Vai al contenuto

Firewall

È possibile visualizzare e configurare qualsiasi Sophos Firewall in grado di connettersi a Sophos Central.

Introduzione

Quando si aggiunge un firewall a Sophos Central, è possibile monitorarlo in Sophos Central e gestirlo dalla Web Admin dei firewall. Vedere Gestione di Sophos Firewall da Sophos Central.

È possibile gestire i firewall individualmente o come gruppo. I firewall gestiti individualmente vengono collocati in un gruppo denominato “Separato/i”. Per gestire i firewall, selezionare Prodotti > Firewall Management > Firewall.

È possibile aggiungere un numero illimitato di firewall in Sophos Central. Sophos Central è basata sul cloud e si adatta alle esigenze dei Clienti. Ad esempio, se i firewall producono un numero elevato di log, è possibile memorizzare e generare report su questi dati se la propria licenza include la capacità necessaria. Sophos Central archivia i dati dei log del firewall secondo il metodo First In, First Out. Ciò significa che i dati meno recenti verranno rimossi quando lo spazio di archiviazione dei dati è pieno. Vedere Hub dei report.

Per assistenza con i firewall, vedere:

Informazioni sul firewall

Le informazioni visualizzate per ciascun firewall includono quanto segue.

Nome

Mostra gli elenchi di firewall separati e inseriti in gruppi. Per visualizzare i firewall, cliccare sulla freccia accanto al nome nell’elenco.

Cliccare sul nome di un firewall per aprire la console Web Admin del firewall. In questo modo sarà possibile configurare il firewall.

Per aprire la console Web Admin del firewall, è necessario essere Amministratore o Super Amministratore in Sophos Central. In questo modo, si disporrà delle stesse autorizzazioni dell'account "Amministratore" locale del firewall. Inoltre, si sarà anche in grado di modificare la password degli account "Amministratore", un requisito necessario per la distribuzione Zero Touch dei firewall.

Nota

I firewall che non sono stati inseriti in un gruppo, si trovano nell’elenco Separato/i.

Pagina Firewall Management - Firewall.

Clicca sull’icona della disponibilità elevata (HA) Icona della disponibilità elevata. accanto al nome del firewall, per visualizzare i seguenti dettagli sul cluster di disponibilità elevata:

  • Ruolo del firewall nel cluster di disponibilità elevata. Può essere Primario o Ausiliario.
  • Numero del nodo firewall. Esempio: "Node1".
  • Informazioni sul nodo firewall. Esempio: "Primario iniziale. Ha licenza per il cliente."
  • Ultima modifica dello stato. L’ultima volta in cui il nodo firewall ha cambiato ruolo. Esempio: “Venerdì 14 aprile 2023, ore 11:42”.

    Nota

    L’ora corrisponde all’ora locale del browser. Potrebbe essere leggermente diversa dall’ora del firewall.

  • Nome del nodo firewall: il nome che è stato assegnato al nodo firewall.

  • Modalità della disponibilità elevata: il tipo di cluster di disponibilità elevata a cui appartengono i firewall. Esempio: “Disponibilità elevata in modalità Attivo-Passivo”.

Ecco un esempio dei dettagli sulla disponibilità elevata per un firewall.

Dettagli sulla disponibilità elevata per un firewall.

Nota

È anche possibile cliccare sull’icona della disponibilità elevata accanto al nome del firewall sotto Firewall disponibili e Firewall assegnati, per visualizzare i dettagli sulla disponibilità elevata quando si crea un nuovo gruppo di firewall.

Avvisi

Avvisi nelle ultime 24 ore.

Icona Descrizione
Avviso sull’utilizzo della CPU. Avviso sull’utilizzo della CPU: Cliccare sull’icona per visualizzare un grafico dell’utilizzo della CPU nelle ultime due ore.
Avviso sulla reportistica. Avviso sulla gestione e sulla reportistica: per maggiori informazioni, cliccare sull'icona.

Sincronizzazione e gestione

Stato Descrizione
Sincronizzato Il firewall è on-line e invia heartbeat regolarmente. La configurazione del firewall corrisponde al criterio di gruppo.
Connesso

Se il firewall non appartiene ad alcun gruppo, questo stato indica che il firewall è on-line e invia heartbeat regolari.

