mas tanto é possível instalar esse mesmo sistema em um computador comum (de forma não oficial) quanto até mesmo executar Windows em um MacBook por exemplo (sendo a “perfeição” não garantida nesses casos, haha!).
O limite do Sophos XG Firewall Home Edition é 6GB de RAM e 4 núcleos de processador (o que pode gerar uma boa performance boa dependendo do hardware envolvido).
É necessário processador Intel e é preferencial atuar com interfaces de rede também da Intel para maior performance e compatibilidade.
Firewalls virtuais também trazem a sensação de “vai dar problema”, mas estou realmente surpreso com o poder de um firewall virtual na prática, no qual abordo abaixo.
Especificações técnicas para a execução da appliance virtual:
- Versão do sistema: SFOS 17.5.10
- Edição: Home Edition
- Modo de execução: Instalado em Máquina Virtual
- Virtualizador: Hyper-V
- Memória alocada: 4GB
- vCPUs alocadas: 4
- Modelo das vCPUs: i7 7700HQ
- Interfaces de rede: 2 NICs virtuais do Hyper-V em modo Interno (LAN filtrada pelo Firewall) e Externo (WAN com a entrada de rede).
- Gateway de WAN: Fortigate 30E (um pouco de concorrência para apimentar a “relação” [risos])
O início:
Download feito e licença liberada no seguinte link: https://www.sophos.com/en-us/products/free-tools/sophos-xg-firewall-home-edition.aspx

Instalação iniciada:

Continuação da instalação:

Instalação concluída (aprox. 10 min) :

Sistema sendo inicializado:

Configurações padrão sendo aplicadas:

Inicializando a configuração
Pelo IP 172.16.16.16 na porta 4444 e protocolo HTTPs (também descrito no e-mail), é possível ver que o primeiro startup é feito com o certificado auto-assinado já implantado no sistema por padrão:

É possível alterar o idioma para português:

Configuração da senha de administrador e o posterior registro do software com a chave recebida por e-mail anteriormente


É possível efetuar o login ou criar uma conta na Sophos:

Após a conta criada, é possível anexar o número de serial no sistema, que é protegido com o Google Re-Captcha V2:

Formulário com alguns dados básicos obrigatórios:

Confirmação do registro:

É possível verificar que a licença foi ativada em modo avaliação até 2999:

Mais uma configuração de LAN básica requisitada, deixamos no padrão, uma vez que a porta 1 é a porta LAN e a 2 é a WAN no Hyper-V:

Algumas configurações padrão de UTM/NGFW podem ser aplicadas neste passo:

Um review de todos os passos feitos nesse wizard:

Após a aplicação das configurações, é possível utilizar a rede LAN gerenciada pelo firewall:

Finalmente sendo mostrado o dashboard relogando no IP do gateway:

Primeiras impressões com o SFOS 17.5

O controle do firewall é simplificado com o SFOS, podemos ver já habilitado o application-control na regra padrão, também aplicamos a Web Policy de Workplace que também já vem disponível configurada, além de desabilitar o deep scan (decrypt https) para não causar erros de certificado pela inspeção do tipo “man-in-the-middle” (ainda sendo necessária para identificar alguns tipos de aplicação / sniffing de tráfego detalhado):


Proteção DoS/IPS, Web e de Aplicativos
Está disponível no sistema os módulos de IPS (Prevenção de Intrusão) com configuração de DoS (ataques de negação):

Configurações de IPS e customizações também fazem parte do módulo disponível:

Módulo Web com várias opções de customização:

Módulo de aplicativos no qual também é possível monitorar:


Módulos de gestão Wireless, Email, Web Server e ATP

VPN, Load Balance / Gestão de Múltiplos links de internet são as features que podemos encontrar no SFOS:


Relatórios
O SFOS tem uma vasta opção de relatórios predefinidos, além da opção de relatórios customizados, também em tempo real:


Podemos notar que a proteção NFGW/UTM está funcionando como o esperado.
Pontos Positivos
Há bastante pontos positivos, incluindo o baixo consumo de recursos mesmo com alto nível de stress simulando tráfego, utilizando todos os recursos NFGW/UTM, incluindo o módulo web.


Throughput da WAN também entregando 100% da banda (isso não ocorre se você habilitar Full UTM em um firewall antigo / de baixa performance).

Pontos Negativos
Como nem tudo são flores, notei alguns problemas principalmente após o setup de algumas opções do firewall.
Em alguns momentos, o relatório resumido não mostra informações precisas, isso já foi discutido inclusive como um tópico no fórum da Sophos:
39MB/s e 4 sessões abertas, WHAT?

1500 sessões, 12GB de tráfego e 23kb/s de down/upstream?

Não é isso que nosso FortiGate 30e mostra (por isso fiz questão de deixar outra appliance pra conferir as diferenças):

Alerta amarelo no dashboard indicando falha em alguns serviços e 5 milhões de sessões em pico (isso não aconteceu):


Após reiniciar o sistema, tudo voltou ao normal (e ficou com o alerta por mais de 30 min antes disso [não deveria ter se recuperado?]).
Nossa opinião
Simulamos um uso cotidiano para a solução XG Firewall Home da Sophos, e tivemos muito mais impressões positivas que negativas.
Um firewall virtual traz a sensação de menos estabilidade, e isso pode realmente acontecer, uma vez que estamos executando um software que funciona nativamente em hardwares da linha Sophos XG.
Porém, podemos dizer que proteção UTM/NGFW ao custo de R$0 com esse resultado é algo pra poucas empresas, você até encontra bons firewalls “virtuais” com essas features custando muito dinheiro.
Vale lembrar que o licenciamento desta solução é gratuito para uso não comercial, ou seja, você estará atuando com software ilegal caso revenda este software ou esteja utilizando para fins comerciais (por exemplo, na sua empresa).
Também comercializamos a versão empresarial do Sophos XG Firewall, entre em contato e solicite uma cotação: