要允許的網域和連接埠
您必須設定防火牆或 Proxy 以允許這些網域和連接埠。
此設定可讓您保護裝置,在 Sophos Central Admin 與託管裝置之間進行通訊。
注意
所有功能都使用同一 Proxy 路由流量。
您需要允許的某些網域由 Sophos Central Admin 擁有。其他則不是,但對於基本操作(例如檢查安裝是否正常工作或識別憑證)而言是必需的。
注意
Sophos 在 Amazon Web Service (AWS) 上進行全球方式託管。套用附加的區域防火牆規則以及以下必需域與連接埠可能會阻止 Sophos 產品的正常運行。
Sophos Central Admin 網域
您必須透過防火牆和 Proxy 允許這些網域和連接埠,保護才能正常運作。
如果您是管理客戶帳戶的合作夥伴,則必須爲每個客戶的防火牆或 Proxy 執行此操作。
-
central.sophos.com
-
cloud-assets.sophos.com
-
sophos.com
-
downloads.sophos.com
注意
如果您的 Proxy 或防火牆支援萬用字元,則可以使用萬用字元 *.sophos.com
來涵蓋這些地址。
然後輸入以下非 Sophos 地址。
-
az416426.vo.msecnd.net
-
dc.services.visualstudio.com
-
*.cloudfront.net
您還必須查看此頁中的其他部分,並允許爲所有授權提供相應的網域和連接埠。
如果您是管理客戶帳戶的合作夥伴,則必須爲每個客戶的防火牆或 Proxy 執行此操作,匹配每個客戶的授權。
Sophos 域
如果您的 Proxy 或防火牆支援萬用字元,請新增下列萬用字元來涵蓋這些 Sophos 網域。
-
*.sophos.com
-
*.sophosupd.com
-
*.sophosupd.net
-
*.sophosxl.net
如果您的 Proxy 或防火牆不支援萬用字元,您必須找出所需的確切 Sophos 域,然後手動輸入它們。
您需要確定 Sophos Management Communication System 和裝置安裝程式用於與 Sophos Central Admin 安全通訊的伺服器位址。
在 Windows 裝置上,執行下列動作:
-
開啟
SophosCloudInstaller.log
。您可以在C:\ProgramData\Sophos\CloudInstaller\Logs
中找到它。 -
查找以下行:
-
行起始
Model::server value changed to:
-
行起始
Opening connection to
它們應該有兩值,且應如下列其中一項所示:
-
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
-
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
-
mcs.stn100yul.ctr.sophos.com
-
mcs2.stn100yul.ctr.sophos.com
-
dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
-
api-cloudstation-us-east-2.prod.hydra.sophos.com
-
api.stn100yul.ctr.sophos.com
-
-
您必須將此位址和以下位址新增到防火牆或 Proxy 允許清單中。
-
dci.sophosupd.com
-
d1.sophosupd.com
-
d2.sophosupd.com
-
d3.sophosupd.com
-
dci.sophosupd.net
-
d1.sophosupd.net
-
d2.sophosupd.net
-
d3.sophosupd.net
-
t1.sophosupd.com
-
sus.sophosupd.com
-
sdds3.sophosupd.com
-
sdds3.sophosupd.net
-
sdu-feedback.sophos.com
-
sophosxl.net
-
4.sophosxl.net
-
samples.sophosxl.net
-
cloud.sophos.com
-
id.sophos.com
-
central.sophos.com
-
downloads.sophos.com
-
amazonaws.com
-
-
您還必須將這些位址新增到防火牆或 Proxy 允許清單:
-
*.ctr.sophos.com
-
*.hydra.sophos.com
-
-
如果您想要更具體地瞭解允許 Sophos Management Communication System 使用的網域,可以使用以下網域。
-
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
-
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
-
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
-
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
-
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
-
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
-
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
-
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
-
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
-
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
-
mcs.stn100syd.ctr.sophos.com
-
mcs.stn100yul.ctr.sophos.com
-
mcs.stn100hnd.ctr.sophos.com
-
mcs2.stn100syd.ctr.sophos.com
-
mcs2.stn100yul.ctr.sophos.com
-
mcs2.stn100hnd.ctr.sophos.com
-
mcs.stn100gru.ctr.sophos.com
-
mcs2.stn100gru.ctr.sophos.com
-
mcs.stn100bom.ctr.sophos.com
-
mcs2.stn100bom.ctr.sophos.com
-
-
如果防火牆不允許存取以下憑證授權單位網站,則您可能需要允許存取這些網站。
-
ocsp.globalsign.com
-
ocsp2.globalsign.com
-
crl.globalsign.com
-
crl.globalsign.net
-
ocsp.digicert.com
-
crl3.digicert.com
-
crl4.digicert.com
-
注意
某些防火牆或 Proxy 顯示使用 *.amazonaws.com
地址的反向查找。這是意料之中的,因為我們使用 Amazon AWS 來裝載數台伺服器。您必須將這些 URL 新增到防火牆或 Proxy。
連接埠
-
必須新增以下連接埠。
