要允許的網域和連接埠
如果您有Sophos防火牆,則不需要按照此處的步驟操作。默認情況下,允許使用需要的所有域和端口Sophos Central。
如果使用非Sophos防火牆或代理,請確保它允許使用此處列出的域和端口。這使您可以保護裝置並從 Sophos Central 管理它們。
所有功能都使用同一 Proxy 路由流量。
您需要允許的某些網域由 Sophos Central Admin 擁有。其他則不是,但對於基本操作(例如檢查安裝是否正常工作或識別憑證)而言是必需的。
此頁面告訴您以下產品需要哪些網域和連接埠:
- Intercept X、XDR 或 MDR。請將此部分用於威脅防護產品。
- Sophos AD Sync。如果您使用 Sophos AD Sync 使 Sophos Central 使用者清單保持最新,也請使用此部分。
如果您正在設定 Sophos Email Security,請參閱 電子郵件網域資訊。
建議
-
不要使用防火牆區域規則。這些規則可能會覆寫您的允許清單並阻止 Sophos 產品正常運作。例如,非美國地區的封鎖可能會停止有時透過歐洲地區執行的服務。這可能是因為我們的產品託管在使用非靜態 IP 位址的 Amazon Web Service (AWS) 上。請參閱 AWS IP 位址範圍和 Amazon IP 位址。
-
檢查您是否可以在防火牆或 Proxy 規則中使用萬用字元。如果無法使用,則有一些功能無法使用。
Intercept X、XDR 或 MDR
如果您有以下任何授權,請按照以下說明操作:
- Intercept X Advanced
- Intercept X Advanced for Server
- Intercept X Advanced with XDR
- Intercept X Advanced for Server with XDR
- Managed Detection and Response Essentials
- Managed Detection and Response Complete
- Managed Detection and Response Essentials Server
- Managed Detection and Response Complete Server
連接埠
允許此連接埠:
443 (HTTPS)
網域
允許以下網域。確保完成所有部分。
Sophos Central Admin 網域
-
允許以下 Sophos 網域:
central.sophos.com
cloud-assets.sophos.com
sophos.com
downloads.sophos.com
如果您的 Proxy 或防火牆支援萬用字元,則可以使用萬用字元
*.sophos.com
來涵蓋這些地址。 -
允許以下非 Sophos 地址:
az416426.vo.msecnd.net
dc.services.visualstudio.com
Sophos 域
您需要允許的網域取決於防火牆或 Proxy 是否支援萬用字元。
按一下相應的索引標籤以瞭解詳細資料。
允許以下萬用字元覆蓋 Sophos 網域:
*.sophos.com
*.sophosxl.com
*.sophosxl.net
*.sophosupd.com
*.sophosupd.net
*.darkbytes.com
*.darkbytes.io
*.hitmanpro.com
如果您的防火牆未允許存取以下憑證授權網站,您可能需要手動允許存取它們:
*.globalsign.com
*.globalsign.net
*.digicert.com
==="使用Regex通配符"
允許以下萬用字元覆蓋 Sophos 網域:
- `^sophos\.com/`
- `^[A-Za-z0-9.-]*\.sophos\.com.?/`
- `^[A-Za-z0-9.-]*\.sophosxl\.com.?/`
- `^[A-Za-z0-9.-]*\.sophosxl\.net.?/`
- `^[A-Za-z0-9.-]*\.sophosupd\.com.?/`
- `^[A-Za-z0-9.-]*\.sophosupd\.net.?/`
- `^[A-Za-z0-9.-]*\.darkbytes\.com.?/`
- `^[A-Za-z0-9.-]*\.darkbytes\.io.?/`
- `^[A-Za-z0-9.-]*\.hitmanpro\.com.?/`
如果您的防火牆未允許存取以下憑證授權網站,您可能需要手動允許存取它們:
- `^[A-Za-z0-9.-]*\.globalsign\.com.?/`
- `^[A-Za-z0-9.-]*\.globalsign\.net.?/`
- `^[A-Za-z0-9.-]*\.digicert\.com.?/`
如果您的 Proxy 或防火牆不支援萬用字元,則必須手動新增所需的確切網域。
允許以下 Sophos 網域:
central.sophos.com
cloud-assets.sophos.com
sophos.com
downloads.sophos.com
您還需要確定 Sophos Management Communication System 和裝置安裝程式用於與 Sophos Central Admin 安全通訊的伺服器位址。按一下與裝置作業系統對應的索引標籤,然後按照步驟識別並允許這些位址。
在 Windows 裝置上,執行下列動作:
- 開啟
SophosCloudInstaller.log
。您可以在C:\ProgramData\Sophos\CloudInstaller\Logs
中找到它。 -
尋找從
Opening connection to
開始的行。至少將有兩個項目。第一個將類似於以下內容之一:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
