跳至內容
部分或全部頁面已經過機器翻譯。

防火牆

您可以檢視並設定可連線到 Sophos Central 的任何 Sophos Firewall。

簡介

將防火牆新增至 Sophos Central 時,您可以在 Sophos Central 中監控防火牆,並從防火牆網頁管理控制台進行管理。請參閱從 Sophos Central 進行 Sophos Firewall 管理

您可以單獨管理防火墻或將防火墻作為群組管理。單獨管理的防火牆被放在一個名爲取消分組的群組中。前往 我的產品 > Firewall Management > 防火牆

您可以在 Sophos Central 中新增任意數量的防火牆 。Sophos Central 以雲端為基礎、並可根據您的需求進行縮放。例如,如果您的防火牆生成大量日誌,則如果您擁有足夠的授權容量,則可以儲存和報告此資料。Sophos Central 以先進先出的原則儲存防火牆記錄資料。這意味着當您的數據存儲空間已滿時,我們會移除您的舊數據。請參閱報告中心

如需獲取有關防火墻的說明,請參閱:

防火牆資訊

爲每個防火牆顯示的資訊包括。

名稱

顯示未分組和分組的防火牆清單。若要查看防火牆,請按一下清單名稱旁的箭號。

按一下防火牆以開啟防火牆的網頁管理主控台。即可設定防火牆。

要打開防火牆的Web管理控制檯,您必須是Sophos Central中的管理員或超級管理員。這將爲您提供與防火牆的本機「管理員」帳戶相同的權限。它還允許您變更透過零觸摸部署防火牆時所需的「管理員」帳戶密碼。

注意

未分組的防火牆位於名為 未分組 的清單中。

防火牆管理 - 防火牆頁面。

按一下防火牆名稱旁邊的高可用性 (HA) 圖示 HA 圖示。,查看有關 HA 叢集的以下詳細資料:

  • HA 叢集中的防火牆角色。可以是「主要」或「輔助」。
  • 防火牆節點編號。範例:"Node1"。
  • 防火牆節點資訊。範例:"初始主裝置。為客戶保留授權。"
  • 最新狀態變更。這是防火牆節點上次變更角色的時間。範例:"2023 年 4 月 14 日星期五上午 11:42"。

    注意

    時間與瀏覽器上的本機時間相對應。可能與防火牆上的時間略有不同。

  • 防火牆節點名稱:您為防火牆節點指定的名稱。

  • 高可用性模式:防火牆所屬的 HA 叢集的類型。範例:"主動-被動模式的高可用性"。

以下是防火牆 HA 詳細資料的範例。

防火牆 HA 詳細資料。

注意

建立新防火牆群組時,您也可以按一下防火牆名稱旁邊的 HA 圖示,在可用防火牆指派的防火牆下查看 HA 詳細資料。

警示

過去 24 小時內警示。

圖示 說明
CPU 使用率警示。 CPU 使用率警示:單擊圖標可查看過去兩小時的CPU使用情況圖表。
報告警示。 管理和報告警示:有關詳細資訊,請按一下圖示。

同步及管理

狀態 說明
已經同步 防火牆處於聯機狀態並傳送常規活動訊號。防火牆的設定與群組策略匹配。
已連線

如果防火牆未分組,則此狀態表示防火牆處於線上狀態並傳送常規活動訊號。

如果防火牆在群組中,且此狀態保持不變超過一分鐘,防火牆即處於線上狀態並傳送常規活動訊號,但它並未開始與群組策略同步。這可能是因爲尚未建立同步工作,或者已建立工作,但防火牆沒有將它們調出。在這種情況下,查看工作佇列以確定哪些事務處於擱置狀態。

錯誤需要注意 防火牆的設定與群組策略不符合。管理員需要查看工作佇列,以確定哪些策略無法套用。
同步中 防火牆剛剛新增到群組中。Sophos Central 正在將群組策略套用到防火牆。
x 小時前最後一次看見(Sophos Firewall 18.0 或更新版本)或 已中斷連線 防火牆已脫機。
核准擱置 防火墻已由本機管理員從防火墻的網頁管理主控台註冊到 Sophos Central。它正在等待 Sophos Central 管理員核准。批准後,防火牆就可以用於群組和單個裝置管理。
管理已停用 防火牆已註冊到 Sophos Central。但是,尚未從防火牆的網頁管理控制台開啟 Sophos Central 管理。

