Sophos Firewall and Implementation Workshop: From Deployment to Defense

ในยุคที่ภัยคุกคามไซเบอร์มีความซับซ้อนและโจมตีได้ทุกระดับ — จากมัลแวร์, แรนซัมแวร์, การเจาะระบบผ่าน VPN ไปจนถึงการรั่วไหลของข้อมูลจากภายใน — ท่านจำเป็นต้องมีเครื่องมือที่แข็งแกร่ง พร้อมความเข้าใจลึก เพื่อปกป้องเครือข่ายของท่านได้อย่างมีประสิทธิภาพ

Sophos Firewall คือหนึ่งใน Firewall ยุคใหม่ที่รวมฟีเจอร์ด้านความปลอดภัยไว้ในระดับ “Next-Gen” ทั้ง Web Protection, SSL VPN, Application Control, Advanced Threat Protection และระบบบริหารจัดการผ่าน Cloud

หลักสูตรนี้ถูกออกแบบให้ท่าน

  • เรียนรู้แบบลึกครบทุกฟีเจอร์สำคัญ
  • ได้ฝึกปฏิบัติจริงผ่าน Lab กว่า 18 ชุด
  • เข้าใจวิธีวิเคราะห์ Log เพื่อตรวจจับภัยคุกคาม (Threat Detection & IOC Hunting)
  • พร้อมเทคนิคการวางระบบให้ปลอดภัย เสถียร และตอบโจทย์องค์กรขนาดเล็กถึงใหญ่

หลังจบหลักสูตรนี้ ท่านจะสามารถ

  • ติดตั้งและตั้งค่า Sophos Firewall ได้ด้วยตัวเอง
  • สร้าง Policy ความปลอดภัยสำหรับองค์กรได้อย่างมีประสิทธิภาพ
  • ตรวจจับพฤติกรรมผิดปกติจาก Log และตอบสนองต่อเหตุการณ์ได้แบบผู้เชี่ยวชาญ
  • เชื่อมต่อกับ Sophos Central, Active Directory, VPN และระบบ Authentication ต่างๆ ได้จริง
  • วางระบบ HA (High Availability) และวิเคราะห์เหตุการณ์ได้อย่างมั่นใจ

กลุ่มเป้าหมาย

  • Network / Security Engineer และ Admin
  • ผู้ดูแลระบบในองค์กรที่ใช้งาน Sophos Firewall
  • MSSP และผู้ให้บริการดูแลความปลอดภัยระบบเครือข่าย
  • ผู้ที่ต้องการสอบ Sophos XG/SG Firewall Certified Engineer (optional)

รายละเอียดหลักสูตร

Sophos Firewall Architecture & Initial Setup

  • Introduction to Sophos Security Ecosystem
  • ภาพรวมของ Sophos Group และโซลูชันความปลอดภัยครบวงจร
  • การทำงานร่วมกันของ Sophos Central, Intercept X, MDR
  • แนวคิด Synchronized Security และการตอบสนองอัตโนมัติ
  • Sophos Firewall: Hardware Models, Features & Licensing
  • รุ่นของ Sophos Firewall (XGS, SG, Virtual Appliance)
  • Feature Licensing: Base License, Network Protection, Web, Email, Sandstorm
  • การเลือก Model ที่เหมาะสมกับองค์กร
  • Deployment Modes: Gateway, Bridge, Transparent
  • การเลือกโหมดใช้งานให้เหมาะกับโครงสร้างเครือข่าย
  • Bridge Mode กับ Transparent Mode ต่างกันอย่างไร
  • การวาง Firewall แบบ Inline หรือ Parallel
  • Initial Setup Wizard & Basic Configuration
  • การเชื่อมต่อและเข้าสู่ระบบครั้งแรก
  • การตั้งค่า IP, Zone, DNS และ Gateway
  • Licensing, Firmware และ Backup Initial State
  • Lab 1: Initial Setup & GUI Walkthrough
  • Lab 2: Configuring Interface Zones, DNS, and NTP
  • Lab 3: Setting up Admin Profiles and Access Control