第二個將類似於以下內容之一:
dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
api-cloudstation-us-east-2.prod.hydra.sophos.com
api.stn100yul.ctr.sophos.com
將這兩個網域新增到規則中。
-
新增以下地址:
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-auto-upload.sophosupd.com
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
alert.hitmanpro.com
ssp.sophos.com
sdu-auto-upload.sophosupd.com
rca-upload-cloudstation-us-west-2.prod.hydra.sophos.com
rca-upload-cloudstation-us-east-2.prod.hydra.sophos.com
rca-upload-cloudstation-eu-west-1.prod.hydra.sophos.com
rca-upload-cloudstation-eu-central-1.prod.hydra.sophos.com
rca-upload.stn100bom.ctr.sophos.com
rca-upload.stn100yul.ctr.sophos.com
rca-upload.stn100hnd.ctr.sophos.com
rca-upload.stn100gru.ctr.sophos.com
rca-upload.stn100syd.ctr.sophos.com
-
新增 Sophos Management Communication System 所需的網域:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
mcs.stn100syd.ctr.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs.stn100hnd.ctr.sophos.com
mcs2.stn100syd.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
mcs2.stn100hnd.ctr.sophos.com
mcs.stn100gru.ctr.sophos.com
mcs2.stn100gru.ctr.sophos.com
mcs.stn100bom.ctr.sophos.com
mcs2.stn100bom.ctr.sophos.com
mcs-push-server-eu-west-1.prod.hydra.sophos.com
mcs-push-server-eu-central-1.prod.hydra.sophos.com
mcs-push-server-us-west-2.prod.hydra.sophos.com
mcs-push-server-us-east-2.prod.hydra.sophos.com
mcs-push-server.stn100yul.ctr.sophos.com
mcs-push-server.stn100syd.ctr.sophos.com
mcs-push-server.stn100hnd.ctr.sophos.com
mcs-push-server.stn100gru.ctr.sophos.com
mcs-push-server.stn100bom.ctr.sophos.com
-
新增 SophosLabs Intelix 服務所需的網域:
us.analysis.sophos.com
apac.analysis.sophos.com
au.analysis.sophos.com
eu.analysis.sophos.com
analysis.sophos.com
-
如果您的授權包含 XDR 或 MDR,請新增以下網域:
live-terminal-eu-west-1.prod.hydra.sophos.com
live-terminal-eu-central-1.prod.hydra.sophos.com
live-terminal-us-west-2.prod.hydra.sophos.com
live-terminal-us-east-2.prod.hydra.sophos.com
live-terminal.stn100yul.ctr.sophos.com
live-terminal.stn100syd.ctr.sophos.com
live-terminal.stn100hnd.ctr.sophos.com
live-terminal.stn100gru.ctr.sophos.com
live-terminal.stn100bom.ctr.sophos.com
-
如果您的防火牆未允許存取以下憑證授權網站,您可能需要手動允許存取它們:
ocsp.globalsign.com
ocsp2.globalsign.com
crl.globalsign.com
crl.globalsign.net
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
在 macOS 裝置上,請執行以下操作:
- 下載並解壓縮 SophosInstall.zip。請參閱 在 macOS 上安裝前的準備作業。
- 開啟
SophosCloudConfig.plist
。您可在SophosInstall/Sophos Installer Components
找到它: - 尋找
RegistrationServerURL
