Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=firewall-groups

Firewall-Gruppen

Sie können Firewall-Gruppen in Sophos Central erstellen und verwalten.

Gruppe erstellen

Sie können Ihre Firewalls zu einer Gruppe hinzufügen und sie alle gleichzeitig mithilfe einer Gruppenrichtlinie konfigurieren.

Sie müssen Administrator oder Superadmin in Sophos Central sein, um eine Gruppe zu erstellen.

  1. Gehen Sie zu Meine Produkte > Firewall Management > Firewalls.
  2. Klicken Sie auf Neue Gruppe erstellen.

  3. Wählen Sie eine initiale Konfigurationsoption für Ihre Gruppe aus. Wählen Sie Sophos-Standardwerte verwenden, um eine neue Konfiguration zu erstellen, oder wählen Sie Vorhandene Konfiguration importieren, um die Konfiguration aus einer vorhandenen Firewall zu importieren.

    Sie können Ihre Konfiguration später anpassen.

  4. Geben Sie einen Namen für die Gruppe ein.

  5. Weisen Sie der Gruppe Firewalls zu.

    Sie müssen keine Firewalls zuweisen, wenn Sie eine Gruppe erstellen. Sie können eine leere Gruppe erstellen, ihre Richtlinie bearbeiten und ihr dann Firewalls zuweisen. Die Gruppenrichtlinie wird auf Firewalls angewendet, wenn Sie sie der Gruppe zuweisen. Ab diesem Zeitpunkt ist die Firewall-Konfiguration mit der Gruppenrichtlinie synchronisiert.

  6. Klicken Sie auf Speichern.

Gruppenrichtlinien erstellen und bearbeiten

Sie können Richtlinien erstellen und bearbeiten, die für alle Firewalls in einer Gruppe gilt.

Sie müssen Administrator oder Superadmin in Sophos Central sein, um über Sophos Central auf Ihre Firewalls zuzugreifen.

Um Richtlinien zu erstellen und zu bearbeiten, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf die Schaltfläche mit den Auslassungspunkten (…) rechts neben der Gruppe, deren Richtlinie Sie erstellen oder bearbeiten möchten.

  2. Wählen Sie Richtlinien verwalten aus.

    So gelangen Sie zum Bereich Regeln und Richtlinien der WebAdmin-Oberfläche der Firewallgruppe.

  3. Sie können Ihre Richtlinien jetzt erstellen oder bearbeiten.

    Wenn sich Ihre Richtlinie auf Firewallzonen oder -Schnittstellen bezieht, müssen Sie eventuell dynamische Zonen oder Schnittstellen erstellen.

    Hinweis

    Wenn Sie die Firewall aus der Gruppe entfernen, verbleiben die von Ihnen erstellten Richtlinien in der Firewall.

  4. Um zu Sophos Central zurückzukehren, klicken Sie auf Dashboard oder Zurück zur Übersicht (im linken Menü).

Gehen Sie in Sophos Central zu Meine Produkte > Firewall Management > Auftrags-Warteschlange. Sie können sehen, ob die Richtlinie auf die Firewalls angewendet wurde.

Warnung

Wenn Sie Firewall- oder NAT-Regeln hinzufügen, gelten die Einstellungen oben und unten nur für die Reihenfolge der Regeln in Sophos Central und nicht für Regeln, die lokal auf der Firewall erstellt wurden. Es werden alle Regeln, die von Sophos Central gepusht wurden, oben in der Regelliste der Firewall eingefügt. Um bei der Verwaltung einer Firewall mit Sophos Central unerwartetes Firewall-Verhalten zu vermeiden, empfiehlt sich, dass alle Regeln von Sophos Central erstellt und gepusht werden.

Untergruppe erstellen

Sie können eine Untergruppe innerhalb einer Gruppe erstellen. Auf diese Weise können Sie die Gruppenrichtlinie für jede Untergruppe unterschiedlich bearbeiten.

Wenn Sie beispielsweise eine Gruppe namens „Acme Corporation“ haben, die Untergruppen „Boston“, „London“ und „Hyderabad“ enthält, wird die für „Acme Corporation“ erstellte Richtlinie automatisch auf alle Firewalls in allen Untergruppen angewendet. Wenn Sie jedoch die Richtlinie für „Boston“ bearbeiten, werden Ihre Änderungen nur auf Firewalls in der Untergruppe „Boston“ angewendet, nicht auf Firewalls in den Untergruppen „London“ und „Hyderabad“.

Um eine Untergruppe zu erstellen, gehen Sie wie folgt vor:

  1. Klicken Sie auf die Schaltfläche mit den Auslassungspunkten (…) rechts neben der Gruppe, in der Sie eine Untergruppe erstellen möchten.
  2. Wählen Sie Eine Untergruppe hinzufügen aus.
  3. Geben Sie einen Namen für die Untergruppe ein.

  4. Weisen Sie der Untergruppe Firewalls zu.

    Sie müssen keine Firewalls zuweisen, wenn Sie eine Untergruppe erstellen. Sie können eine leere Untergruppe erstellen, ihre Richtlinie bearbeiten und ihr dann Firewalls zuweisen. Die Gruppenrichtlinie wird auf Firewalls angewendet, wenn Sie sie der Gruppe zuweisen. Ab diesem Zeitpunkt ist die Firewall-Konfiguration mit der Untergruppenrichtlinie synchronisiert.