Se il firewall appartiene a un gruppo e questo stato rimane invariato per più di un minuto, il firewall è on-line e invia heartbeat regolari, ma non ha iniziato a sincronizzarsi con il criterio di gruppo. Ciò potrebbe essere dovuto al fatto che non sono state create attività di sincronizzazione, o che tali attività sono state create ma il firewall non le sta recuperando. In questo caso, controllare la coda delle attività per scoprire quali transazioni sono in sospeso.

Errore che richiede attenzione La configurazione del firewall non corrisponde al criterio di gruppo. L'amministratore deve esaminare la coda delle attività per scoprire qual è il criterio che non può essere applicato.
Sincronizzazione in corso Il firewall è stato appena aggiunto al gruppo. Sophos Central sta applicando il criterio di gruppo al firewall.
Ultima visualizzazione x ore fa (per Sophos Firewall 18.0 o versione successiva) o Disconnesso Il firewall è off-line.
Approvazione in sospeso Il firewall è stato registrato a Sophos Central da un amministratore locale, tramite la console Web Admin del firewall. È in attesa di approvazione da parte di un amministratore di Sophos Central. Una volta approvato, il firewall sarà pronto per la gestione di gruppi e singoli dispositivi.
Gestione disattivata Il firewall è registrato a Sophos Central. Tuttavia, la gestione con Sophos Central non è stata attivata dalla console Web Admin del firewall.

Cliccando su uno stato, vengono visualizzate ulteriori informazioni:

Informazioni aggiuntive Descrizione
Mancante da x ore Il firewall invia un messaggio heartbeat ogni minuto. Sophos Central considera il firewall come off-line se vengono saltati cinque messaggi Heartbeat.
Applicazione del criterio non riuscita x giorni fa Non è stato possibile applicare un criterio al firewall. La coda delle attività potrebbe indicare maggiori dettagli sul motivo dell'errore.
Firewall sospeso. Il firewall è off-line o non sincronizzato con il criterio di gruppo da più di 30 giorni. Ciò significa che Sophos Central non è in grado di verificarne lo stato attuale. Per ulteriori informazioni, vedere Firewall sospesi.
La reportistica di Central è disattivata È possibile attivare la reportistica del firewall dalla console Web Admin del firewall.

Synchronized Security

Icona Descrizione
Icona app. Il numero di app individuate dal firewall.
Icona grafico grigio. La reportistica è disattivata.
Icona grafico blu. La reportistica è attiva.

Versione

la versione del firmware del firewall.

Accanto alla versione, c’è un’icona che indica lo stato di upgrade del firewall. Cliccare sull’icona per maggiori informazioni.

Le icone sono le seguenti:

Icona Descrizione
Icona a forma di freccia blu. Upgrade del firmware disponibile.
Icona a forma di segno di spunta verde. Upgrade del firmware completato.
Icona di avviso rossa. Processo di upgrade del firmware non riuscito.
Icona orologio grigia. Upgrade del firmware pianificato.
Icona cerchio che gira blu. È in corso l’upgrade del firmware.

Esempio: Cliccando sull’icona a forma di freccia blu, comparirà una finestra simile a questa:

Stato del firmware del firewall.

Aggiunta di un nuovo firewall

Per aggiungere un nuovo firewall, procedere come segue:

  1. Cliccare su Aggiungi firewall e selezionare l'opzione di aggiunta di un nuovo firewall.
  2. Registrare il numero di serie.

    Verranno indicati tutti i passaggi da seguire per i processi di registrazione e installazione.

Aggiunta di un firewall esistente

Per aggiungere un firewall già installato, procedere come segue:

  1. Accedere al firewall.
  2. Alla pagina Sincronizzazione con Central, attivare Gestisci da Sophos Central.
  3. In Sophos Central, alla pagina Firewall, espandere il gruppo Separato/i, individuare il firewall e cliccare su Accetta servizi.

Creazione di un gruppo

Se i firewall eseguono il firmware versione 18.0 o successiva, è possibile aggiungerli a un gruppo e configurarli contemporaneamente utilizzando un criterio di gruppo.

Per creare un gruppo, è necessario essere Amministratore o Super Amministratore in Sophos Central.

