Firewalls

Sie können sämtliche Sophos XG Firewalls anzeigen und konfigurieren, die eine Verbindung zu Sophos Central herstellen können.

Einleitung

Wenn Sie eine Firewall zu Sophos Centralhinzufügen, können Sie sie in Sophos Central überwachen und über die Web-Admin-Oberfläche der Firewalls verwalten.

Sie können Firewalls einzeln oder als Gruppe verwalten. Firewalls, die einzeln verwaltet werden, werden in einer Gruppe namens „Nicht gruppiert“ platziert. Um Firewalls zu verwalten, gehen Sie zu Firewall Management > Firewalls.

Firewall-Informationen

Unter anderem werden die folgenden Informationen zu einer Firewall angezeigt:

  • Alarme: Warnhinweise in den letzten 24 Stunden.

    Symbol

    Beschreibung

    Warnung zur CPU-Nutzung: Um ein Diagramm der CPU-Nutzung in den letzten zwei Stunden anzuzeigen, klicken Sie auf das Symbol.

    Verwaltungs- und Berichterstellungswarnung: Klicken Sie auf das Symbol, um weitere Informationen zu erhalten.

  • Synchronisierung & Management

    Status

    Beschreibung

    Synchronisiert

    Die Firewall ist online und sendet regelmäßige Heartbeats. Die Konfiguration der Firewall entspricht der Gruppenrichtlinie.

    Verbunden

    Wenn die Firewall nicht gruppiert ist, zeigt dieser Status an, dass die Firewall online ist und regelmäßige Heartbeats sendet.

    Wenn sich die Firewall in einer Gruppe befindet und dieser Status länger als eine Minute unverändert bleibt, ist die Firewall online und sendet regelmäßige Heartbeats, beginnt jedoch nicht mit der Synchronisierung mit der Gruppenrichtlinie. Dies kann daran liegen, dass Synchronisierungsaufträge nicht erstellt wurden oder die Firewall sie nicht umsetzt. Überprüfen Sie in diesem Fall die Auftrags-Warteschlange, um herauszufinden, welche Transaktionen ausstehen.

    Fehler braucht Aufmerksamkeit

    Die Konfiguration der Firewall stimmt nicht mit der Gruppenrichtlinie überein. Der Administrator muss die Auftrags-Warteschlange überprüfen, um herauszufinden, welche Richtlinie nicht angewendet werden kann.

    Synchronisieren

    Die Firewall wurde soeben zur Gruppe hinzugefügt. Sophos Central wendet die Gruppenrichtlinie auf die Firewall an.

    Zuletzt gesehen vor x Stunden (ab Sophos XG Firewall v18) oder Verbindung getrennt

    Die Firewall ist offline.

    Genehmigung steht aus

    Die Firewall wurde von einem lokalen Administrator über die WebAdmin-Konsole der Firewall bei Sophos Central registriert. Wartet auf die Genehmigung durch einen Sophos Central-Administrator. Nach der Genehmigung ist die Firewall für die Gruppen- und individuelle Geräteverwaltung bereit.

    Management deaktiviert

    Die Firewall ist bei Sophos Central registriert. Die Sophos Central-Verwaltung wurde jedoch nicht über die WebAdmin-Konsole der Firewall aktiviert.

    Wenn Sie auf einen Status klicken, werden weitere Informationen angezeigt:

    Weitere Informationen

    Beschreibung

    Fehlt seit x Stunden

    Die Firewall sendet minütlich Heartbeat-Nachrichten. Wenn fünf Heartbeat-Meldungen verpasst werden, ist die Firewall für Sophos Central offline.

    Anwendung der Richtlinie vor x Tagen fehlgeschlagen

    Eine Richtlinie konnte nicht auf die Firewall angewendet werden. Die Auftrags-Warteschlange enthält möglicherweise weitere Details zur Ursache des Fehlers.

    Firewall ist angehalten.

    Die Firewall ist seit mehr als 30 Tagen offline oder nicht mehr mit der Gruppenrichtlinie synchron. Dies bedeutet, dass Sophos Central den aktuellen Status nicht ermitteln kann. Um dieses Problem zu beheben, entfernen Sie die Firewall aus der Gruppe und fügen Sie sie erneut hinzu.

    Central Reporting ist deaktiviert

    Sie können Firewall-Reporting über die Web-Admin-Konsole der Firewall aktivieren.

  • Synchronized Security

    Symbol

    Beschreibung

    App-Symbol

    Die Anzahl der Apps, die von der Firewall erkannt wurden.

    Graues Diagrammsymbol

    Berichterstellung ist deaktiviert.

    Blaues Diagrammsymbol

    Berichterstellung ist aktiviert.

  • Version: Die Betriebssystemversion der Firewall.