  5. Klicken Sie auf Speichern.

Vererbung von Objekten und Einstellungen nach Untergruppenrichtlinien

Objekte sind die Seiten im Gruppenrichtlinien-Editor, die in der Regel über Schaltflächen zum Hinzufügen und Löschen verfügen. Beispiele sind Firewall-Regeln, NAT-Regeln, FQDN-Hosts und IP-Hosts.

Eine Richtlinie einer Untergruppe kann keine Objekte ändern, die Sie für eine übergeordnete Gruppe erstellen. Sie erstellen beispielsweise ein benutzerdefiniertes FQDN-Host-Objekt für die Richtlinie „Acme Corporation“. Die Richtlinien von Boston, London und Hyderabad erben eine schreibgeschützte Kopie des Objekts, die in diesen Richtlinien nicht hervorgehoben ist. Eine Untergruppenrichtlinie kann jedoch das übergeordnete Objekt als Vorlage verwenden, um eigene Regeln zu erstellen. Eine Untergruppenrichtlinie kann auch eigene Objekte erstellen. Solche Objekte sind nur für diese Untergruppenrichtlinie und die Richtlinien ihrer Untergruppen sichtbar.

Wenn Sie versuchen, ein Objekt aus einer übergeordneten Gruppenrichtlinie zu entfernen, wird es automatisch aus Untergruppenrichtlinien entfernt, wenn es von keiner dieser Richtlinien verwendet wird. Wenn es jedoch verwendet wird, wird das Entfernen verhindert und Sie werden über die Untergruppe und die Regel informiert, in denen das Objekt verwendet wird.

Einstellungen sind Seiten im Gruppenrichtlinien-Editor, die in der Regel über eine Schaltfläche zum Hinzufügen verfügen. Sie können eine Einstellung nicht löschen, sondern nur konfigurieren und aktivieren bzw. deaktivieren. Beispiele für Einstellungen sind etwa die Einstellungen zu Advanced Threats.

Einstellungen können nur in der übergeordneten Gruppenrichtlinie der höchsten Ebene konfiguriert werden. Sie können Einstellungen in keiner der Richtlinien der Untergruppe konfigurieren. Wenn eine Einstellung auf die übergeordnete Gruppenrichtlinie der höchsten Ebene angewendet wird, wird sie automatisch auf alle Untergruppenrichtlinien angewendet.

Weisen Sie einer Gruppe eine Firewall zu und überspringen Sie die vollständige Synchronisierung

Sie können die Firewall nun einer Gruppe hinzufügen und die Synchronisierung mit Sophos Central überspringen. Sie können dies für eigenständige Firewalls und Firewalls tun, die zu einem Hochverfügbarkeits-(HA-)Paar gehören.

Gehen Sie dazu wie folgt vor:

  1. Gehen Sie zu Meine Produkte > Firewall Management > Firewalls.
  2. Suchen Sie Ihre Firewall-Gruppe in der Liste, klicken Sie in der Spalte ganz rechts auf die drei Punkte und klicken Sie auf Gruppe bearbeiten.
  3. Klicken Sie unter Verfügbare Firewalls auf die Firewall, die Sie der Gruppe hinzufügen möchten und klicken Sie dann auf den Pfeil, um sie in Zugewiesene Firewalls zu verschieben.

  4. Wählen Sie Vollständige Synchronisierung überspringen.

    Vollständige Synchronisierung überspringen.

    Hinweis

    Wenn Sie die vollständige Synchronisierung überspringen, kann dies dazu führen, dass die Konfiguration zwischen Sophos Central und der Firewall nicht übereinstimmt. Die Firewall wird nicht mit den anderen Firewalls in der Gruppe synchronisiert, was bedeutet, dass Sophos Central vorhandene Konfigurationen nicht auf die Firewall schiebt.

  5. Klicken Sie auf Speichern.

  6. Klicken Sie in der Firewall-Liste auf den Pfeil neben dem Gruppennamen, um Ihre Firewall anzuzeigen. Ihre Firewall wird als Verbunden angezeigt.

Sie können Einstellungen für die Firewall-Gruppe sofort konfigurieren und anwenden. Die neuen Einstellungen werden auf alle Firewalls in der Gruppe angewendet.

Um eine vollständige Synchronisierung zu erzwingen, gehen Sie wie folgt vor:

  1. Gehen Sie zu Meine Produkte > Firewall Management > Firewalls.

  2. Klicken Sie in der Firewall-Liste auf den Pfeil neben dem Gruppennamen, um Ihre Firewall anzuzeigen.

    Unter Synchronisierung & Verwaltungen sehen Sie Ihren Firewall-Status.

  3. Klicken Sie auf den Status Ihrer Firewall. In diesem Fall lautet dieser Verbunden.

  4. Klicken Sie auf Synchronisierung erzwingen.

    Synchronisierung erzwingen.

    Hinweis

    Der Link Synchronisierung erzwingen wird für passive Firewalls in einem HA-Paar nicht angezeigt. Um ein HA-Paar zu aktualisieren, müssen Sie eine vollständige Synchronisierung der aktiven Firewall erzwingen.

Ihre Firewall wird mit Sophos Central synchronisiert, was bedeutet, dass sie alle Gruppenkonfigurationen übernimmt.