Saltar al contenido

Firewalls

Puede ver y configurar cualquier dispositivo Sophos Firewall que puede conectarse a Sophos Central.

Introducción

Cuando añade un firewall a Sophos Central, puede supervisarlo en Sophos Central y administrarlo desde la consola de administración web de firewalls. Consulte Administración de Sophos Firewall desde Sophos Central.

Puede administrar los firewalls individualmente o en grupo. Los firewalls que administra individualmente se colocan en un grupo llamado Sin agrupar. Para administrar los firewalls, vaya a Mis productos > Firewall Management > Firewalls.

Puede añadir tantos firewalls como desee en Sophos Central. Sophos Central está basado en la nube y se adapta a sus necesidades. Por ejemplo, si sus firewalls producen un gran número de registros, puede almacenar e informar sobre estos datos si tiene suficiente capacidad de licencia. Sophos Central almacena los datos de registro del firewall según el método PEPS (primero en entrar, primero en salir). Esto significa que eliminamos sus datos antiguos cuando su almacenamiento de datos está lleno. Consulte Centro de informes.

Para obtener ayuda con los firewalls, consulte:

Información sobre los firewalls

La información que se muestra para cada firewall incluye lo siguiente:

Nombre

Muestra las listas de firewalls agrupados y sin agrupar. Para ver los firewalls, haga clic en la flecha situada junto al nombre de la lista.

Haga clic en el nombre de un firewall para abrir su consola de administración web. Esto le permite configurar el firewall.

Para abrir la consola de administración web del firewall, debe ser administrador o superadministrador en Sophos Central. Esto le da los mismos permisos que la cuenta "administrador" local del firewall. También le permite cambiar la contraseña de una cuenta "administrador", que es necesario al desplegar firewalls mediante el aprovisionamiento automático.

Nota

Los firewalls no agrupados están en una lista llamada Sin agrupar.

Firewall Management - Página Firewalls.

Haga clic en el icono de alta disponibilidad (HA) Icono de HA. junto al nombre del firewall para ver los siguientes detalles sobre el clúster HA:

  • Rol del firewall en el clúster HA. Puede ser principal o auxiliar.
  • Número de nodo del firewall. Ejemplo: "Node1".
  • Información del nodo del firewall. Ejemplo: "Principal inicial. Posee la licencia para el cliente."
  • Último cambio de estado. Última vez que el nodo del firewall cambió de rol. Ejemplo: "Viernes, 14 de abril de 2023, 11:42 h".

    Nota

    La hora corresponde a la hora local del navegador. Esta puede diferir ligeramente de la hora del firewall.

  • Nombre de nodo del firewall: Nombre que ha dado al nodo del firewall.

  • Modo de alta disponibilidad: Tipo de clúster HA al que pertenecen los firewalls. Ejemplo: "Alta disponibilidad en modo Activo-pasivo".

He aquí un ejemplo de detalles de HA para un firewall.

Detalles de HA del firewall.

Nota

También puede hacer clic en el icono HA junto al nombre del firewall para ver los detalles de HA al crear un nuevo grupo de firewalls, en Firewalls disponibles y Firewalls asignados.

Alertas

Alertas de las últimas 24 horas.

Icono Descripción
Alerta de uso de la CPU. Alerta de uso de la CPU: Haga clic en el icono para ver un gráfico del uso de la CPU en las últimas dos horas.
Alerta de informes. Alerta de gestión e informes: para obtener más información, haga clic en el icono.

Sincronización y administración

Estado Descripción
Sincronizado El firewall está activo y envía señales de Heartbeat regulares. La configuración del firewall coincide con la política de grupo.
Conectado

Si el firewall está sin agrupar, este estado indica que el firewall está activo y envía señales de Heartbeat regulares.

Si el firewall está en un grupo y este estado no varía durante más de un minuto, el firewall está activo y envía señales de Heartbeat regulares, pero no se empieza a sincronizar con las políticas del grupo. Esto puede deberse a que las tareas de sincronización no se han creado o a que las tareas se han creado pero el firewall no las está extrayendo. En este caso, compruebe la cola de tareas para averiguar qué transacciones están pendientes.

El error requiere atención La configuración del firewall no coincide con la política de grupo. El administrador debe consultar la cola de tareas para averiguar qué política no se puede aplicar.
Sincronizando El firewall se acaba de añadir al grupo. Sophos Central está aplicando la política de grupo al firewall.
Visto por última vez hace x horas (para Sophos Firewall 18.0 o posterior) o Desconectado El firewall está desactivado.
Aprobación pendiente Un administrador local ha registrado el firewall en Sophos Central desde la consola de administración web del firewall. Está esperando la aprobación de un administrador de Sophos Central. Una vez aprobado, el firewall está listo para la gestión de dispositivos individuales y en grupo.
Administración desactivada El firewall está registrado en Sophos Central. Sin embargo, la administración de Sophos Central no se ha activado desde la consola de administración web del firewall.

