Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=firewall-groups

Gruppi di firewall

È possibile creare e gestire gruppi di firewall in Sophos Central.

Creazione di un gruppo

È possibile aggiungere i propri firewall a un gruppo e configurarli tutti contemporaneamente utilizzando un criterio di gruppo.

Per creare un gruppo, è necessario essere Amministratore o Super Amministratore in Sophos Central.

  1. Selezionare Prodotti > Firewall Management > Firewall.
  2. Cliccare su Crea nuovo gruppo.

  3. Selezionare una configurazione iniziale per il gruppo. Selezionare Utilizza impostazioni predefinite di Sophos per creare una nuova configurazione, oppure Importa configurazione esistente per importare la configurazione da un firewall esistente.

    La configurazione può essere personalizzata in un secondo momento.

  4. Immettere il nome che si desidera attribuire al gruppo.

  5. Assegnare i firewall al gruppo.

    Non occorre necessariamente assegnare firewall quando si crea un gruppo. È possibile creare un gruppo vuoto, modificarne i criteri e assegnarvi i firewall. Il criterio di gruppo viene applicato ai firewall ogni volta che vengono assegnati al gruppo. Da quel momento in poi, la configurazione del firewall verrà sincronizzata con il criterio di gruppo.

  6. Cliccare su Salva.

Creazione e modifica dei criteri di gruppo

È possibile creare e modificare i criteri da applicare a tutti i firewall di un gruppo.

Per accedere ai firewall da Sophos Central, occorre avere un ruolo di Amministratore o Super Amministratore in Sophos Central.

Per creare e modificare criteri, procedere come segue:

  1. Cliccare sul pulsante con i puntini di sospensione (…) a destra del gruppo per il quale si desidera creare o modificare il criterio.

  2. Selezionare Gestisci criterio.

    Questa operazione apre la console WebAdmin del gruppo di firewall su Regole e criteri.

  3. È ora possibile creare e modificare i propri criteri.

    Se il criterio si riferisce ad aree o interfacce del firewall, potrebbe essere necessario creare aree o interfacce dinamiche.

    Nota

    Se si rimuove il firewall dal gruppo, i criteri creati rimarranno nel firewall.

  4. Per tornare a Sophos Central, cliccare su Dashboard o su Torna alla Panoramica (nel menu a sinistra).

In Sophos Central, selezionare Prodotti > Firewall Management > Coda delle attività. È possibile verificare se il criterio è stato applicato ai firewall.

Avviso

Quando si aggiungono regole firewall o NAT, le impostazioni In cima e In fondo sono applicabili solo all'ordinamento delle regole in Sophos Central, e non alle regole che potrebbero essere state create localmente nel firewall. Tutte le regole inviate tramite push da Sophos Central vengono inserite in cima all'elenco delle regole nel firewall. Per evitare comportamenti imprevisti del firewall, quando un firewall viene gestito da Sophos Central, si consiglia di creare e inviare tutte le regole tramite push da Sophos Central.

Creazione di un sottogruppo

È possibile creare un sottogruppo all'interno di un gruppo. Ciò consente di modificare i criteri di gruppo in modo diverso per ciascun sottogruppo.

Ad esempio, se è presente un gruppo denominato "Acme Corporation" che contiene sottogruppi denominati "Boston", "Londra" e "Hyderabad", il criterio creato per Acme Corporation viene applicato automaticamente a tutti i firewall in tutti i sottogruppi. Tuttavia, se si modifica il criterio per Boston, le modifiche vengono applicate solo ai firewall del sottogruppo Boston, non ai firewall dei sottogruppi Londra e Hyderabad.

Per creare un sottogruppo, procedere come segue:

  1. Cliccare sul pulsante con i puntini di sospensione (…) a destra del gruppo nel quale si desidera creare un sottogruppo.
  2. Selezionare Aggiungi un sottogruppo.
  3. Immettere un nome per il sottogruppo.

  4. Assegnare firewall al sottogruppo.

    Non occorre necessariamente assegnare firewall quando si crea un sottogruppo. È possibile creare un sottogruppo vuoto, modificarne il criterio e assegnarvi firewall. Il criterio di gruppo viene applicato ai firewall ogni volta che vengono assegnati al gruppo. Da quel momento in poi, la configurazione del firewall verrà sincronizzata con il criterio del sottogruppo.