如果按一下某個狀態,將顯示更多資訊:

附加資訊 說明
自 x 小時以來丟失 防火牆每分鐘傳送一次活動訊號訊息。如果錯過了五條檢測信號消息,Sophos Central將認爲防火牆處於脫機狀態。
無法在 x 天前套用策略 無法將策略套用到防火牆。工作佇列可能有更多有關失敗原因的詳細資訊。
防火牆已暫停。 防火牆已脫機或超過 30 天未與群組策略同步。也就是說,Sophos Central 無法發現其目前狀態。如欲瞭解更多詳情,請參閱 停用的防火牆
中心報告已停用 您可以從防火牆的網頁管理控制台開啟防火牆報告。

Synchronized Security

圖示 說明
應用程式圖示。 防火牆發現的應用程式數。
灰色圖形圖示。 報告已關閉。
藍色圖形圖示。 報告已開啟。

版本

防火牆的韌體版本。

版本旁有一個圖示,顯示防火牆的升級狀態。按一下圖示以取得更多資訊。

圖示如下:

圖示 說明
藍色箭號圖示。 韌體升級可用。
綠色勾號圖示。 韌體升級成功。
紅色警告圖示。 韌體升級失敗。
灰色時鐘圖示。 韌體升級已排定。
藍色旋轉圓圈圖示。 韌體正在升級。

範例:如果您按一下藍色箭號圖示,您會看到類似以下的內容:

防火牆韌體狀態。

新增防火牆

要新增防火墻,請執行以下操作:

  1. 按一下新增防火牆並選取選項來新增新防火牆。
  2. 註冊您的序號。

    會引導您進行註冊與部署程序。

新增現有防火牆

若要新增已部署的防火牆,請執行下列動作:

  1. 登入防火牆。
  2. 中心同步頁面上,開啟從 Sophos Central 管理
  3. 在 Sophos Central 中的 防火牆 頁面上,展開 取消分組 群組,找到防火墻,然後按一下 接受服務

建立群組

如果防火墻使用 18.0 或更新版本的韌體,您可以將其新增到群組中並使用群組策略同時設定它們。

您必須是 Sophos Central 中的管理員或超級管理員才能建立群組。

  1. 按一下 建立新群組
  2. 為您的群組選取初始組態選項。選取使用 Sophos 預設值建立新組態,或選取匯入現有組態從現有防火牆匯入組態。

    您可以稍後自訂組態。

  3. 輸入群組的名稱。

  4. 將防火牆指派給群組。

    建立群組時不必指派防火牆。您可以建立空白群組、編輯其策略,然後將防火牆指派給該群組。每當您將群組策略指派給群組時,群組策略就會套用至防火牆。此後,防火牆設定將與群組策略同步。

  5. 按一下儲存

編輯群組策略

您可以編輯套用至群組中所有防火牆的策略。

您必須是 Sophos Central 中的管理員或超級管理員才能透過 Sophos Central 存取您的防火牆。

要編輯原則,請執行以下動作:

  1. 按一下您要編輯其策略的群組右側的刪節號按鈕 (…)。
  2. 選取 管理策略

    這樣做會將您帶到防火牆網頁管理控制台,並前往規則和策略

  3. 您現在可以編輯策略。

    如果策略涉及防火牆區域或介面,則可能需要建立動態區域或介面。

  4. 要返回 Sophos Central,您可以按一下 儀表板返回概述(位於左側功能表)。

在 Sophos Central 中,移至 我的產品 > Firewall Management > 任務佇列。您可以查看策略是否已套用至防火牆。

則警告

新增防火牆或 NAT 規則時,頂部底部設定僅適用於 Sophos Central 中的規則排序,而不適用於在防火牆上本地建立的規則。從 Sophos Central 推送的所有規則都會插入防火牆上規則清單的頂部。爲避免意外的防火牆行爲,當從 Sophos Central 管理防火牆時,建議從 Sophos Central 建立和推送所有規則。

