Firewall

È possibile visualizzare e configurare qualsiasi Sophos Firewall in grado di connettersi a Sophos Central.

Introduzione

Catalogo di risorse How-To per Sophos Firewall

Introduzione

Quando si aggiunge un firewall a Sophos Central, è possibile monitorarlo in Sophos Central e gestirlo dalla Web Admin dei firewall. Vedere Gestione di Sophos Firewall da Sophos Central..

È possibile gestire i firewall individualmente o come gruppo. I firewall gestiti individualmente vengono collocati in un gruppo denominato Separato/i. Per gestire i firewall, selezionare Gestione del Firewall > Firewall.

Per assistenza con i firewall, vedere:

Informazioni sul firewall

Le informazioni visualizzate per ciascun firewall includono quanto segue:

  • Avvisi: Avvisi nelle ultime 24 ore.

    Icona

    Descrizione

    Avviso sull'utilizzo della CPU: per visualizzare un grafico dell'utilizzo della CPU nelle ultime due ore, cliccare sull'icona.

    Avviso sulla gestione e sulla reportistica: per maggiori informazioni, cliccare sull'icona.

  • Sincronizzazione e gestione

    Stato

    Descrizione

    Sincronizzato

    Il firewall è on-line e invia heartbeat regolarmente. La configurazione del firewall corrisponde al criterio di gruppo.

    Connesso

    Se il firewall non appartiene ad alcun gruppo, questo stato indica che il firewall è on-line e invia heartbeat regolari.

    Se il firewall appartiene a un gruppo e questo stato rimane invariato per più di un minuto circa, il firewall è on-line e invia heartbeat regolari, ma non ha iniziato a sincronizzarsi con il criterio di gruppo. Ciò potrebbe essere dovuto al fatto che non sono state create attività di sincronizzazione, o che tali attività sono state create ma il firewall non le sta recuperando. In questo caso, controllare la coda delle attività per scoprire quali transazioni sono in sospeso.

    Errore che richiede attenzione

    La configurazione del firewall non corrisponde al criterio di gruppo. L'amministratore deve esaminare la coda delle attività per scoprire qual è il criterio che non può essere applicato.

    Sincronizzazione in corso

    Il firewall è stato appena aggiunto al gruppo. Sophos Central sta applicando il criterio di gruppo al firewall.

    Ultima visualizzazione x ore fa (per Sophos Firewall 18,0 o versione successiva) o Disconnesso

    Il firewall è off-line.

    Approvazione in sospeso

    Il firewall è stato registrato a Sophos Central da un amministratore locale, tramite la console Web Admin del firewall. È in attesa di approvazione da parte di un amministratore di Sophos Central. Una volta approvato, il firewall sarà pronto per la gestione di gruppi e singoli dispositivi.

    Gestione disattivata

    Il firewall è registrato a Sophos Central. Tuttavia, la gestione con Sophos Central non è stata attivata dalla console Web Admin del firewall.

    Cliccando su uno stato, vengono visualizzate ulteriori informazioni:

    Informazioni aggiuntive

    Descrizione

    Mancante da x ore

    Il firewall invia un messaggio heartbeat ogni minuto. Se vengono saltati cinque messaggi heartbeat, Sophos Central considera il firewall off-line.

    Applicazione del criterio non riuscita x giorni fa

    Non è stato possibile applicare un criterio al firewall. La coda delle attività potrebbe indicare maggiori dettagli sul motivo dell'errore.

    Firewall sospeso.

    Il firewall è off-line o non sincronizzato con il criterio di gruppo da più di 30 giorni. Ciò significa che Sophos Central non è in grado di verificarne lo stato attuale. Per risolvere il problema, rimuovere il firewall dal gruppo e successivamente riaggiungerlo.

    La reportistica di Central è disattivata

    È possibile attivare la reportistica del firewall dalla console Web Admin del firewall.

  • Synchronized Security

    Icona

    Descrizione

    Icona app

    Il numero di app individuate dal firewall.

    Icona grafico grigio

    La reportistica è disattivata.

    Icona grafico blu

    La reportistica è attiva.