  1. Cliccare su Crea nuovo gruppo.
  2. Selezionare una configurazione iniziale per il gruppo. Selezionare Utilizza impostazioni predefinite di Sophos per creare una nuova configurazione, oppure Importa configurazione esistente per importare la configurazione da un firewall esistente.

    La configurazione può essere personalizzata in un secondo momento.

  3. Immettere il nome che si desidera attribuire al gruppo.

  4. Assegnare i firewall al gruppo.

    Non occorre necessariamente assegnare firewall quando si crea un gruppo. È possibile creare un gruppo vuoto, modificarne i criteri e assegnarvi i firewall. Il criterio di gruppo viene applicato ai firewall ogni volta che vengono assegnati al gruppo. Da quel momento in poi, la configurazione del firewall verrà sincronizzata con il criterio di gruppo.

  5. Cliccare su Salva.

Modifica del criterio di gruppo

È possibile modificare il criterio da applicare a tutti i firewall di un gruppo.

Per accedere ai firewall da Sophos Central, occorre avere un ruolo di Amministratore o Super Amministratore in Sophos Central.

Per modificare il criterio, procedere come segue:

  1. Cliccare sul pulsante con i puntini di sospensione (…) a destra del gruppo per il quale si desidera modificare il criterio.
  2. Selezionare Gestisci criterio.

    Questa operazione apre la console Web Admin del firewall su Regole e criteri.

  3. È ora possibile modificare i criteri.

    Se il criterio si riferisce ad aree o interfacce del firewall, potrebbe essere necessario creare aree o interfacce dinamiche.

  4. Per tornare a Sophos Central, cliccare su Dashboard o su Torna alla Panoramica (nel menu a sinistra).

In Sophos Central, selezionare Prodotti > Firewall Management > Coda delle attività. È possibile verificare se il criterio è stato applicato ai firewall.

Avviso

Quando si aggiungono regole firewall o NAT, le impostazioni In cima e In fondo sono applicabili solo all'ordinamento delle regole in Sophos Central, e non alle regole che potrebbero essere state create localmente nel firewall. Tutte le regole inviate tramite push da Sophos Central vengono inserite in cima all'elenco delle regole nel firewall. Per evitare comportamenti imprevisti del firewall, quando un firewall viene gestito da Sophos Central, si consiglia di creare e inviare tutte le regole tramite push da Sophos Central.

Creazione di un sottogruppo

È possibile creare un sottogruppo all'interno di un gruppo. Ciò consente di modificare i criteri di gruppo in modo diverso per ciascun sottogruppo.

Ad esempio, se è presente un gruppo denominato "Acme Corporation" che contiene sottogruppi denominati "Boston", "Londra" e "Hyderabad", il criterio creato per Acme Corporation viene applicato automaticamente a tutti i firewall in tutti i sottogruppi. Tuttavia, se si modifica il criterio per Boston, le modifiche vengono applicate solo ai firewall del sottogruppo Boston, non ai firewall dei sottogruppi Londra e Hyderabad.

Per creare un sottogruppo, procedere come segue:

  1. Cliccare sul pulsante con i puntini di sospensione (…) a destra del gruppo nel quale si desidera creare un sottogruppo.
  2. Selezionare Aggiungi un sottogruppo.
  3. Immettere un nome per il sottogruppo.
  4. Assegnare firewall al sottogruppo.

    Non occorre necessariamente assegnare firewall quando si crea un sottogruppo. È possibile creare un sottogruppo vuoto, modificarne il criterio e assegnarvi firewall. Il criterio di gruppo viene applicato ai firewall ogni volta che vengono assegnati al gruppo. Da quel momento in poi, la configurazione del firewall verrà sincronizzata con il criterio del sottogruppo.

  5. Cliccare su Salva.

Ereditarietà di oggetti e impostazioni in base ai criteri dei sottogruppi

Gli Oggetti sono pagine nell'editor dei criteri di gruppo che in genere hanno pulsanti Aggiungi ed Elimina. Alcuni esempi sono le regole firewall, le regole NAT, gli host FQDN e gli host IP.

