Firewalls

Sie können sämtliche Sophos XG Firewalls anzeigen und konfigurieren, die eine Verbindung zu Sophos Central herstellen können.

Gehen Sie zu Firewall-Verwaltung > Firewalls.

Sie können Firewalls einzeln oder als Gruppe verwalten. Firewalls, die einzeln verwaltet werden, werden in einer Gruppe namens Gruppierung aufgehoben platziert.

Unter anderem werden die folgenden Informationen zu einer Firewall angezeigt:

  • Alarme: Warnhinweise in den letzten 24 Stunden.

    Symbol

    Beschreibung

    Warnung zur CPU-Nutzung: Um ein Diagramm der CPU-Nutzung in den letzten zwei Stunden anzuzeigen, klicken Sie auf das Symbol.

    Verwaltungs- und Berichterstellungswarnung: Klicken Sie auf das Symbol, um weitere Informationen zu erhalten.

  • Synchronisierung & Management

    Status

    Beschreibung

    Synchronisiert

    Die Firewall ist online und sendet regelmäßige Heartbeats. Die Konfiguration der Firewall entspricht der Gruppenrichtlinie.

    Verbunden

    Wenn die Firewall nicht gruppiert ist, zeigt dieser Status an, dass die Firewall online ist und regelmäßige Heartbeats sendet.

    Wenn sich die Firewall in einer Gruppe befindet und dieser Status länger als eine Minute unverändert bleibt, bedeutet dies, dass die Firewall online ist und regelmäßige Heartbeats sendet, jedoch nicht mit der Synchronisierung mit der Gruppenrichtlinie beginnt. Dies kann daran liegen, dass Synchronisierungsaufträge nicht erstellt wurden oder die Firewall sie nicht umsetzt. Überprüfen Sie in diesem Fall die Auftrags-Warteschlange, um herauszufinden, welche Transaktionen ausstehen.

    Fehler braucht Aufmerksamkeit

    Die Konfiguration der Firewall stimmt nicht mit der Gruppenrichtlinie überein. Der Administrator muss die Auftrags-Warteschlange überprüfen, um herauszufinden, welche Richtlinie nicht angewendet werden kann.

    Synchronisieren

    Die Firewall wurde soeben zur Gruppe hinzugefügt. Sophos Central wendet die Gruppenrichtlinie auf die Firewall an.

    Zuletzt gesehen vor x Stunden (ab Sophos XG Firewall v18) oder Verbindung getrennt

    Die Firewall ist offline.

    Genehmigung steht aus

    Die Firewall wurde von einem lokalen Administrator über die WebAdmin-Konsole der Firewall bei Sophos Central registriert. Wartet auf die Genehmigung durch einen Sophos Central-Administrator. Nach der Genehmigung ist die Firewall für die Gruppen- und individuelle Geräteverwaltung bereit.

    Management deaktiviert

    Die Firewall ist bei Sophos Central registriert. Die Sophos Central-Verwaltung wurde jedoch nicht über die WebAdmin-Konsole der Firewall aktiviert.

    Wenn Sie auf einen Status klicken, werden weitere Informationen angezeigt:

    Weitere Informationen

    Beschreibung

    Fehlt seit x Stunden

    Die Firewall sendet minütlich Heartbeat-Nachrichten. Wenn fünf Heartbeat-Meldungen verpasst werden, ist die Firewall für Sophos Central offline.

    Anwendung der Richtlinie vor x Tagen fehlgeschlagen

    Eine Richtlinie konnte nicht auf die Firewall angewendet werden. Die Auftrags-Warteschlange enthält möglicherweise weitere Details zur Ursache des Fehlers.

    Firewall ist angehalten.

    Die Firewall ist seit mehr als 30 Tagen offline oder nicht mehr mit der Gruppenrichtlinie synchron. Dies bedeutet, dass Sophos Central den aktuellen Status nicht ermitteln kann. Um dieses Problem zu beheben, entfernen Sie die Firewall aus der Gruppe und fügen Sie sie erneut hinzu.

    Central Reporting ist deaktiviert

    Die Firewall-Berichterstellung kann über die WebAdmin-Konsole der Firewall aktiviert werden.

  • Synchronized Security

    Symbol

    Beschreibung

    App-Symbol

    Die Anzahl der Apps, die von der Firewall erkannt wurden

    Graues Diagrammsymbol

    Berichterstellung ist deaktiviert

    Blaues Diagrammsymbol

    Berichterstellung ist aktiviert

  • Version: Die Betriebssystemversion der Firewall.

Klicken Sie auf eine Firewall, um die WebAdmin-Konsole der Firewall zu öffnen. So können Sie die Firewall konfigurieren.

Anmerkung Sie müssen Administrator oder Superadmin in Sophos Central sein, um die WebAdmin-Konsole zu öffnen. Dadurch erhalten Sie die gleichen Berechtigungen wie das lokale "Admin"-Konto der Firewall. Sie können Sie das Kennwort für ein "Admin"-Konto ändern. Das ist erforderlich, wenn Sie Firewalls über Zero Touch bereitstellen.
Anmerkung Informationen zur Zero Touch-Konfiguration finden Sie unter Eine Firewall mit Zero Touch hinzufügen.