  • Versione: La versione del sistema operativo del firewall.

Cliccare su un firewall per aprire la console Web Admin del firewall. In questo modo sarà possibile configurare il firewall.

Nota Per aprire la console Web Admin è necessario essere Amministratore o Super Amministratore in Sophos Central. In questo modo, si disporrà delle stesse autorizzazioni dell'account "Amministratore" locale del firewall. Inoltre, si sarà anche in grado di modificare la password degli account "Amministratore", un requisito necessario per la distribuzione Zero Touch dei firewall.

Aggiunta di un nuovo firewall

Per aggiungere un nuovo firewall, procedere come segue:

  1. Cliccare su Aggiungi firewall e selezionare l'opzione di aggiunta di un nuovo firewall.
  2. Registrare il numero di serie.

    Verranno indicati tutti i passaggi da seguire per i processi di registrazione e installazione.

Aggiunta di un firewall esistente

Per aggiungere un firewall già installato, procedere come segue:
  1. Accedere al firewall.
  2. Alla pagina Sincronizzazione con Central, attivare Gestisci da Sophos Central.
  3. In Sophos Central, alla pagina Firewall, espandere il gruppo Separato/i, individuare il firewall e cliccare su Accetta servizi.

Creazione di un gruppo

Se i firewall eseguono il firmware versione 18.0 o successiva, è possibile aggiungerli a un gruppo e configurarli contemporaneamente utilizzando un criterio di gruppo.

Nota Per creare un gruppo, è necessario essere Amministratore o Super Amministratore in Sophos Central.
  1. Cliccare su Crea nuovo gruppo.
  2. Immettere il nome che si desidera attribuire al gruppo.
  3. Assegnare i firewall al gruppo.

    Non occorre necessariamente assegnare firewall quando si crea un gruppo. È possibile creare un gruppo vuoto, modificarne i criteri e assegnarvi i firewall. Il criterio di gruppo viene applicato ai firewall ogni volta che vengono assegnati al gruppo. Da quel momento in poi, la configurazione del firewall verrà sincronizzata con il criterio di gruppo.

  4. Cliccare su Salva.

Modifica del criterio di gruppo

È possibile modificare il criterio da applicare a tutti i firewall di un gruppo. Per farlo, procedere come segue:

  1. Cliccare sul pulsante con i puntini di sospensione (…) a destra del gruppo per il quale si desidera modificare il criterio.
  2. Selezionare Gestisci criterio.

    Questa operazione apre la console Web Admin del firewall su Regole e criteri.

  3. È ora possibile modificare i criteri.

    Se il criterio si riferisce ad aree o interfacce del firewall, potrebbe essere necessario creare aree o interfacce dinamiche.

  4. Per tornare a Sophos Central, è possibile cliccare su Dashboard o su Torna alla Panoramica (nel menu a sinistra).

In Sophos Central, selezionare Gestione del Firewall > Coda delle operazioni. È possibile verificare se il criterio è stato applicato ai firewall.

Avvertenza Quando si aggiungono regole firewall o NAT, le impostazioni In cima e In fondo sono applicabili solo all'ordinamento delle regole in Sophos Central, e non alle regole che potrebbero essere state create localmente nel firewall. Tutte le regole inviate tramite push da Sophos Central vengono inserite in cima all'elenco delle regole nel firewall. Per evitare comportamenti imprevisti del firewall, quando un firewall viene gestito da Sophos Central, si consiglia di creare e inviare tutte le regole tramite push da Sophos Central.

Creazione di un sottogruppo

È possibile creare un sottogruppo all'interno di un gruppo. Ciò consente di modificare i criteri di gruppo in modo diverso per ciascun sottogruppo.

Ad esempio, se è presente un gruppo denominato "Acme Corporation" che contiene sottogruppi denominati "Boston", "Londra" e "Hyderabad", il criterio creato per Acme Corporation viene applicato automaticamente a tutti i firewall in tutti i sottogruppi. Tuttavia, se si modifica il criterio per Boston, le modifiche vengono applicate solo ai firewall del sottogruppo Boston, non ai firewall dei sottogruppi Londra e Hyderabad.