Klicken Sie auf eine Firewall, um die WebAdmin-Konsole der Firewall zu öffnen. So können Sie die Firewall konfigurieren.

Anmerkung Sie müssen Administrator oder Superadmin in Sophos Central sein, um die WebAdmin-Konsole zu öffnen. Dadurch erhalten Sie die gleichen Berechtigungen wie das lokale "Admin"-Konto der Firewall. Sie können Sie das Kennwort für ein "Admin"-Konto ändern. Das ist erforderlich, wenn Sie Firewalls über Zero Touch bereitstellen.

Hinzufügen einer neuen Firewall

Um eine neue Firewall hinzuzufügen, gehen Sie wie folgt vor:

  1. Klicken Sie auf Firewall hinzufügen und wählen Sie die Option zum Hinzufügen einer neuen Firewall aus.
  2. Registrieren Sie Ihre Seriennummer.

    Sie werden durch Registrierung und Bereitstellung geführt.

Hinzufügen einer vorhandenen Firewall

So fügen Sie eine Firewall hinzu, die bereits implementiert wurde:
  1. Melden Sie sich bei Ihrer Firewall an.
  2. Aktivieren Sie Mit Sophos Central verwalten auf der Seite Zentrale Synchronisierung.
  3. Erweitern Sie in Sophos Central auf der Seite Firewalls die Gruppe Gruppierung aufgehoben, suchen Sie die Firewall und klicken Sie auf Dienste Akzeptieren.

Gruppe erstellen

Wenn Ihre Firewalls unter Firmware-Version 18.0 oder höher laufen, können Sie sie zu einer Gruppe hinzufügen und alle mithilfe einer Gruppenrichtlinie gleichzeitig konfigurieren.

Anmerkung Sie müssen Administrator oder Superadmin in Sophos Central sein, um eine Gruppe zu erstellen.
  1. Klicken Sie auf Neue Gruppe erstellen.
  2. Geben Sie einen Namen für die Gruppe ein.
  3. Weisen Sie der Gruppe Firewalls zu.

    Sie müssen keine Firewalls zuweisen, wenn Sie eine Gruppe erstellen. Sie können eine leere Gruppe erstellen, ihre Richtlinie bearbeiten und ihr dann Firewalls zuweisen. Die Gruppenrichtlinie wird auf Firewalls angewendet, wenn Sie sie der Gruppe zuweisen. Ab diesem Zeitpunkt ist die Firewall-Konfiguration mit der Gruppenrichtlinie synchronisiert.

  4. Klicken Sie auf Speichern.

Gruppenrichtlinie bearbeiten

Sie können die Richtlinie bearbeiten, die für alle Firewalls in einer Gruppe gilt.
  1. Klicken Sie auf die Schaltfläche mit den Auslassungspunkten (…) rechts neben der Gruppe, deren Richtlinie Sie bearbeiten möchten.
  2. Wählen Sie Richtlinien verwalten aus.

    So gelangen Sie zum Bereich Regeln und Richtlinien der WebAdmin-Konsole der Firewall.

  3. Sie können Ihre Richtlinien jetzt bearbeiten.

    Wenn sich Ihre Richtlinie auf Firewallzonen oder -Schnittstellen bezieht, müssen Sie eventuell dynamische Zonen oder Schnittstellen erstellen.

  4. Um zu Sophos Central zurückzukehren, können Sie auf Dashboard oder Zurück zur Übersicht (im linken Menü) klicken.

Gehen Sie in Sophos Central zu Firewall Management - Auftrags-Warteschlange. Sie können sehen, ob die Richtlinie auf die Firewalls angewendet wurde.

ACHTUNG Wenn Sie Firewall- oder NAT-Regeln hinzufügen, gelten die Einstellungen oben und unten nur für die Reihenfolge der Regeln in Sophos Central und nicht für Regeln, die lokal auf der Firewall erstellt wurden. Es werden alle Regeln, die von Sophos Central gepusht wurden, oben in der Regelliste der Firewall eingefügt. Um bei der Verwaltung einer Firewall mit Sophos Central unerwartetes Firewall-Verhalten zu vermeiden, empfiehlt sich, dass alle Regeln von Sophos Central erstellt und gepusht werden.

Untergruppe erstellen

Sie können eine Untergruppe innerhalb einer Gruppe erstellen. Auf diese Weise können Sie die Gruppenrichtlinie für jede Untergruppe unterschiedlich bearbeiten.

Wenn Sie beispielsweise eine Gruppe namens „Acme Corporation“ haben, die Untergruppen „Boston“, „London“ und „Hyderabad“ enthält, wird die für „Acme Corporation“ erstellte Richtlinie automatisch auf alle Firewalls in allen Untergruppen angewendet. Wenn Sie jedoch die Richtlinie für „Boston“ bearbeiten, werden Ihre Änderungen nur auf Firewalls in der Untergruppe „Boston“ angewendet, nicht auf Firewalls in den Untergruppen „London“ und „Hyderabad“.