Network Protection & NAT

  • Zones, Interfaces, and Routing
  • การสร้างและบริหาร Zone ต่างๆ
  • การกำหนด Static Routing และ Policy Routing
  • Multi-WAN Setup & Failover Configuration
  • Firewall Rules and Security Policies
  • DNAT, SNAT, Reflexive NAT คืออะไร
  • การจัดลำดับการทำงานของ Rules (Top-down Match)
  • การใช้งาน Rule Templates และ Reusable Objects
  • NAT Rules: SNAT, DNAT, Reflexive NAT
  • ความแตกต่างและการใช้งานจริง
  • Case Study: Web Server, Mail Server, DMZ
  • Troubleshooting NAT Issues
  • Logging & Live View Monitoring
  • Live Log, Firewall Log, NAT Log
  • Packet Capture Tool
  • การดู Session Table และ Active Connections
  • Lab 4: Creating LAN-to-WAN and LAN-to-LAN Policies
  • Lab 5: NAT Configuration for Web Server and Internal Services
  • Lab 6: Policy Testing and Packet Capture

VPN, IPS & Advanced Threat Protection

  • SSL VPN, Site-to-Site IPsec, L2TP
  • การสร้าง SSL VPN สำหรับ User แบบ Remote Access
  • การตั้งค่า Site-to-Site VPN แบบ Static และ Dynamic
  • การใช้ L2TP/IPSec สำหรับ Mobile Devices
  • User-based VPN Access Control
  • User Portal และ Certificate Management
  • การจำกัดสิทธิ์การเข้าถึงตาม User Group
  • การผูก VPN กับ AD Authentication
  • Intrusion Prevention System (IPS)
  • Signature-based Detection และ Category
  • การกำหนด IPS Policies สำหรับ Rule ต่างๆ
  • การวิเคราะห์ IPS Log และ False Positive Handling
  • Advanced Threat Protection (ATP) & Sandstorm
  • การทำงานของ ATP และ Cloud Intelligence
  • Sandstorm Malware Sandbox Simulation
  • การตรวจสอบ Callback C2 และ Botnet Behavior
  • Lab 7: SSL VPN for Remote Users
  • Lab 8: Site-to-Site VPN with Another Firewall
  • Lab 9: IPS Configuration and Attack Simulation
  • Lab 10: Enabling ATP and Analyzing Logs

Web Filtering, App Control & Identity

  • Web Proxy & Transparent Mode
  • การเลือกโหมดการทำงานของ Web Filtering
  • Transparent vs Explicit Proxy
  • Proxy Bypass และ URL Exceptions
  • URL Categories & Policy Enforcement
  • การตั้งค่า Web Policy ตาม User / Group
  • การใช้งาน SafeSearch, Keyword Block
  • การจัดการ HTTPS Decryption
  • Application Control & Traffic Shaping
  • App Control Signature และ Rule Matching
  • การจำกัดแบนด์วิธเฉพาะ App เช่น YouTube, Zoom
  • การตั้ง QoS และ Bandwidth Policy
  • Authentication: AD, RADIUS, Captive Portal
  • การเชื่อมต่อกับ AD / LDAP
  • SSO, STAS, NTLM, Captive Portal
  • การตรวจสอบและ Sync User Logins
  • Lab 11: Web Filtering with User Groups
  • Lab 12: Application Control Rules
  • Lab 13: Integrating Sophos with AD & SSO
  • Lab 14: Creating Bandwidth Policies by App & User