Si hace clic en un estado, se muestra más información:

Información adicional Descripción
Falta desde x horas El firewall envía un mensaje de Heartbeat cada minuto. Sophos Central considera que el firewall está desconectado si se pierden cinco mensajes de Heartbeat.
No se ha podido aplicar una política desde hace x días No se ha podido aplicar una política al firewall. La cola de tareas puede tener más detalles sobre el motivo del error.
El firewall está suspendido. El firewall está desactivado o no sincronizado con la política de grupo desde hace más de 30 días. Esto significa que Sophos Central desconoce su estado actual. Para obtener más información, consulte Firewalls suspendidos.
Central Reporting está desactivado Puede activar los informes de firewall desde la consola de administración web del firewall.

Seguridad Sincronizada

Icono Descripción
Icono de las apps. El número de apps detectadas por el firewall.
Icono de gráfico gris. Los informes están desactivados.
Icono de gráfico azul. Los informes están activados.

Versión

La versión de firmware del firewall.

Hay un icono junto a la versión que muestra el estado de actualización del firewall. Haga clic en el icono para obtener más información.

Los iconos son los siguientes:

Icono Descripción
Icono de flecha azul. Actualización de firmware disponible.
Icono de marca de verificación verde. Actualización de firmware correcta.
Icono de advertencia rojo. Error de actualización de firmware.
Icono de reloj gris. Actualización del firmware programada.
Icono de círculo azul giratorio. La actualización del firmware está en curso.

Ejemplo: Si hace clic en el icono de flecha azul, verá algo como esto:

Estado del firmware del firewall.

Añadir un firewall nuevo

Para añadir un firewall nuevo, haga lo siguiente:

  1. Haga clic en Añadir firewall y seleccione la opción para añadir un firewall nuevo.
  2. Registre su número de serie.

    Se le guiará a través del registro y la implementación.

Añadir un firewall existente

Para añadir un firewall que ya está desplegado, haga lo siguiente:

  1. Inicie sesión en el firewall.
  2. En la página Sincronización con Central, active la opción Administrar desde Sophos Central.
  3. En Sophos Central, en la página Firewalls, expanda el grupo Sin agrupar, busque el firewall y haga clic en Aceptar servicios.

Crear grupo

Si los firewalls tienen la versión de firmware 18.0 o posterior, puede añadirlos a un grupo y configurarlos todos a la vez usando una política de grupo.

Para crear un grupo, debe ser administrador o superadministrador en Sophos Central.

  1. Haga clic en Crear nuevo grupo.
  2. Seleccione una opción de configuración inicial para su grupo. Seleccione Usar las opciones predeterminadas de Sophos para crear una nueva configuración o seleccione Importar configuración existente para importar la configuración desde un firewall existente.

    Puede personalizar la configuración más adelante.

  3. Introduzca el nombre del grupo.

  4. Asigne firewalls al grupo.

    No es necesario asignar firewalls al crear un grupo. Puede crear un grupo vacío, editar su política y, a continuación, asignarle firewalls. La política de grupo se aplica a los firewalls siempre que los asigne al grupo. A partir de ese momento, la configuración del firewall está sincronizada con la política de grupo.

  5. Haga clic en Guardar.

Editar política de grupo

Puede editar la política que se aplicará a todos los firewalls de un grupo.

Para acceder a los firewalls a través de Sophos Central, debe ser administrador o superadministrador en Sophos Central.

Para editar la política, haga lo siguiente:

  1. Haga clic en el botón de puntos suspensivos (…) situado a la derecha del grupo para el que desea editar la política.
  2. Seleccione Administrar política.

    Esto le llevará a la consola de administración web del firewall, a Reglas y políticas.

  3. Ahora puede editar sus políticas.

    Si una política hace referencia a zonas o interfaces de firewall, es posible que necesite crear zonas o interfaces dinámicas.

  4. Para volver a Sophos Central, haga clic en Panel de control o Volver al resumen (en el menú de la izquierda).

En Sophos Central, vaya a Mis productos > Firewall Management > Cola de tareas. Puede ver si la política se ha aplicado a los firewalls.

Aviso

Cuando añada reglas NAT o de firewall, las opciones de configuración Arriba y Abajo solo se aplican al orden de las reglas dentro de Sophos Central, no a las reglas que se hayan creado localmente en el firewall. Todas las reglas impuestas desde Sophos Central se insertan en la parte superior de la lista de reglas de firewall. Para evitar un comportamiento inesperado del firewall, cuando un firewall se administra desde Sophos Central, recomendamos que todas las reglas se creen y se impongan desde Sophos Central.

Crear subgrupo

Puede crear un subgrupo dentro de un grupo. Esto permite editar la política de grupo de forma diferente en función de cada subgrupo.

Por ejemplo, si tiene un grupo llamado “Acme Corporation” que contiene subgrupos llamados “Boston”, “Londres” y “Hyderabad”, la política creada para Acme Corporation se aplica automáticamente a todos los firewalls de todos los subgrupos. Sin embargo, si edita la política para Boston, los cambios se aplicarán solo a los firewalls del subgrupo Boston, no a los firewalls de los subgrupos Londres y Hyderabad.