-
80 (HTTP)
-
443 (HTTPS)
-
Sophos AD Sync 公用程式
限制
如果防火牆不允許使用萬用字元,則不能使用 Sophos AD Sync 公用程式。
-
如果您使用的是 Active Directory 服務,則必須還要新增以下預先登記的 s3 網域:
-
tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
-
tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
-
tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
-
tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
-
tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
-
tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
-
tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
-
tf-presigned-url-ap-south-1-prod-*-bucket.s3.ap-south-1.amazonaws.com
-
tf-presigned-url-sa-east-1-prod-*-bucket.s3.sa-east-1.amazonaws.com
-
-
新增以下萬用字元:
-
*.s3.eu-west-1.amazonaws.com
-
*.s3.eu-central-1.amazonaws.com
-
*.s3.us-east-2.amazonaws.com
-
*.s3.us-west-2.amazonaws.com
-
*.s3.ca-central-1.amazonaws.com
-
*.s3.ap-southeast-2.amazonaws.com
-
*.s3.ap-northeast-1.amazonaws.com
-
*.s3.ap-south-1.amazonaws.com
-
*.s3.sa-east-1.amazonaws.com
-
Intercept X Advanced with XDR
限制
您只能使用萬用字元來允許 mcs-push-server
位址。如果您的防火墻不允許萬用字元,則 Live Response 和 Live Discover 將不會運作。
如果您有 Intercept X Advanced with XDR 授權或 Intercept X Advanced for Server with XDR 授權,請按如下操作:
-
請先新增 "Sophos 域"和"連接埠"中列出的域和連接埠,然後再新增下列域。
-
新增以下網域:
-
live-terminal-eu-west-1.prod.hydra.sophos.com
-
live-terminal-eu-central-1.prod.hydra.sophos.com
-
live-terminal-us-west-2.prod.hydra.sophos.com
-
live-terminal-us-east-2.prod.hydra.sophos.com
-
live-terminal.stn100yul.ctr.sophos.com
-
live-terminal.stn100syd.ctr.sophos.com
-
live-terminal.stn100hnd.ctr.sophos.com
-
live-terminal.stn100gru.ctr.sophos.com
-
live-terminal.stn100bom.ctr.sophos.com
-
*.mcs-push-server-eu-west-1.prod.hydra.sophos.com
-
*.mcs-push-server-eu-central-1.prod.hydra.sophos.com
-
*.mcs-push-server-us-west-2.prod.hydra.sophos.com
-
*.mcs-push-server-us-east-2.prod.hydra.sophos.com
-
*.mcs-push-server.stn100yul.ctr.sophos.com
-
*.mcs-push-server.stn100syd.ctr.sophos.com
-
*.mcs-push-server.stn100hnd.ctr.sophos.com
-
*.mcs-push-server.stn100gru.ctr.sophos.com
-
*.mcs-push-server.stn100bom.ctr.sophos.com
-
Intercept X Advanced with XDR and MTR Standard
如果您有下列其中一個授權 , 則需要新增這些網域 :
-
Intercept X Advanced with XDR and MTR Standard
-
Intercept X Advanced with XDR and MTR Advanced
-
Intercept X Advanced for Server with XDR and MTR Standard
-
Intercept X Advanced for Server with XDR and MTR Advanced
-
Managed Threat Detection 託管式威脅偵測
-
伺服器的託管威脅偵測
-
請先新增 "Sophos 域"、"連接埠"和 "Intercept X Advanced with XDR" 中列出的域和連接埠,然後再新增本節列出的域。
-
如果您有 MTR 授權,且正在使用 TLS 檢查,或有使用應用程式篩選的防火牆,則必須還要新增以下網域:
-
prod.endpointintel.darkbytes.io
-
kinesis.us-west-2.amazonaws.com
-
如欲確認您需要新增這些排除項目或測試排除項目是否有效,您必須檢查 DNS 和裝置的連線。
在 Windows 上,執行下列動作:
-
如欲檢查您的 DNS,請開啟 PowerShell 並輸入下列命令:
'Resolve-DnsName -Name prod.endpointintel.darkbytes.io' 'Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com'
您應該會看到來自每個網域的 DNS 回應訊息。
-
如欲檢查連線情況,請輸入以下命令:
Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io
您應該會看到下列回應:
{message: "running..."}
。
在 Linux 上,執行以下操作:
-
如欲檢查 DNS,請輸入以下命令:
'host prod.endpointintel.darkbytes.io' 'Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com'
您應該會看到來自每個網域的 DNS 回應訊息。
-
如欲檢查連線情況,請輸入以下命令:
`curl -v https://prod.endpointintel.darkbytes.io/`
您應該會看到下列回應:
{message: "running..."}
。