Logging, Threat Detection, HA & Sophos Central

  • Monitoring & Reporting via Firewall & Sophos Central
  • การอ่านและสรุป Log Dashboard
  • การสร้าง Scheduled Report และ Export PDF
  • Integration กับ Sophos Central Reporting
  • Email Notifications and Alerts
  • การตั้งค่า Email Server
  • ระบบ Alerting และ Threshold
  • High Availability (Active-Passive Setup)
  • การตั้งค่า HA Sync และ Heartbeat
  • Failover Scenarios และ Testing
  • การ Monitor HA Status
  • Backup & Restore, Firmware Upgrade
  • Full Config vs Selective Backup
  • การอัปเดต Firmware แบบมีแผน
  • Rollback และ Versioning
  • Sophos Central Management & Cloud-managed Firewall
  • การเชื่อม Sophos Firewall กับ Central
  • การสั่ง Config จาก Central Cloud
  • การตรวจสอบ Log และ IoC จาก Central
  • Monitoring & Logging Overview
  • Advanced Log Views and Filtering
  • Analyzing Firewall Logs (System, Web, Email, IPS, ATP)
  • Threat Detection from Logs:
  • Identifying Indicators of Compromise (IoC)
  • Detecting Suspicious IPs, Port Scans, Malware C2
  • Event Correlation across different logs
  • Sophos XDR / MDR Integration Overview (Optional)
  • Reporting via Sophos Central & On-Box Reporting
  • High Availability (HA) + Backup & Restore
  • Sophos Central Sync and Alert Management
  • Lab 15: Backup, Restore & Firmware Update
  • Lab 16: Configuring HA (HA Pairing)
  • Lab 17: Linking Firewall to Sophos Central
  • Lab 18: Centralized Log View & Report Generation
  • Lab 19: Log Analysis for Real-World Attacks
    • ค้นหาเหตุการณ์ที่มีพฤติกรรมน่าสงสัยจาก Web, IPS และ ATP Log
    • วิเคราะห์เหตุการณ์ Brute-force, Port Scan และ C2 Callback
    • แยกแยะ False Positive และ IoC ที่แท้จริง
  • Lab 20: Indicator of Compromise Hunting
    • วิเคราะห์ Log จากเหตุการณ์จริงที่จำลองขึ้น (เช่น Phishing, Exploit Kit, Lateral Movement)
    • ใช้ Live Logs + Packet Capture เพื่อตรวจสอบพฤติกรรมการโจมตี
    • Mapping เหตุการณ์กับ MITRE ATT&CK (เบื้องต้น)
    • สร้าง Rule Alert สำหรับเหตุการณ์ลักษณะเดียวกัน
  • Lab 21 (Bonus): Integration with SIEM (Graylog/Wazuh) [Optional]
    • Export Log ไปยัง SIEM
    • วิเคราะห์เหตุการณ์โดยใช้ Query/Filter
    • Dashboard สำหรับดูภาพรวมความปลอดภัยขององค์กร

คำถาม-คำตอบ 15 ข้อ สำหรับหลักสูตรนี้

1. หลักสูตรนี้เหมาะกับใคร?

ตอบ: เหมาะสำหรับ Network Admin, Security Engineer, IT Support, MSSP หรือผู้ที่ดูแลระบบ Firewall และผู้ที่สนใจการวิเคราะห์ภัยคุกคามจาก Log จริง โดยไม่จำเป็นต้องมีพื้นฐาน Sophos มาก่อน

2. หากไม่มีพื้นฐาน Sophos Firewall มาก่อน จะเรียนทันหรือไม่?

ตอบ: ได้แน่นอน! หลักสูตรเริ่มจากศูนย์ ตั้งแต่การติดตั้ง การตั้งค่าขั้นพื้นฐาน ไปจนถึงการวิเคราะห์ภัยคุกคามแบบเชิงลึก พร้อม Lab ฝึกปฏิบัติ

3. เรียนแล้วสามารถนำไปใช้งานจริงได้หรือไม่?

ตอบ: ได้ 100% เพราะหลักสูตรเน้น Lab จากเหตุการณ์จริงที่พบในองค์กร พร้อมทั้งสอนการตั้งค่านโยบายความปลอดภัยที่ใช้ได้จริง

4. มีการสอนวิเคราะห์ Log และการหา Indicator of Compromise ด้วยหรือไม่?