  1. Klicken Sie auf die Schaltfläche mit den Auslassungspunkten (…) rechts neben der Gruppe, in der Sie eine Untergruppe erstellen möchten.
  2. Wählen Sie Eine Untergruppe hinzufügen aus.
  3. Geben Sie einen Namen für die Untergruppe ein.
  4. Weisen Sie der Untergruppe Firewalls zu.

    Sie müssen keine Firewalls zuweisen, wenn Sie eine Untergruppe erstellen. Sie können eine leere Untergruppe erstellen, ihre Richtlinie bearbeiten und ihr dann Firewalls zuweisen. Die Gruppenrichtlinie wird auf Firewalls angewendet, wenn Sie sie der Gruppe zuweisen. Ab diesem Zeitpunkt ist die Firewall-Konfiguration mit der Untergruppenrichtlinie synchronisiert.

  5. Klicken Sie auf Speichern.

Vererbung von Objekten und Einstellungen nach Untergruppenrichtlinien

Objekte sind die Seiten im Gruppenrichtlinien-Editor, die in der Regel über Schaltflächen zum Hinzufügen und Löschen verfügen. Beispiele sind Firewall-Regeln, NAT-Regeln, FQDN-Hosts und IP-Hosts.

Eine Richtlinie einer Untergruppe kann keine Objekte ändern, die Sie für eine übergeordnete Gruppe erstellen. Sie erstellen beispielsweise ein benutzerdefiniertes FQDN-Host-Objekt für die Richtlinie „Acme Corporation“. Die Richtlinien von Boston, London und Hyderabad erben eine schreibgeschützte Kopie des Objekts, die in den Richtlinien von Boston, London und Hyderabad nicht hervorgehoben ist. Eine Untergruppenrichtlinie kann jedoch das übergeordnete Objekt als Vorlage verwenden, um eigene Regeln zu erstellen. Eine Untergruppenrichtlinie kann auch eigene Objekte erstellen. Solche Objekte sind nur für diese Untergruppenrichtlinie und die Richtlinien ihrer Untergruppen sichtbar.

Wenn Sie versuchen, ein Objekt aus einer übergeordneten Gruppenrichtlinie zu entfernen, wird es automatisch aus Untergruppenrichtlinien entfernt, wenn es von keiner dieser Richtlinien verwendet wird. Wenn es jedoch verwendet wird, wird das Entfernen verhindert und Sie werden über die Untergruppe und die Regel informiert, in denen das Objekt verwendet wird.

Einstellungen sind Seiten im Gruppenrichtlinien-Editor, die in der Regel über eine Schaltfläche zum Hinzufügen verfügen. Sie können eine Einstellung nicht löschen, sondern nur konfigurieren und aktivieren bzw. deaktivieren. Beispiele für Einstellungen sind etwa die Einstellungen zu Advanced Threats.

Einstellungen können nur in der übergeordneten Gruppenrichtlinie der höchsten Ebene konfiguriert werden. Sie können Einstellungen in keiner der Richtlinien der Untergruppe konfigurieren. Wenn eine Einstellung auf die übergeordnete Gruppenrichtlinie der höchsten Ebene angewendet wird, wird sie automatisch auf alle Untergruppenrichtlinien angewendet.

Firmware-Upgrade für Firewalls

Sie können die Firmware für Sophos XG Firewall aktualisieren. Wenn ein Upgrade verfügbar ist, sehen Sie eine Download-Schaltfläche neben den Firewalls, die für das Upgrade infrage kommen.

Um eine virtuelle Firewall upzugraden, gehen Sie wie folgt vor:

  1. Klicken Sie auf die Download-Schaltfläche.
  2. Klicken Sie auf Aktualisierungen planen.
    Planen von Firewall-Upgrades
  3. Ist mehr als eine Firmware-Version verfügbar, klicken Sie auf die gewünschte Version.
  4. Wählen Sie das Datum und die Uhrzeit des Upgrades aus.

    Sie können die Firmware auch sofort aktualisieren.

  5. Klicken Sie auf Aktualisierungen planen.

    Schaltfläche „Upgrade planen“

    Firewalls werden auf der Basis der Zeitzone der Firewall aktualisiert. Das Upgrade beginnt zur geplanten Zeit auf der Firewall. Wenn das Upgrade durchgeführt wird, sehen Sie ein sich drehendes Symbol neben der Firewall.

    Sich drehendes Symbol

    Wenn die Aktualisierung abgeschlossen ist, wird das sich drehende Symbol ausgeblendet.

Sie können mehrere Firewalls zugleich upgraden. Sie können geplante Upgrades bearbeiten oder abbrechen.