Saltar al contenido

Grupos de firewalls

Puede crear y administrar grupos de firewalls en Sophos Central.

Crear grupo

Puede añadir sus firewalls a un grupo y configurarlos todos simultáneamente mediante una política de grupo.

Para crear un grupo, debe ser administrador o superadministrador en Sophos Central.

  1. Vaya a Mis productos > Firewall Management > Firewalls.
  2. Haga clic en Crear nuevo grupo.
  3. Seleccione una opción de configuración inicial para su grupo. Seleccione Usar las opciones predeterminadas de Sophos para crear una nueva configuración o seleccione Importar configuración existente para importar la configuración desde un firewall existente.

    Puede personalizar la configuración más adelante.

  4. Introduzca el nombre del grupo.

  5. Asigne firewalls al grupo.

    No es necesario asignar firewalls al crear un grupo. Puede crear un grupo vacío, editar su política y, a continuación, asignarle firewalls. La política de grupo se aplica a los firewalls siempre que los asigne al grupo. A partir de ese momento, la configuración del firewall está sincronizada con la política de grupo.

  6. Haga clic en Guardar.

Crear y editar políticas de grupo

Puede crear y editar políticas que se aplicarán a todos los firewalls de un grupo.

Para acceder a los firewalls a través de Sophos Central, debe ser administrador o superadministrador en Sophos Central.

Para crear y editar políticas, haga lo siguiente:

  1. Haga clic en el botón de puntos suspensivos (…) situado a la derecha del grupo para el que desea crear o editar la política.
  2. Seleccione Administrar política.

    Esto le llevará a la consola de administración web del grupo de firewalls, a Reglas y políticas.

  3. Ahora puede crear y editar sus políticas.

    Si una política hace referencia a zonas o interfaces de firewall, es posible que necesite crear zonas o interfaces dinámicas.

    Nota

    Si elimina el firewall del grupo, las políticas que creó permanecen en el firewall.

  4. Para volver a Sophos Central, haga clic en Panel de control o Volver al resumen (en el menú de la izquierda).

En Sophos Central, vaya a Mis productos > Firewall Management > Cola de tareas. Puede ver si la política se ha aplicado a los firewalls.

Aviso

Cuando añada reglas NAT o de firewall, las opciones de configuración Arriba y Abajo solo se aplican al orden de las reglas dentro de Sophos Central, no a las reglas que se hayan creado localmente en el firewall. Todas las reglas impuestas desde Sophos Central se insertan en la parte superior de la lista de reglas de firewall. Para evitar un comportamiento inesperado del firewall, cuando un firewall se administra desde Sophos Central, recomendamos que todas las reglas se creen y se impongan desde Sophos Central.

Crear subgrupo

Puede crear un subgrupo dentro de un grupo. Esto permite editar la política de grupo de forma diferente en función de cada subgrupo.

Por ejemplo, si tiene un grupo llamado “Acme Corporation” que contiene subgrupos llamados “Boston”, “Londres” y “Hyderabad”, la política creada para Acme Corporation se aplica automáticamente a todos los firewalls de todos los subgrupos. Sin embargo, si edita la política para Boston, los cambios se aplicarán solo a los firewalls del subgrupo Boston, no a los firewalls de los subgrupos Londres y Hyderabad.

Para crear un subgrupo, haga lo siguiente:

  1. Seleccione el botón de puntos suspensivos (…) situado a la derecha del grupo en el que desee crear un subgrupo.
  2. Seleccione Añadir un subgrupo.
  3. Escriba un nombre para el subgrupo.
  4. Asigne firewalls al subgrupo.

    No es necesario asignar firewalls al crear un subgrupo. Puede crear un subgrupo vacío, editar su política y, a continuación, asignarle firewalls. La política de grupo se aplica a los firewalls siempre que los asigne al grupo. A partir de ese momento, la configuración del firewall está sincronizada con la política de subgrupo.

  5. Haga clic en Guardar.

Herencia de objetos y opciones de configuración por parte de las políticas de subgrupo

"Objetos" son las páginas del editor de políticas de grupo que suelen tener los botones Añadir y Eliminar. Algunos ejemplos son las reglas de firewall, las reglas NAT, los hosts FQDN y los hosts IP.

Una política de subgrupo no puede cambiar los objetos creados para un grupo principal. Por ejemplo, crea un objeto Host FQDN personalizado para la política Acme Corporation. Las políticas de Boston, Londres y Hyderabad heredan una copia de solo lectura del objeto, que aparece atenuada en esas políticas. Sin embargo, una política de subgrupo puede utilizar el objeto principal como plantilla para crear sus propias reglas. Una política de subgrupo también puede crear sus propios objetos. Estos objetos solo son visibles para esa política de subgrupo y las políticas de sus subgrupos.

Si intenta eliminar un objeto de una política de grupo principal, se elimina automáticamente de las políticas de subgrupo si ninguna de ellas lo utiliza. Sin embargo, en caso de que sí se utilice, se impide la eliminación y se le notificará el subgrupo y la regla donde se utiliza el objeto.

"Opciones de configuración" son aquellas páginas del editor de políticas de grupo que normalmente tienen un botón Aplicar. No puede eliminar ninguna opción, solo configurarla y activarla o desactivarla. Algunos ejemplos de configuración son las opciones de Amenaza avanzada.

Las opciones de configuración solo se pueden definir en la política de grupo principal superior. No se pueden configurar las opciones en ninguna de las políticas de subgrupo. Cuando se aplica una opción de configuración a la política de grupo principal superior, se aplica automáticamente a todas las políticas de subgrupo.

Asignar un firewall a un grupo y omitir la sincronización completa

Puede añadir firewalls a un grupo y omitir la sincronización con Sophos Central. Puede hacerlo para firewalls independientes y para firewalls que pertenezcan a un par de alta disponibilidad (HA).

Para ello, haga lo siguiente:

  1. Vaya a Mis productos > Firewall Management > Firewalls.
  2. Busque su grupo de firewalls en la lista, en la columna más a la derecha haga clic en los tres puntos y luego en Editar grupo.
  3. En Firewalls disponibles, haga clic en el firewall que desea añadir al grupo y, a continuación, haga clic en la flecha para moverlo a Firewalls asignados.
  4. Seleccione Omitir sincronización completa.

    Omitir la sincronización completa.

    Nota

    Si omite la sincronización completa, puede provocar un desajuste de configuración entre Sophos Central y el firewall. El firewall no se sincronizará con los demás firewalls del grupo, lo que significa que Sophos Central no enviará las configuraciones existentes al firewall.

  5. Haga clic en Guardar.

  6. En la lista de firewalls, haga clic en la flecha situada junto al nombre del grupo para ver el firewall. El firewall aparece como Conectado.

Puede configurar y aplicar las opciones para el grupo de firewalls inmediatamente. La nueva configuración se aplicará a todos los firewalls del grupo.

Para forzar una sincronización completa, haga lo siguiente:

  1. Vaya a Mis productos > Firewall Management > Firewalls.
  2. En la lista de firewalls, haga clic en la flecha situada junto al nombre del grupo para ver el firewall.

    En Sincronización y administración, verá el estado del firewall.

  3. Haga clic en el estado del firewall. En este caso, estará Conectado.

  4. Haga clic en Forzar sincronización.

    Forzar sincronización.

    Nota

    El enlace Forzar sincronización no aparece para los firewalls pasivos en un par de HA. Para actualizar un par de HA, debe forzar una sincronización completa en el firewall activo.

El firewall se sincronizará con Sophos Central, lo que significa que heredará todas las configuraciones del grupo.