ตอบ: มีครับ! ใน Day 5 เราจะเรียนการวิเคราะห์ Log จาก Web, IPS, ATP เพื่อตรวจจับพฤติกรรมแปลกปลอมและหาสัญญาณการโจมตี

5. สอนการเชื่อมต่อ VPN อย่างไร?

ตอบ: ครอบคลุมทั้ง SSL VPN สำหรับผู้ใช้งานระยะไกล และ Site-to-Site VPN ระหว่างสำนักงาน พร้อม Lab ตั้งค่าจริงทุกขั้นตอน

6. สามารถเชื่อมต่อ Sophos Firewall กับ Active Directory ได้หรือไม่?

ตอบ: ได้ครับ ในหลักสูตรมี Lab สำหรับการ Integrate กับ AD และสร้าง Policy ตามกลุ่มผู้ใช้งานจริง

7. หลักสูตรนี้รองรับการใช้งานในองค์กรขนาดกลางถึงใหญ่หรือไม่?

ตอบ: รองรับอย่างเต็มที่ โดยเนื้อหาครอบคลุมการทำ High Availability (HA), Policy-based Routing, และ Reporting ระดับองค์กร

8. มีการสอนเรื่อง Application Control และ Web Filtering หรือไม่?

ตอบ: มีครับ พร้อมทั้ง Lab ฝึกสร้าง Policy จำกัด YouTube, Facebook, Game, รวมถึงจัดลำดับ Bandwidth ตาม Application

9. จะได้เรียนรู้เรื่องการทำ HA (High Availability) ด้วยหรือไม่?

ตอบ: ใช่ครับ เราจะตั้งค่า Active-Passive HA พร้อม Lab จำลองการ Failover และ Restore

10. สามารถเรียนเพื่อนำไปสอบ Sophos Certified ได้หรือไม่?

ตอบ: ได้ครับ หลักสูตรนี้ช่วยปูพื้นฐานอย่างดีสำหรับเตรียมสอบ Sophos Firewall Certified Engineer (ไม่ใช่หลักสูตรสอบโดยตรง แต่ใกล้เคียง)

11. หากองค์กรมี SIEM แล้ว จะ Integrate ได้หรือไม่?

ตอบ: ได้ครับ มี Lab เสริมสำหรับส่ง Log ไปยัง Wazuh/Graylog เพื่อวิเคราะห์เชิงลึกหรือเชื่อมต่อ XDR

12. หลังจบหลักสูตรจะสามารถตรวจจับภัยคุกคามได้เองหรือไม่?

ตอบ: ได้แน่นอน! เพราะผู้เรียนจะได้ฝึกดู Log จริง วิเคราะห์พฤติกรรมต้องสงสัย และ Mapping กับเทคนิคการโจมตี

13. มีเนื้อหาเกี่ยวกับ Sandstorm และ Advanced Threat Protection ไหม?

ตอบ: มีครับ เราจะเรียนการทำงานของ ATP และ Sandstorm และดู Log การจับ malware แบบ Zero-day

14. เนื้อหาครอบคลุมการตั้งค่า Network จริงหรือไม่?

ตอบ: ครอบคลุมครับ ตั้งแต่การสร้าง Zone, NAT, Routing, ไปจนถึงการใช้งาน Multi-WAN และ Policy ที่ซับซ้อน

15. หลักสูตรนี้แตกต่างจากคอร์ส Firewall ทั่วไปอย่างไร?

ตอบ: แตกต่างที่ “เน้นภาคปฏิบัติ + วิเคราะห์เหตุการณ์จริง” ไม่ใช่แค่การตั้งค่า แต่เข้าใจเบื้องหลังและสามารถแก้ปัญหาจากเหตุการณ์ที่เกิดขึ้นจริงในองค์กร