Sophos Firewall đóng vai trò quan trọng trong việc bảo mật hệ thống mạng doanh nghiệp.
Nếu không giám sát đúng cách, các sự cố firewall có thể gây gián đoạn dịch vụ hoặc rủi ro an ninh.
PRTG Network Monitor là công cụ mạnh mẽ giúp giám sát Sophos Firewall hiệu quả.
Bài viết này hướng dẫn cách tích hợp Sophos Firewall vào PRTG từng bước chi tiết.
Nội dung bao gồm theo dõi tình trạng firewall, lưu lượng cổng mạng và tài nguyên hệ thống.
Cảnh báo theo thời gian thực giúp quản trị viên phát hiện sự cố sớm.
Giải pháp phù hợp cho quản trị viên IT và kỹ sư mạng.
Làm theo hướng dẫn này để kiểm soát toàn diện Sophos Firewall bằng PRTG.

Step 1: Enable SNMP on Sophos

Vào:

Administration → SNMP

Cấu hình:

• ✅ Enable SNMP

• Version: SNMP v2c (dễ triển khai nhất)

• Community: ví dụ prtg_sophos

• Allowed hosts: IP của PRTG Server

👉 PRTG Server IP
👉 Save

(Recommended) Enable Syslog

Dùng khi bạn muốn nhận các log quan trọng như:

• IPS Alert

• VPN down

• Attack detection

Vào:

System Services → Log Settings → Syslog Server

Step 2: Add PRTG device

• Thêm Sophos Firewall vào PRTG như một Device

• Khai báo đúng IP Address và SNMP Community

Step 3: Add sensors

🟢 GROUP 1 – REQUIRED SENSORS (CORE)

✅ Ping v2

• Kiểm tra Sophos live / dead

• Phát hiện mất kết nối ngay lập tức

✅ SNMP CPU Load

• Giám sát CPU của firewall

• Đặt cảnh báo khi:

  • Alert: > 80%

✅ SNMP Memory (Not v2)

• Giám sát RAM Usage

• Rất quan trọng nếu bật IPS / VPN

• Khuyến nghị threshold:

  • Warning: > 85%

  • Error: > 95%

📌 Nếu thấy RAM luôn ~70–80%:

• ❌ Không cần lo

• Sophos sử dụng nhiều cache

• Chỉ xử lý khi:

  • RAM > 90% trong thời gian dài

  • VPN / IPS bị disconnect

View actual RAM

PRTG tính RAM như sau:
Available = Free RAM + Reclaimable Cache – Reserved

→ Vì vậy số RAM trong PRTG luôn thấp hơn Sophos GUI

👉 Sophos GUI → căn cứ hệ thống 4GB RAM để set threshold

✅ SNMP Uptime v2

• Phát hiện reboot bất thường

• ❌ Không cần set threshold cho uptime

🟡 GROUP 2 – INTERFACE / BANDWIDTH (HIGHLY RECOMMENDED)

✅ SNMP Traffic

Chọn các interface:

• WAN

• LAN

• Primary VLAN

SNMP Traffic – WAN (Port2_ppp)

📌 Ví dụ WAN 100 Mbps:

• Warning: 80 Mbps

• Error: 95 Mbps

SNMP Traffic – LAN (Port1)

📌 LAN thường không cần alert vì traffic cao là bình thường

SNMP Traffic – VLAN (Port1.10)

📌 Guest VLAN thường dễ bị abuse → nên đặt threshold thấp

🔐 GROUP 3 – VPN & SECURITY (ADVANCED)

✅ SNMP Traffic (nếu detect được)

Áp dụng cho:

• Site-to-Site VPN

• SSL VPN

Tạo SNMP Traffic sensor cho:

• ipsec0 (site-to-site)

• tun0 (SSL VPN)

• Interface VPN tương ứng

SET THRESHOLD – VPN SSL (tun0)

🎯 Mục tiêu:

• ❌ Không báo khi không có user kết nối

• ✅ Báo khi VPN đang dùng nhưng bị disconnect

❗ IMPORTANT NOTE (KHÔNG NHẦM LẪN)
Traffic = 0 ≠ VPN DOWN

→ Có thể đơn giản là không ai đang dùng VPN

👉 Nếu VPN không dùng thường xuyên:

• ❌ KHÔNG set traffic threshold

• Chỉ dùng:

  • Errors

  • Syslog VPN (nếu có)

⭐ Sensor Syslog Receiver (Recommended)

Dùng để nhận log:

• VPN down

• IPS blocks

• Attack detected

Alert keyword gợi ý:

• IPSec tunnel down

• SSL VPN disconnected

Step 1: Add sensors

Include Filter (ENTIRE LINE STICKER)

Exclude Filter (ENTIRE LINE STICKER)

⚠ Warning Filter

❌ Error Filter

Step 2: On Sophos add syslog server

Vào:

System services → Log setting → Add

Step 3: Choose the sending logtype

REQUIRED – tick cho VPN:

• ☑ SSL VPN tunnel

• ☑ Authentication events

• ☑ System events

• ☑ Admin events

📌 Đây là 4 nhóm tối thiểu để:

• Bắt VPN up/down

• Ghi nhận user login/logout

• Phát hiện reboot / service restart

🔥 For more complete settings (optional)

• ☑ Firewall rules

• ☑ IPS (Anomaly + Signatures)

Step 4: Set alert thresholds

• Kiểm tra lại toàn bộ threshold

• Tránh alert giả (false positive)

❌ SENSORS TO AVOID (ĐỂ TRÁNH LAG)

• ❌ SNMP Disk Free (Sophos không cần)

• ❌ SNMP Process (rất nặng tài nguyên)

• ❌ SNMP Everything Auto-Discovery (sinh nhiều sensor rác)