金鑰。其後的字串包含一個 URL。將這兩個網域新增到規則中。 -
新增以下地址:
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-auto-upload.sophosupd.com
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
amazonaws.com
ssp.sophos.com
sdu-auto-upload.sophosupd.com
rca-upload-cloudstation-us-west-2.prod.hydra.sophos.com
rca-upload-cloudstation-us-east-2.prod.hydra.sophos.com
rca-upload-cloudstation-eu-west-1.prod.hydra.sophos.com
rca-upload-cloudstation-eu-central-1.prod.hydra.sophos.com
rca-upload.stn100bom.ctr.sophos.com
rca-upload.stn100yul.ctr.sophos.com
rca-upload.stn100hnd.ctr.sophos.com
rca-upload.stn100gru.ctr.sophos.com
rca-upload.stn100syd.ctr.sophos.com
-
新增 Sophos Management Communication System 所需的網域:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
mcs.stn100syd.ctr.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs.stn100hnd.ctr.sophos.com
mcs2.stn100syd.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
mcs2.stn100hnd.ctr.sophos.com
mcs.stn100gru.ctr.sophos.com
mcs2.stn100gru.ctr.sophos.com
mcs.stn100bom.ctr.sophos.com
mcs2.stn100bom.ctr.sophos.com
-
新增 SophosLabs Intelix 服務所需的網域:
us.analysis.sophos.com
apac.analysis.sophos.com
au.analysis.sophos.com
eu.analysis.sophos.com
-
如果您的防火牆未允許存取以下憑證授權網站,您可能需要手動允許存取它們:
ocsp.globalsign.com
ocsp2.globalsign.com
crl.globalsign.com
crl.globalsign.net
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
在 Linux 裝置上,執行下列動作:
- 在裝置上尋找
SophosSetup.sh
。 -
執行以下命令以啟動安裝程式並列印輸出。
sudo bash -x ./SophosSetup.sh
-
尋找以下行:
- 行起始
+ CLOUD_URL=https://
- 行起始
+ MCS_URL=https://
將兩行中的網域新增到規則中。
- 行起始
-
新增以下地址:
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
amazonaws.com
-
新增 Sophos Management Communication System 所需的網域:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
mcs.stn100syd.ctr.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs.stn100hnd.ctr.sophos.com
mcs2.stn100syd.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
mcs2.stn100hnd.ctr.sophos.com
mcs.stn100gru.ctr.sophos.com
mcs2.stn100gru.ctr.sophos.com
mcs.stn100bom.ctr.sophos.com
mcs2.stn100bom.ctr.sophos.com
mcs-push-server-eu-west-1.prod.hydra.sophos.com
mcs-push-server-eu-central-1.prod.hydra.sophos.com
mcs-push-server-us-west-2.prod.hydra.sophos.com
mcs-push-server-us-east-2.prod.hydra.sophos.com
mcs-push-server.stn100yul.ctr.sophos.com
mcs-push-server.stn100syd.ctr.sophos.com
mcs-push-server.stn100hnd.ctr.sophos.com
mcs-push-server.stn100gru.ctr.sophos.com
mcs-push-server.stn100bom.ctr.sophos.com
-
新增 SophosLabs Intelix 服務所需的網域:
us.analysis.sophos.com
apac.analysis.sophos.com
au.analysis.sophos.com