Per creare un sottogruppo, procedere come segue:

  1. Cliccare sul pulsante con i puntini di sospensione (…) a destra del gruppo nel quale si desidera creare un sottogruppo.
  2. Selezionare Aggiungi un sottogruppo.
  3. Immettere un nome per il sottogruppo.
  4. Assegnare firewall al sottogruppo.

    Non occorre necessariamente assegnare firewall quando si crea un sottogruppo. È possibile creare un sottogruppo vuoto, modificarne il criterio e assegnarvi firewall. Il criterio di gruppo viene applicato ai firewall ogni volta che vengono assegnati al gruppo. Da quel momento in poi, la configurazione del firewall verrà sincronizzata con il criterio del sottogruppo.

  5. Cliccare su Salva.

Ereditarietà di oggetti e impostazioni in base ai criteri dei sottogruppi

Gli Oggetti sono pagine nell'editor dei criteri di gruppo che in genere hanno pulsanti Aggiungi ed Elimina. Alcuni esempi sono le regole firewall, le regole NAT, gli host FQDN e gli host IP.

Il criterio di un sottogruppo non può modificare gli oggetti creati per un gruppo principale. Ad esempio, è possibile creare un oggetto host FQDN personalizzato per il criterio Acme Corporation. I criteri di Boston, Londra e Hyderabad ereditano una copia di sola lettura dell'oggetto, che appare con un colore attenuato nei criteri di Boston, Londra e Hyderabad. Tuttavia, il criterio di un sottogruppo può utilizzare un oggetto del gruppo principale per creare le proprie regole. Un criterio di un sottogruppo è anche libero di creare i propri oggetti. Tali oggetti saranno visibili solo ai criteri di quel sottogruppo e ai criteri dei relativi sottogruppi.

Se si cerca di rimuovere un oggetto dal criterio di un gruppo principale, questo verrà automaticamente rimosso dai criteri dei sottogruppi se non viene utilizzato da nessuno di essi. Tuttavia, se viene utilizzato, ne sarà impedita la rimozione e si verrà informati del sottogruppo e della regola in cui viene utilizzato l'oggetto.

Le Impostazioni sono pagine nell'editor dei criteri di gruppo che in genere hanno un pulsante Applica. Un'impostazione non può essere eliminata, bensì solamente configurata e attivata o disattivata. Alcuni esempi di impostazioni sono le impostazioni di Protezione avanzata contro le minacce.

Le impostazioni possono essere configurate solo nel criterio del gruppo principale di livello più elevato. Non è possibile configurare le impostazioni in nessuno dei criteri del sottogruppo. Quando un'impostazione viene applicata al criterio del gruppo principale di livello più elevato, sarà applicata automaticamente a tutti i criteri dei sottogruppi.

Upgrade del firmware per i firewall

Limitazione È possibile pianificare gli upgrade per una data e un'ora future solo se si utilizza la versione 18.0 MR3 o successiva di Sophos Firewall.

È possibile aggiornare il firmware di Sophos Firewall. Se è disponibile un upgrade, verrà visualizzato un pulsante di download Pulsante di download accanto a tutti i firewall idonei per questa operazione.

Per eseguire l'upgrade di un firewall, procedere come segue:

  1. Cliccare sul pulsante di download.
  2. Cliccare su Pianifica upgrade.

    Pianificazione di un upgrade del firewall
  3. Se è disponibile più di una versione del firmware, selezionare la versione desiderata.
  4. Scegliere la data e l'ora dell'upgrade.

    È anche possibile eseguire l'upgrade del firmware immediatamente.

  5. Cliccare su Pianifica upgrade.

    Pulsante Pianifica upgrade

    L'upgrade dei firewall viene eseguito in base al fuso orario locale del firewall. L'upgrade viene avviato all'ora pianificata sul firewall. Quando l'upgrade è in corso, verrà visualizzata accanto al firewall un'icona che ruota.

    Icona che ruota

    Una volta completato l'upgrade, l'icona che ruota scomparirà.

È possibile eseguire l'upgrade di più firewall nello stesso momento. È possibile modificare o annullare gli upgrade pianificati.