  5. Cliccare su Salva.

Ereditarietà di oggetti e impostazioni in base ai criteri dei sottogruppi

Gli Oggetti sono pagine nell'editor dei criteri di gruppo che in genere hanno pulsanti Aggiungi ed Elimina. Alcuni esempi sono le regole firewall, le regole NAT, gli host FQDN e gli host IP.

Il criterio di un sottogruppo non può modificare gli oggetti creati per un gruppo principale. Ad esempio, è possibile creare un oggetto host FQDN personalizzato per il criterio Acme Corporation. I criteri di Boston, Londra e Hyderabad ereditano una copia di sola lettura dell’oggetto, che appare con un colore attenuato in quei criteri. Tuttavia, il criterio di un sottogruppo può utilizzare un oggetto del gruppo principale per creare le proprie regole. Un criterio di un sottogruppo è anche libero di creare i propri oggetti. Tali oggetti saranno visibili solo ai criteri di quel sottogruppo e ai criteri dei relativi sottogruppi.

Se si cerca di rimuovere un oggetto dal criterio di un gruppo principale, questo verrà automaticamente rimosso dai criteri dei sottogruppi se non viene utilizzato da nessuno di essi. Tuttavia, se viene utilizzato, ne sarà impedita la rimozione e si verrà informati del sottogruppo e della regola in cui viene utilizzato l'oggetto.

Le Impostazioni sono pagine nell'editor dei criteri di gruppo che in genere hanno un pulsante Applica. Un’impostazione non può essere eliminata; può solo essere configurata e attivata o disattivata. Alcuni esempi di impostazioni sono le impostazioni di Protezione avanzata contro le minacce.

Le impostazioni possono essere configurate solo nel criterio del gruppo principale di livello più elevato. Non è possibile configurare le impostazioni in nessuno dei criteri del sottogruppo. Quando un'impostazione viene applicata al criterio del gruppo principale di livello più elevato, sarà applicata automaticamente a tutti i criteri dei sottogruppi.

Assegnazione di un firewall a un gruppo, saltando la sincronizzazione completa

È possibile aggiungere firewall a un gruppo e saltare la sincronizzazione con Sophos Central. Questa operazione può essere eseguita per i firewall autonomi e per i firewall appartenenti a una coppia di disponibilità elevata (HA).

Per farlo, procedere come segue:

  1. Selezionare Prodotti > Firewall Management > Firewall.
  2. Individuare il gruppo di firewall nell’elenco, nella prima colonna a destra, cliccare sui tre puntini e successivamente su Modifica gruppo.
  3. Sotto Firewall disponibili, cliccare sul firewall che si desidera aggiungere al gruppo e successivamente sulla freccia, per spostarlo in Firewall assegnati.

  4. Selezionare Salta sincronizzazione completa.

    Salta sincronizzazione completa.

    Nota

    Se si salta la sincronizzazione completa, si potrebbe verificare un problema di corrispondenza della configurazione tra Sophos Central e il firewall. Il firewall non si sincronizzerà con gli altri firewall del gruppo, il che significa che Sophos Central non invierà le configurazioni esistenti al firewall.

  5. Cliccare su Salva.

  6. Nell’elenco di firewall, cliccare sulla freccia accanto al nome del gruppo per visualizzare il firewall. Il firewall verrà visualizzato come Connesso.

Le impostazioni per il gruppo di firewall possono essere configurate e applicate immediatamente. Le nuove impostazioni verranno applicate a tutti i firewall del gruppo.

Per forzare una sincronizzazione completa, procedere come segue:

  1. Selezionare Prodotti > Firewall Management > Firewall.

  2. Nell’elenco di firewall, cliccare sulla freccia accanto al nome del gruppo per visualizzare il firewall.

    In Sincronizzazione e gestione, verrà visualizzato lo stato del proprio firewall.

  3. Cliccare sullo stato del firewall. In questo caso, sarà Connesso.

  4. Cliccare su Forza sincronizzazione.

    Forza sincronizzazione.

    Nota

    Il link Forza sincronizzazione non verrà visualizzato per i firewall passivi in una coppia di disponibilità elevata. Per aggiornare una coppia di disponibilità elevata, sarà necessario forzare una sincronizzazione completa sul firewall attivo.

Il firewall si sincronizzerà con Sophos Central, il che significa che erediterà tutte le configurazioni del gruppo.