Firewalls

Puede ver y configurar cualquier dispositivo Sophos XG Firewall que puede conectarse a Sophos Central.

Introducción

Cuando añade un firewall a Sophos Central, puede supervisarlo en Sophos Central y administrarlo desde la consola de administración web de firewalls.

Puede administrar los firewalls individualmente o en grupo. Los firewalls que administra individualmente se colocan en un grupo llamado Desagrupado. Para administrar los firewalls, vaya a Administración del firewall > Firewalls.

Información sobre los firewalls

La información que se muestra para cada firewall incluye lo siguiente:

  • Alertas: Alertas de las últimas 24 horas.

    Icono

    Descripción

    Alerta de uso de la CPU: para ver un gráfico del uso de la CPU en las últimas dos horas, haga clic en el icono.

    Alerta de gestión e informes: para obtener más información, haga clic en el icono.
  • Sincronización y administración

    Estado

    Descripción

    Sincronizado

    El firewall está activo y envía señales de Heartbeat regulares. La configuración del firewall coincide con la política de grupo.

    Conectado

    Si el firewall está desagrupado, este estado indica que el firewall está activo y envía señales de Heartbeat regulares.

    Si el firewall está en un grupo y este estado no varía durante más de un minuto, el firewall está activo y envía señales de Heartbeat regulares, pero no se empieza a sincronizar con las políticas del grupo. Esto puede deberse a que las tareas de sincronización no se han creado o a que las tareas se han creado pero el firewall no las está extrayendo. En este caso, compruebe la cola de tareas para averiguar qué transacciones están pendientes.

    El error requiere atención

    La configuración del firewall no coincide con la política de grupo. El administrador debe consultar la cola de tareas para averiguar qué política no se puede aplicar.

    Sincronizando

    El firewall se acaba de añadir al grupo. Sophos Central está aplicando la política de grupo al firewall.

    Visto por última vez hace x horas (para Sophos XG Firewall 18 o posterior) o Desconectado

    El firewall está desactivado.

    Aprobación pendiente

    Un administrador local ha registrado el firewall en Sophos Central desde la consola de administración web del firewall. Está esperando la aprobación de un administrador de Sophos Central. Una vez aprobado, el firewall está listo para la gestión de dispositivos individuales y en grupo.

    Administración desactivada

    El firewall está registrado en Sophos Central. Sin embargo, la administración de Sophos Central no se ha activado desde la consola de administración web del firewall.

    Si hace clic en un estado, se muestra más información:

    Información adicional

    Descripción

    Falta desde x horas

    El firewall envía un mensaje de Heartbeat cada minuto. Si se pierden cinco mensajes de Heartbeat, Sophos Central considera que el firewall está desactivado.

    No se ha podido aplicar una política desde hace x días

    No se ha podido aplicar una política al firewall. La cola de tareas puede tener más detalles sobre el motivo del error.

    El firewall está suspendido.

    El firewall está desactivado o no sincronizado con la política de grupo desde hace más de 30 días. Esto significa que Sophos Central desconoce su estado actual. Para resolver este problema, elimine el firewall del grupo y vuelva a añadirlo.

    Central Reporting está desactivado

    Puede activar los informes de firewall desde la consola de administración web del firewall.
  • Seguridad Sincronizada

    Icono

    Descripción

    Icono de las apps

    El número de apps detectadas por el firewall.

    Icono de gráfico gris

    Los informes están desactivados.

    Icono de gráfico azul

    Los informes están activados.
  • Versión: La versión del SO del firewall.

Haga clic en un firewall para abrir su consola de administración web. Esto le permite configurar el firewall.

Nota Para abrir la consola de administración web, debe ser administrador o superadministrador en Sophos Central. Esto le da los mismos permisos que la cuenta "administrador" local del firewall. También le permite cambiar la contraseña de una cuenta "administrador", que es necesario al desplegar firewalls mediante el aprovisionamiento automático.

Añadir un firewall nuevo

Para añadir un firewall nuevo, haga lo siguiente:

  1. Haga clic en Añadir firewall y seleccione la opción para añadir un firewall nuevo.
  2. Registre su número de serie.

    Se le guiará a través del registro y la implementación.

Añadir un firewall existente

Para añadir un firewall que ya está desplegado, haga lo siguiente:
  1. Inicie sesión en el firewall.
  2. En la página Sincronización con Central, active la opción Administrar desde Sophos Central.
  3. En Sophos Central, en la página Firewalls, expanda el grupo Desagrupado, busque el firewall y haga clic en Aceptar servicios.

Crear grupo

Si los firewalls tienen la versión de firmware 18.0 o posterior, puede añadirlos a un grupo y configurarlos todos a la vez usando una política de grupo.

Nota Para crear un grupo, debe ser administrador o superadministrador en Sophos Central.
  1. Haga clic en Crear nuevo grupo.
  2. Introduzca el nombre del grupo.
  3. Asigne firewalls al grupo.

    No es necesario asignar firewalls al crear un grupo. Puede crear un grupo vacío, editar su política y, a continuación, asignarle firewalls. La política de grupo se aplica a los firewalls siempre que los asigne al grupo. A partir de ese momento, la configuración del firewall está sincronizada con la política de grupo.