建立子群組

您可以在群組中建立子群組。這使您可以對每個子群組進行不同的群組策略編輯。

例如,如果您有一個名爲 “Acme Corporation” 的群組,其中包含名爲 “Boston”、“London” 和 “Hyderabad” 的子群組,則爲 Acme Corporation 建立的策略將自動套用於所有子群組中的所有防火牆。但是,如果您編輯 Boston 的策略,您的變更將僅套用於 Boston 子群組中的防火牆,而不是 London 和 Hyderabad 子群組中的防火牆。

若要建立子群組,請執行以下操作:

  1. 按一下您要在其中建立子群組的群組右側的刪節號按鈕 (…)。
  2. 選取 新增子群組
  3. 輸入子群組的名稱。
  4. 將防火牆指派給子群組。

    建立子群組時不必指派防火牆。您可以建立空白子群組、編輯其策略,然後將防火牆指派給該子群組。每當您將群組策略指派給群組時,群組策略就會套用至防火牆。此後,防火牆設定將與子群組策略同步。

  5. 按一下儲存

依子群組策略繼承物件和設定

物件是群組策略編輯器中通常具有新增刪除按鈕的頁面。例如防火牆規則、 NAT 規則、 FQDN 主機和 IP 主機。

子群組原則不能變更為父群組建立的物件。例如,您爲 Acme Corporation 策略建立自訂 FQDN 主機物件。Boston、London 和 Hyderabad 原則繼承物件的唯讀副本,該副本在這些原則中顯示為灰色。但是,子群組策略可以使用其父物件作為範本,來建立自己的規則。子群組策略還可以自由建立自己的物件。此類物件只對該子群組策略及其子群組的策略可見。

如果嘗試從父群組策略中移除物件,則會自動將物件從子群組策略中移除(前提是任何子群組策略均未使用該物件)。但是,如果使用了該物件,則會阻止移除,並通知您使用該物件的子群組和規則。

設定是群組策略編輯器中通常具有套用按鈕的頁面。您無法刪除設定,只能設定並開啟或關閉它。設定範例為進階威脅設定。

只能在最頂部的父群組策略中配置設定。您無法在任何子群組策略中配置設定。當設定套用於最頂部的父群組策略時,它將自動套用於所有子群組策略。

附加標籤

您可以將標籤新增到 Sophos Firewall。當我們傳送電子郵件通知進行各種警示時(例如閘道開啟或關閉時),這有助於辨識您的防火牆。

要新增標籤至防火墻,請執行以下操作:

  1. 按一下防火牆旁邊的三個點,然後按一下附加標籤

    附加防火牆標籤。

  2. 隨即顯示快顯視窗。在對話方塊中輸入防火牆標籤的名稱,然後按一下新增

    命名防火牆標籤。

    防火牆標籤必須與防火牆名稱和序號不同。

    防火牆標籤出現在防火牆旁邊。

    顯示防火牆標籤。

  3. 要編輯或刪除防火牆標籤,請按一下防火牆旁邊的三個點,然後按一下編輯/刪除標籤

    編輯或刪除防火牆標籤。

升級防火牆的韌體

注意

只有 Sophos Firewall 為 18.0 MR3 版本或更新版本時,才能計劃在未來日期和時間進行升級。

您可以升級 Sophos Firewall 的韌體。如果有升級可用,則會在符合條件的所有防火牆旁邊看到下載按鈕 下載按鈕。

要升級防火墻,請執行以下操作:

  1. 按一下下載按鈕。
  2. 按一下 排程更新

    排程防火牆升級。

  3. 如果有多個韌體版本可用,請選取所需的版本。

  4. 選擇升級的日期和時間。

    您也可以立即升級韌體。

  5. 按一下 排程更新

    排程更新按鈕。

    防火牆會根據防火牆的時區進行更新。升級將從防火牆上的排程時間開始。升級過程中,防火牆旁邊會出現旋轉圖標。

    旋轉圖示。

    升級完成後,旋轉圖示消失。

您可以同時升級多個防火墻。您可以編輯或取消排定的升級。

如果在更新過程中移轉防火牆設定時出現問題,我們會自動回退您的韌體版本。請參見 Sophos Firewall:自動韌體回退