跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=firewall-groups

防火牆群組

您可以在Sophos Central中建立和管理防火牆群組。

建立群組

您可以將防火牆新增至群組中,並使用群組原則同時配置它們。

您必須是 Sophos Central 中的管理員或超級管理員才能建立群組。

  1. 前往 我的產品 > Firewall Management > 防火牆
  2. 按一下 建立新群組

  3. 為您的群組選取初始組態選項。選取使用 Sophos 預設值建立新組態,或選取匯入現有組態從現有防火牆匯入組態。

    您可以稍後自訂組態。

    注意

    將現有防火牆配置匯入Sophos Central時,如果防火牆規則引用了不支援的使用者類型,則群組建立可能會失敗。

    不支援的用戶類型如下:

    • AD 使用者
    • Sophos Live 用戶
    • L2TP 使用者
    • PPTP 使用者

    有關防火牆使用者類型的更多信息,請參閱Sophos Firewall:使用者

  4. 輸入群組的名稱。

  5. 將防火牆指派給群組。

    建立群組時不必指派防火牆。您可以建立空白群組、編輯其策略,然後將防火牆指派給該群組。每當您將群組策略指派給群組時,群組策略就會套用至防火牆。此後,防火牆設定將與群組策略同步。

  6. 按一下 儲存

建立和編輯群組原則

您可以建立和編輯適用於群組中所有防火牆的政策。

您必須是 Sophos Central 中的管理員或超級管理員才能透過 Sophos Central 存取您的防火牆。

建立和編輯策略,請按以下步驟操作:

  1. 按一下要為其建立或編輯原則的群組右側的省略號按鈕(…)。

  2. 選取 管理策略

    這將帶您進入防火牆群組的 Web 管理控制台,然後選擇「規則和原則」

  3. 您現在可以建立和編輯您的保單。

    如果策略涉及防火牆區域或介面,則可能需要建立動態區域或介面。

    注意

    如果將防火牆從群組中移除,您建立的政策仍保留在防火牆上。

  4. 要返回 Sophos Central,您可以按一下 儀表板返回概述(位於左側功能表)。

在 Sophos Central 中,移至 我的產品 > Firewall Management > 任務佇列。您可以查看策略是否已套用至防火牆。

警告

新增防火牆或 NAT 規則時,頂部底部設定僅適用於 Sophos Central 中的規則排序,而不適用於在防火牆上本地建立的規則。從 Sophos Central 推送的所有規則都會插入防火牆上規則清單的頂部。爲避免意外的防火牆行爲,當從 Sophos Central 管理防火牆時,建議從 Sophos Central 建立和推送所有規則。

建立子群組

您可以在群組中建立子群組。這使您可以對每個子群組進行不同的群組策略編輯。

例如,如果您有一個名爲 “Acme Corporation” 的群組,其中包含名爲 “Boston”、“London” 和 “Hyderabad” 的子群組,則爲 Acme Corporation 建立的策略將自動套用於所有子群組中的所有防火牆。但是,如果您編輯 Boston 的策略,您的變更將僅套用於 Boston 子群組中的防火牆,而不是 London 和 Hyderabad 子群組中的防火牆。

若要建立子群組,請執行以下操作:

  1. 按一下您要在其中建立子群組的群組右側的刪節號按鈕 (…)。
  2. 選取 新增子群組
  3. 輸入子群組的名稱。

  4. 將防火牆指派給子群組。

    建立子群組時不必指派防火牆。您可以建立空白子群組、編輯其策略,然後將防火牆指派給該子群組。每當您將群組策略指派給群組時,群組策略就會套用至防火牆。此後,防火牆設定將與子群組策略同步。

  5. 按一下 儲存

依子群組策略繼承物件和設定

物件是群組策略編輯器中通常具有新增刪除按鈕的頁面。例如防火牆規則、 NAT 規則、 FQDN 主機和 IP 主機。

子群組原則不能變更為父群組建立的物件。例如,您爲 Acme Corporation 策略建立自訂 FQDN 主機物件。Boston、London 和 Hyderabad 原則繼承物件的唯讀副本,該副本在這些原則中顯示為灰色。但是,子群組策略可以使用其父物件作為範本,來建立自己的規則。子群組策略還可以自由建立自己的物件。此類物件只對該子群組策略及其子群組的策略可見。

如果嘗試從父群組策略中移除物件,則會自動將物件從子群組策略中移除(前提是任何子群組策略均未使用該物件)。但是,如果使用了該物件,則會阻止移除,並通知您使用該物件的子群組和規則。

設定是群組策略編輯器中通常具有套用按鈕的頁面。您無法刪除設定;您只能配置設定並將其開啟或關閉。設定範例為進階威脅設定。

只能在最頂部的父群組策略中配置設定。您無法在任何子群組策略中配置設定。當設定套用於最頂部的父群組策略時,它將自動套用於所有子群組策略。

將防火牆分配給群組並跳過完全同步

您可以將防火牆新增至群組中,並跳過與Sophos Central 的同步。您可以對獨立防火牆和屬於高可用性 (HA) 對的防火牆執行此操作。

若要執行此動作,請依照以下步驟操作。

  1. 前往 我的產品 > Firewall Management > 防火牆
  2. 在清單中找到您的防火牆群組,在最右側的列中按一下三個點,然後按一下「編輯群組」
  3. 「可用防火牆」下,按一下要新增至群組的防火牆,然後按一下箭頭將其移至「已指派防火牆」

  4. 選擇“跳過完全同步”

    跳過完全同步。

    注意

    如果跳過完全同步,可能會導致Sophos Central和防火牆之間的配置不符。此防火牆將無法與群組中的其他防火牆同步,這表示Sophos Central不會將現有設定推送至該防火牆。

  5. 按一下 儲存

  6. 在防火牆清單中,按一下群組名稱旁的箭頭即可查看您的防火牆。您的防火牆顯示為已連線

您可以立即設定並套用防火牆組的設定。新設定將套用於該群組中的所有防火牆。

若要強制執行完全同步,請依照下列步驟操作:

  1. 前往 我的產品 > Firewall Management > 防火牆

  2. 在防火牆清單中,按一下群組名稱旁的箭頭即可查看您的防火牆。

    「同步與管理」下,您將看到防火牆狀態。

  3. 點選查看防火牆狀態。在這種情況下,它將處於連線狀態

  4. 點選強制同步

    強制同步。

    注意

    在 HA 對中,被動防火牆不會顯示「強制同步」連結。若要更新 HA 對,必須強制活動防火牆執行完全同步。

您的防火牆將與Sophos Central同步,這表示它將繼承所有群組配置。