Para crear un subgrupo, haga lo siguiente:

  1. Seleccione el botón de puntos suspensivos (…) situado a la derecha del grupo en el que desee crear un subgrupo.
  2. Seleccione Añadir un subgrupo.
  3. Escriba un nombre para el subgrupo.
  4. Asigne firewalls al subgrupo.

    No es necesario asignar firewalls al crear un subgrupo. Puede crear un subgrupo vacío, editar su política y, a continuación, asignarle firewalls. La política de grupo se aplica a los firewalls siempre que los asigne al grupo. A partir de ese momento, la configuración del firewall está sincronizada con la política de subgrupo.

  5. Haga clic en Guardar.

Herencia de objetos y opciones de configuración por parte de las políticas de subgrupo

"Objetos" son las páginas del editor de políticas de grupo que suelen tener los botones Añadir y Eliminar. Algunos ejemplos son las reglas de firewall, las reglas NAT, los hosts FQDN y los hosts IP.

Una política de subgrupo no puede cambiar los objetos creados para un grupo principal. Por ejemplo, crea un objeto Host FQDN personalizado para la política Acme Corporation. Las políticas de Boston, Londres y Hyderabad heredan una copia de solo lectura del objeto, que aparece atenuada en esas políticas. Sin embargo, una política de subgrupo puede utilizar el objeto principal como plantilla para crear sus propias reglas. Una política de subgrupo también puede crear sus propios objetos. Estos objetos solo son visibles para esa política de subgrupo y las políticas de sus subgrupos.

Si intenta eliminar un objeto de una política de grupo principal, se elimina automáticamente de las políticas de subgrupo si ninguna de ellas lo utiliza. Sin embargo, en caso de que sí se utilice, se impide la eliminación y se le notificará el subgrupo y la regla donde se utiliza el objeto.

"Opciones de configuración" son aquellas páginas del editor de políticas de grupo que normalmente tienen un botón Aplicar. No puede eliminar ninguna opción, solo configurarla y activarla o desactivarla. Algunos ejemplos de configuración son las opciones de Amenaza avanzada.

Las opciones de configuración solo se pueden definir en la política de grupo principal superior. No se pueden configurar las opciones en ninguna de las políticas de subgrupo. Cuando se aplica una opción de configuración a la política de grupo principal superior, se aplica automáticamente a todas las políticas de subgrupo.

Adjuntar una etiqueta

Puede añadir una etiqueta a su dispositivo Sophos Firewall. Esto ayuda a identificar su firewall cuando enviamos notificaciones por correo electrónico para varias alertas, como cuando la puerta de enlace está activa o inactiva.

Para añadir una etiqueta a su firewall, haga lo siguiente:

  1. Haga clic en los tres puntos situados junto al firewall y, a continuación, haga clic en Adjuntar una etiqueta.

    Adjuntar una etiqueta al firewall.

  2. Aparece una ventana emergente. Escriba un nombre para la etiqueta del firewall en el cuadro de diálogo y, a continuación, haga clic en Añadir.

    Nombrar la etiqueta del firewall.

    La etiqueta del firewall debe ser diferente del nombre y del número de serie del mismo.

    La etiqueta del firewall aparece junto al firewall.

    Mostrar etiqueta del firewall.

  3. Para editar o eliminar la etiqueta del firewall, haga clic en los tres puntos situados junto al firewall y en Editar/eliminar etiqueta.

    Editar o eliminar la etiqueta del firewall.

Actualizar el firmware de los firewalls

Nota

Solo puede programar actualizaciones para una fecha y hora futuras si su Sophos Firewall tiene la versión 18.0 MR3 o posterior.

Puede actualizar el firmware de Sophos Firewall. Si hay una actualización disponible, verá un botón de descarga botón Descargar Botón Descargar. junto a todos los firewalls que optan a ella.

Para actualizar un firewall, haga lo siguiente:

  1. Haga clic en el botón de descarga.
  2. Haga clic en Programar actualizaciones.

    Programar la actualización de un firewall.

  3. Si hay más de una versión de firmware disponible, seleccione la versión que desee.

  4. Elija la fecha y la hora de la actualización.

    También puede actualizar el firmware inmediatamente.

  5. Haga clic en Programar actualizaciones.

    Botón Programar actualización.

    Los firewalls se actualizan en función de la zona horaria del firewall. La actualización se inicia a la hora programada en el firewall. Verás un icono de rueda que gira junto al firewall cuando la actualización esté en curso.

    Icono de rueda que gira.

    Una vez finalizada la actualización, desaparece el icono de rueda de engranaje que gira.

Es posible actualizar varios firewalls a la vez. Puede editar o cancelar las actualizaciones programadas.

Si hay algún problema al migrar la configuración del firewall durante el proceso de actualización, revertimos automáticamente su versión de firmware. Consulte Sophos Firewall: Reversión automática del firmware.