跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=firewall-groups

防火牆群組

您可以在Sophos Central中創建和管理防火牆組。

建立群組

您可以將防火牆添加到組中,並使用組策略同時對其進行配置。

您必須是 Sophos Central 中的管理員或超級管理員才能建立群組。

  1. 前往 我的產品 > Firewall Management > 防火牆
  2. 按一下 建立新群組

  3. 為您的群組選取初始組態選項。選取使用 Sophos 預設值建立新組態,或選取匯入現有組態從現有防火牆匯入組態。

    您可以稍後自訂組態。

  4. 輸入群組的名稱。

  5. 將防火牆指派給群組。

    建立群組時不必指派防火牆。您可以建立空白群組、編輯其策略,然後將防火牆指派給該群組。每當您將群組策略指派給群組時,群組策略就會套用至防火牆。此後,防火牆設定將與群組策略同步。

  6. 按一下儲存

建立或編輯策略

您可以編輯套用至群組中所有防火牆的策略。

您必須是 Sophos Central 中的管理員或超級管理員才能透過 Sophos Central 存取您的防火牆。

如需建立新原則,請執行以下操作:

  1. 按一下您要編輯其策略的群組右側的刪節號按鈕 (…)。

  2. 選取 管理策略

    這樣做會將您帶到防火牆網頁管理控制台,並前往規則和策略

  3. 您現在可以編輯策略。

    如果策略涉及防火牆區域或介面,則可能需要建立動態區域或介面。

    注意

    如果您從組移除防火牆,則創建的原則將保留在防火牆上。

  4. 要返回 Sophos Central,您可以按一下 儀表板返回概述(位於左側功能表)。

在 Sophos Central 中,移至 我的產品 > Firewall Management > 任務佇列。您可以查看策略是否已套用至防火牆。

警告

新增防火牆或 NAT 規則時,頂部底部設定僅適用於 Sophos Central 中的規則排序,而不適用於在防火牆上本地建立的規則。從 Sophos Central 推送的所有規則都會插入防火牆上規則清單的頂部。爲避免意外的防火牆行爲,當從 Sophos Central 管理防火牆時,建議從 Sophos Central 建立和推送所有規則。

建立子群組

您可以在群組中建立子群組。這使您可以對每個子群組進行不同的群組策略編輯。

例如,如果您有一個名爲 “Acme Corporation” 的群組,其中包含名爲 “Boston”、“London” 和 “Hyderabad” 的子群組,則爲 Acme Corporation 建立的策略將自動套用於所有子群組中的所有防火牆。但是,如果您編輯 Boston 的策略,您的變更將僅套用於 Boston 子群組中的防火牆,而不是 London 和 Hyderabad 子群組中的防火牆。

若要建立子群組,請執行以下操作:

  1. 按一下您要在其中建立子群組的群組右側的刪節號按鈕 (…)。
  2. 選取 新增子群組
  3. 輸入子群組的名稱。

  4. 將防火牆指派給子群組。

    建立子群組時不必指派防火牆。您可以建立空白子群組、編輯其策略,然後將防火牆指派給該子群組。每當您將群組策略指派給群組時,群組策略就會套用至防火牆。此後,防火牆設定將與子群組策略同步。

  5. 按一下儲存

依子群組策略繼承物件和設定

物件是群組策略編輯器中通常具有新增刪除按鈕的頁面。例如防火牆規則、 NAT 規則、 FQDN 主機和 IP 主機。

子群組原則不能變更為父群組建立的物件。例如,您爲 Acme Corporation 策略建立自訂 FQDN 主機物件。Boston、London 和 Hyderabad 原則繼承物件的唯讀副本,該副本在這些原則中顯示為灰色。但是,子群組策略可以使用其父物件作為範本,來建立自己的規則。子群組策略還可以自由建立自己的物件。此類物件只對該子群組策略及其子群組的策略可見。

如果嘗試從父群組策略中移除物件,則會自動將物件從子群組策略中移除(前提是任何子群組策略均未使用該物件)。但是,如果使用了該物件,則會阻止移除,並通知您使用該物件的子群組和規則。

設定是群組策略編輯器中通常具有套用按鈕的頁面。您無法删除某個設定;您只能配置該設定並打開或關閉它。設定範例為進階威脅設定。

只能在最頂部的父群組策略中配置設定。您無法在任何子群組策略中配置設定。當設定套用於最頂部的父群組策略時,它將自動套用於所有子群組策略。

將防火牆分配給組並跳過完全同步

您可以將防火牆添加到組中,並跳過與Sophos Central的同步。您可以爲屬於高可用性(HA)對的獨立防火牆和防火牆執行此操作。

若要執行此操作,請依照以下步驟操作。

  1. 前往 我的產品 > Firewall Management > 防火牆
  2. 在列表中找到您的防火牆組,在最右側的列中單擊三個點,然後單擊 編輯組
  3. “可用防火牆”下,單擊要添加到組中的防火牆,然後單擊箭頭將其移動到 “指派的防火牆”。

  4. 選擇 跳過完全同步

    跳過完全同步。

    注意

    如果您跳過完全同步,這可能會導致Sophos Central和防火牆之間的配置不匹配。防火牆不會與組中的其他防火牆同步,這意味着Sophos Central不會將現有配置推送到防火牆。

  5. 按一下儲存

  6. 在防火牆列表中,單擊組名稱旁邊的箭頭以查看防火牆。您的防火牆顯示爲 已連接

您可以立即爲防火牆組配置和應用設定。新設定將應用於組中的所有防火牆。

要強制完全同步,請執行以下操作:

  1. 前往 我的產品 > Firewall Management > 防火牆

  2. 在防火牆列表中,單擊組名稱旁邊的箭頭以查看防火牆。

    "同步和管理"下,您將看到防火牆狀態。

  3. 單擊防火牆的狀態。在這種情況下,它將被 連接

  4. 單擊 強制同步

    強制同步。

    注意

    **** HA對中的被動防火牆不會顯示強制同步鏈接。要更新HA對,您必須在活動防火牆上強制完全同步。

您的防火牆將與Sophos Central同步,這意味着它將繼承所有組配置。