eu.analysis.sophos.com
-
如果您的授權包含 XDR 或 MDR,請新增以下網域:
live-terminal-eu-west-1.prod.hydra.sophos.com
live-terminal-eu-central-1.prod.hydra.sophos.com
live-terminal-us-west-2.prod.hydra.sophos.com
live-terminal-us-east-2.prod.hydra.sophos.com
live-terminal.stn100yul.ctr.sophos.com
live-terminal.stn100syd.ctr.sophos.com
live-terminal.stn100hnd.ctr.sophos.com
live-terminal.stn100gru.ctr.sophos.com
live-terminal.stn100bom.ctr.sophos.com
-
如果您的防火牆未允許存取以下憑證授權網站,您可能需要手動允許存取它們:
ocsp.globalsign.com
ocsp2.globalsign.com
crl.globalsign.com
crl.globalsign.net
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
注意
某些防火牆或 Proxy 顯示使用 *.amazonaws.com
地址的反向查詢。這是意料之中的,因為我們使用 Amazon AWS 來託管數台伺服器。您必須將這些 URL 新增到防火牆或 Proxy。
用於 TLS 檢查的網域
如果您使用 TLS 檢查,或有使用應用程式篩選的防火牆,您必須新增以下網域。
prod.endpointintel.darkbytes.io
kinesis.us-west-2.amazonaws.com
若要確認是否需要新增這些網域排除項目,或測試排除項目是否有效,請檢查裝置的 DNS 和連線狀態。
選取您作業系統的索引標籤。
在 Windows 上,執行下列動作:
-
若要檢查您的 DNS,請開啟 PowerShell 並輸入下列命令:
Resolve-DnsName -Name prod.endpointintel.darkbytes.io
Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com
您應該會看到來自每個網域的 DNS 回應訊息。
-
若要檢查連線情況,請輸入以下命令:
Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io
您應該會看到下列回應:
{message: "running..."}
。
==="Linux和macOS"
在 Linux和macOS 裝置上,執行下列動作:
1. 若要檢查 DNS,請輸入以下命令:
`host prod.endpointintel.darkbytes.io`
`host kinesis.us-west-2.amazonaws.com`
您應該會看到來自每個網域的 DNS 回應訊息。
2. 若要檢查連線情況,請輸入以下命令:
`curl -v https://prod.endpointintel.darkbytes.io/`
您應該會看到下列回應:`{message: "running..."}`。
Sophos AD Sync
如果使用 Sophos AD Sync 使 Sophos Central 使用者清單與 Active Directory 保持同步,則還必須允許此部分中的網域。
限制
如果防火牆不允許使用萬用字元,則不能使用 Sophos AD Sync 公用程式。
-
如果您使用的是 Active Directory 服務,請允許以下已預先簽署的 s3 網域:
tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
tf-presigned-url-ap-south-1-prod-*-bucket.s3.ap-south-1.amazonaws.com
tf-presigned-url-sa-east-1-prod-*-bucket.s3.sa-east-1.amazonaws.com
-
允許以下萬用字元:
*.s3.eu-west-1.amazonaws.com
*.s3.eu-central-1.amazonaws.com
*.s3.us-east-2.amazonaws.com
*.s3.us-west-2.amazonaws.com
*.s3.ca-central-1.amazonaws.com
*.s3.ap-southeast-2.amazonaws.com
*.s3.ap-northeast-1.amazonaws.com
*.s3.ap-south-1.amazonaws.com
*.s3.sa-east-1.amazonaws.com
使用萬用 FQDN 時,請確保 DNS 請求會通過您的防火牆。如需更多資訊,請參閱 萬用 FQDN 行為。
Sophos Assistant
Sophos Assistant 是 Sophos Central 及其他 Sophos 產品中的一項功能,可協助您快速完成任務並尋找資訊。
Sophos Assistant 託管於 Whatfix。為使此功能正常運作,您必須允許 Whatfix 網域。
如果您的資料中心位於歐盟 (EU) 外,請允許以下 URL:
https://cdn.whatfix.com/prod/*
https://whatfix.com/service/*
如果您的資料中心位於歐盟 (EU) 內,請允許以下 URL:
https://eucdn.whatfix.com/prod/*
https://eu.whatfix.com/service/*