Firewalls hinzufügen

Sie fügen Firewalls hinzu, damit Sie sie in Sophos Central überwachen und auch mit Ihrer WebAdmin-Konsole verwalten können.

Die Schritte hängen davon ab, ob Sie eine neue Firewall hinzufügen oder eine bereits implementierte Firewall hinzufügen möchten.

So fügen Sie eine neue Firewall hinzu:

  1. Klicken Sie auf Firewall hinzufügen und wählen Sie die Option zum Hinzufügen einer neuen Firewall aus.
  2. Registrieren Sie Ihre Seriennummer.

    Sie werden durch Registrierung und Bereitstellung geführt.

So fügen Sie eine Firewall hinzu, die bereits implementiert wurde:

  1. Melden Sie sich bei Ihrer Firewall an.
  2. Aktivieren Sie Mit Sophos Central verwalten auf der Seite Zentrale Synchronisierung.
  3. Erweitern Sie in Sophos Central auf der Seite Firewalls die Gruppe Gruppierung aufgehoben, suchen Sie die Firewall und klicken Sie auf Dienste Akzeptieren.

Sehen Sie sich hier ein Video dieser Schritte an: XG Firewall Management von Sophos Central.

Wenn Sie Probleme beim Zugriff auf das Video haben, können Sie es auch in unserer XG Firewall How-To Library finden.

Gruppe erstellen

Wenn Ihre Firewalls unter Firmware-Version 18.0 oder höher laufen, können Sie sie zu einer Gruppe hinzufügen und alle mithilfe einer Gruppenrichtlinie gleichzeitig konfigurieren.

Anmerkung Sie müssen Administrator oder Superadmin in Sophos Central sein, um eine Gruppe zu erstellen.
  1. Klicken Sie auf Neue Gruppe erstellen.
  2. Geben Sie einen Namen für die Gruppe ein.
  3. Weisen Sie der Gruppe Firewalls zu.

    Sie müssen keine Firewalls zuweisen, wenn Sie eine Gruppe erstellen. Sie können eine leere Gruppe erstellen, ihre Richtlinie bearbeiten und ihr dann Firewalls zuweisen. Die Gruppenrichtlinie wird bei der Zuweisung auf die Firewalls angewendet, auch wenn sie nach der Bearbeitung der Gruppenrichtlinie zugewiesen wurden. Ab diesem Zeitpunkt ist die Firewall-Konfiguration mit der Gruppenrichtlinie synchronisiert.

  4. Klicken Sie auf Speichern.

Gruppenrichtlinie bearbeiten

Sie können die Richtlinie bearbeiten, die für alle Firewalls in einer Gruppe gilt.

  1. Klicken Sie auf die Schaltfläche mit den Auslassungspunkten (…) rechts neben der Gruppe, deren Richtlinie Sie bearbeiten möchten.
  2. Wählen Sie Richtlinien verwalten, um den Gruppenrichtlinien-Editor zu öffnen.

    Im Hauptmenü unter Firewalls verwalten > Firewalls wird der Name der Gruppe angezeigt.

  3. Ändern Sie die Richtlinie nach Bedarf in einem der Abschnitte im Hauptmenü. Eine Erklärung finden Sie in der Sophos XG Firewall Hilfe.

    Wenn sich Ihre Richtlinie auf Firewallzonen oder -Schnittstellen bezieht, müssen Sie eventuell dynamische Zonen oder Schnittstellen erstellen. Siehe Dynamische Objekte.

Sie können die Auftrags-Warteschlange anzeigen, um den Status der Anwendung der Richtlinie auf die Firewalls abzurufen.

ACHTUNG Wenn Sie Firewall- oder NAT-Regeln hinzufügen, gelten die Einstellungen oben und unten nur für die Reihenfolge der Regeln in Sophos Central und nicht für Regeln, die lokal auf der Firewall erstellt wurden. Darüber hinaus werden alle Regeln, die von Sophos Central gepusht wurden, oben in der Regelliste der Firewall eingefügt. Um bei der Verwaltung einer Firewall mit Sophos Central unerwartetes Firewall-Verhalten zu vermeiden, empfiehlt sich, dass alle Regeln von Sophos Central erstellt und gepusht werden.

Untergruppe erstellen

Sie können eine Untergruppe innerhalb einer Gruppe erstellen. Auf diese Weise können Sie die Gruppenrichtlinie für jede Untergruppe unterschiedlich bearbeiten. Wenn Sie beispielsweise eine Gruppe namens „Acme Corporation“ haben, die Untergruppen „Boston“, „London“ und „Hyderabad“ enthält, wird die für „Acme Corporation“ erstellte Richtlinie automatisch auf alle Firewalls in allen Untergruppen angewendet. Wenn Sie jedoch die Richtlinie für „Boston“ bearbeiten, werden Ihre Änderungen nur auf Firewalls in der Untergruppe „Boston“ angewendet, nicht auf Firewalls in den Untergruppen „London“ und „Hyderabad“.