Il criterio di un sottogruppo non può modificare gli oggetti creati per un gruppo principale. Ad esempio, è possibile creare un oggetto host FQDN personalizzato per il criterio Acme Corporation. I criteri di Boston, Londra e Hyderabad ereditano una copia di sola lettura dell’oggetto, che appare con un colore attenuato in quei criteri. Tuttavia, il criterio di un sottogruppo può utilizzare un oggetto del gruppo principale per creare le proprie regole. Un criterio di un sottogruppo è anche libero di creare i propri oggetti. Tali oggetti saranno visibili solo ai criteri di quel sottogruppo e ai criteri dei relativi sottogruppi.

Se si cerca di rimuovere un oggetto dal criterio di un gruppo principale, questo verrà automaticamente rimosso dai criteri dei sottogruppi se non viene utilizzato da nessuno di essi. Tuttavia, se viene utilizzato, ne sarà impedita la rimozione e si verrà informati del sottogruppo e della regola in cui viene utilizzato l'oggetto.

Le Impostazioni sono pagine nell'editor dei criteri di gruppo che in genere hanno un pulsante Applica. Un’impostazione non può essere eliminata; può solo essere configurata e attivata o disattivata. Alcuni esempi di impostazioni sono le impostazioni di Protezione avanzata contro le minacce.

Le impostazioni possono essere configurate solo nel criterio del gruppo principale di livello più elevato. Non è possibile configurare le impostazioni in nessuno dei criteri del sottogruppo. Quando un'impostazione viene applicata al criterio del gruppo principale di livello più elevato, sarà applicata automaticamente a tutti i criteri dei sottogruppi.

Allega un'etichetta

È possibile aggiungere un’etichetta al proprio Sophos Firewall. Questo aiuta a identificare il firewall quando inviamo notifiche e-mail per avvisi di vario genere, ad esempio per gli avvisi che comunicano se il gateway è attivo oppure inattivo.

Per aggiungere un’etichetta al proprio firewall, procedere come segue:

  1. Cliccare sui tre puntini accanto al firewall, e successivamente su Allega un’etichetta.

    Opzione Allega un’etichetta per il firewall.

  2. Verrà visualizzata una finestra popup. Immettere un nome per l’etichetta del firewall nella finestra di dialogo, e successivamente cliccare su Aggiungi.

    Assegnazione di un nome all’etichetta del firewall.

    L’etichetta del firewall deve essere diversa dal nome e dal numero di serie del firewall.

    L’etichetta del firewall verrà visualizzata accanto al firewall.

    Visualizzazione dell’etichetta del firewall.

  3. Per modificare o eliminare l’etichetta del firewall, cliccare sui tre puntini accanto al firewall e successivamente su Modifica/Elimina etichetta.

    Modifica o eliminazione dell’etichetta del firewall.

Upgrade del firmware per i firewall

Nota

È possibile pianificare gli upgrade per una data e un'ora future solo se si utilizza la versione 18.0 MR3 o successiva di Sophos Firewall.

È possibile aggiornare il firmware di Sophos Firewall. Se è disponibile un upgrade, verrà visualizzato un pulsante di download Pulsante di download. accanto a tutti i firewall idonei per questa operazione.

Per eseguire l'upgrade di un firewall, procedere come segue:

  1. Cliccare sul pulsante di download.
  2. Cliccare su Pianifica upgrade.

    Pianificazione di un upgrade del firewall.

  3. Se è disponibile più di una versione del firmware, selezionare la versione desiderata.

  4. Scegliere la data e l'ora dell'upgrade.

    È anche possibile eseguire l'upgrade del firmware immediatamente.

  5. Cliccare su Pianifica upgrade.

    Pulsante Pianifica upgrade.

    I firewall vengono aggiornati in base al fuso orario del firewall. L'upgrade viene avviato all'ora pianificata sul firewall. Quando l’aggiornamento è in corso, accanto al firewall verrà visualizzata un’icona che ruota.

    Icona che ruota.

    Una volta completato l'upgrade, l'icona che ruota scomparirà.

È possibile eseguire l'upgrade di più firewall nello stesso momento. È possibile modificare o annullare gli upgrade pianificati.

Se si verifica un problema con la migrazione della configurazione del firewall durante il processo di aggiornamento, ripristineremo automaticamente la versione del firmware a quella precedente. Vedere Sophos Firewall: Ripristino automatico alla versione precedente del firmware.