  4. Haga clic en Guardar.

Editar política de grupo

Puede editar la política que se aplicará a todos los firewalls de un grupo. Para ello, haga lo siguiente:

  1. Haga clic en el botón de puntos suspensivos (…) situado a la derecha del grupo para el que desea editar la política.
  2. Seleccione Administrar política.

    Esto le llevará a la consola de administración web del firewall, a Reglas y políticas.

  3. Ahora puede editar sus políticas.

    Si una política hace referencia a zonas o interfaces de firewall, es posible que necesite crear zonas o interfaces dinámicas.

  4. Para volver a Sophos Central, puede hacer clic en Panel de control o Volver al resumen (en el menú de la izquierda).

En Sophos Central, vaya a Administración del firewall > Cola de tareas. Puede ver si la política se ha aplicado a los firewalls.

Aviso Cuando añada reglas NAT o de firewall, las opciones de configuración Arriba y Abajo solo se aplican al orden de las reglas dentro de Sophos Central, no a las reglas que se hayan creado localmente en el firewall. Todas las reglas impuestas desde Sophos Central se insertan en la parte superior de la lista de reglas de firewall. Para evitar un comportamiento inesperado del firewall, cuando un firewall se administra desde Sophos Central, recomendamos que todas las reglas se creen y se impongan desde Sophos Central.

Crear subgrupo

Puede crear un subgrupo dentro de un grupo. Esto permite editar la política de grupo de forma diferente en función de cada subgrupo.

Por ejemplo, si tiene un grupo llamado “Acme Corporation” que contiene subgrupos llamados “Boston”, “Londres” y “Hyderabad”, la política creada para Acme Corporation se aplica automáticamente a todos los firewalls de todos los subgrupos. Sin embargo, si edita la política para Boston, los cambios se aplicarán solo a los firewalls del subgrupo Boston, no a los firewalls de los subgrupos Londres y Hyderabad.

Para crear un subgrupo, haga lo siguiente:

  1. Seleccione el botón de puntos suspensivos (…) situado a la derecha del grupo en el que desee crear un subgrupo.
  2. Seleccione Añadir un subgrupo.
  3. Escriba un nombre para el subgrupo.
  4. Asigne firewalls al subgrupo.

    No es necesario asignar firewalls al crear un subgrupo. Puede crear un subgrupo vacío, editar su política y, a continuación, asignarle firewalls. La política de grupo se aplica a los firewalls siempre que los asigne al grupo. A partir de ese momento, la configuración del firewall está sincronizada con la política de subgrupo.

  5. Haga clic en Guardar.

Herencia de objetos y opciones de configuración por parte de las políticas de subgrupo

"Objetos" son las páginas del editor de políticas de grupo que suelen tener los botones Añadir y Eliminar. Algunos ejemplos son las reglas de firewall, las reglas NAT, los hosts FQDN y los hosts IP.

Una política de subgrupo no puede cambiar los objetos creados para un grupo principal. Por ejemplo, crea un objeto Host FQDN personalizado para la política Acme Corporation. Las políticas de Boston, Londres y Hyderabad heredan una copia de solo lectura del objeto, que aparece atenuada en las políticas de Boston, Londres y Hyderabad. Sin embargo, una política de subgrupo puede utilizar el objeto principal como plantilla para crear sus propias reglas. Una política de subgrupo también puede crear sus propios objetos. Estos objetos solo son visibles para esa política de subgrupo y las políticas de sus subgrupos.

Si intenta eliminar un objeto de una política de grupo principal, se elimina automáticamente de las políticas de subgrupo si ninguna de ellas lo utiliza. Sin embargo, en caso de que sí se utilice, se impide la eliminación y se le notificará el subgrupo y la regla donde se utiliza el objeto.

"Opciones de configuración" son aquellas páginas del editor de políticas de grupo que normalmente tienen un botón Aplicar. No puede eliminar ninguna opción, solo configurarla y activarla o desactivarla. Algunos ejemplos de configuración son las opciones de Amenaza avanzada.

Las opciones de configuración solo se pueden definir en la política de grupo principal superior. No se pueden configurar las opciones en ninguna de las políticas de subgrupo. Cuando se aplica una opción de configuración a la política de grupo principal superior, se aplica automáticamente a todas las políticas de subgrupo.

Actualizar el firmware de los firewalls

Restricción Solo puede programar actualizaciones para una fecha y hora futuras si su XG Firewall tiene la versión 18.0 MR3 o posterior.

Puede actualizar el firmware de Sophos XG Firewall. Si hay una actualización disponible, verá un botón de descarga botón Descargar junto a todos los firewalls que optan a ella.

Para actualizar un firewall, haga lo siguiente:

  1. Haga clic en el botón de descarga.
  2. Haga clic en Programar actualizaciones.

    Programar la actualización de un firewall
  3. Si hay más de una versión de firmware disponible, seleccione la versión que desee.
  4. Elija la fecha y la hora de la actualización.

    También puede actualizar el firmware inmediatamente.

  5. Haga clic en Programar actualizaciones.

    Botón Programar actualización

    Los firewalls se actualizan en función de la zona horaria del firewall. La actualización se inicia a la hora programada en el firewall. Cuando la actualización esté en curso, junto al firewall verá un icono de rueda de engranaje que gira.

    Icono de rueda que gira

    Una vez finalizada la actualización, desaparece el icono de rueda de engranaje que gira.

Es posible actualizar varios firewalls a la vez. Puede editar o cancelar las actualizaciones programadas.