  1. Klicken Sie auf die Schaltfläche mit den Auslassungspunkten (…) rechts neben der Gruppe, in der Sie eine Untergruppe erstellen möchten.
  2. Wählen Sie Eine Untergruppe hinzufügen aus.
  3. Geben Sie einen Namen für die Untergruppe ein.
  4. Weisen Sie der Untergruppe Firewalls zu.

    Sie müssen keine Firewalls zuweisen, wenn Sie eine Untergruppe erstellen. Sie können eine leere Untergruppe erstellen, ihre Richtlinie bearbeiten und ihr dann Firewalls zuweisen. Die Untergruppenrichtlinie wird bei der Zuweisung auf die Firewalls angewendet, auch wenn sie nach der Bearbeitung der Untergruppenrichtlinie zugewiesen wurden. Ab diesem Zeitpunkt ist die Firewall-Konfiguration mit der Untergruppenrichtlinie synchronisiert.

  5. Klicken Sie auf Speichern.

Vererbung von Objekten und Einstellungen nach Untergruppenrichtlinien

„Objekte“ sind die Seiten im Gruppenrichtlinien-Editor, die in der Regel über Schaltflächen zum Hinzufügen und Löschen verfügen. Beispiele sind Firewall-Regeln, NAT-Regeln, FQDN-Hosts und IP-Hosts. Objekte, die Sie für eine übergeordnete Gruppenrichtlinie erstellen, können nicht durch eine Untergruppenrichtlinie geändert werden. Wenn Sie beispielsweise ein benutzerdefiniertes FQDN-Host-Objekt für die Richtlinie „Acme Corporation“ erstellen, übernehmen die Richtlinien „Boston“, „London“ und „Hyderabad“ eine schreibgeschützte Kopie des Objekts, das in der Richtlinie „Boston“, „London“ und „Hyderabad“ nicht hinterlegt angezeigt wird. Eine Untergruppenrichtlinie kann jedoch ein Objekt verwenden, das von der übergeordneten Gruppenrichtlinie erstellt wurde, um eigene Regeln zu erstellen. Eine Untergruppenrichtlinie kann auch eigene Objekte erstellen. Solche Objekte sind nur für diese Untergruppenrichtlinie und die Richtlinien ihrer Untergruppen sichtbar.

Wenn Sie versuchen, ein Objekt aus einer übergeordneten Gruppenrichtlinie zu entfernen, wird es automatisch aus Untergruppenrichtlinien entfernt, wenn es von keiner dieser Richtlinien verwendet wird. Wenn es jedoch verwendet wird, wird das Entfernen verhindert und Sie werden über die Untergruppe und die Regel informiert, in denen das Objekt verwendet wird.

„Einstellungen“ sind die Seiten im Gruppenrichtlinien-Editor, die in der Regel über eine Schaltfläche zum Hinzufügen verfügen. Sie können eine Einstellung nicht löschen, sondern nur konfigurieren und aktivieren bzw. deaktivieren. Beispiele für Einstellungen sind etwa die Einstellungen zu Advanced Threats. Einstellungen können nur in der übergeordneten Gruppenrichtlinie der höchsten Ebene konfiguriert werden. Sie können nicht in einer der Untergruppenrichtlinien konfiguriert werden. Wenn eine Einstellung auf die übergeordnete Gruppenrichtlinie der höchsten Ebene angewendet wird, wird sie automatisch auf alle Untergruppenrichtlinien angewendet.

Firmware-Upgrade für Firewalls

Sie können die Firmware für Sophos XG Firewall aktualisieren. Wenn ein Upgrade verfügbar ist, wird eine Download-Schaltfläche Download-Schaltfläche neben allen dafür geeigneten Firewalls angezeigt.

Um eine virtuelle Firewall upzugraden, gehen Sie wie folgt vor:

  1. Klicken Sie auf die Download-Schaltfläche.
  2. Klicken Sie auf Aktualisierungen planen.

    Planen von Firewall-Upgrades
  3. Ist mehr als eine Firmware-Version verfügbar, klicken Sie auf die gewünschte Version.
  4. Wählen Sie das Datum und die Uhrzeit des Upgrades aus.

    Sie können die Firmware auch sofort aktualisieren.

  5. Klicken Sie auf Aktualisierungen planen.

    Schaltfläche „Upgrade planen“

    Firewalls werden auf der Basis der Zeitzone der Firewall aktualisiert. Das Upgrade beginnt zur geplanten Zeit auf der Firewall. Wenn das Upgrade durchgeführt wird, sehen Sie ein sich drehendes Symbol neben der Firewall.

    Sich drehendes Symbol

    Wenn die Aktualisierung abgeschlossen ist, wird das sich drehende Symbol ausgeblendet.

Sie können mehrere Firewalls zugleich upgraden. Sie können geplante Upgrades bearbeiten oder abbrechen.