Implementieren der Firewall-Richtlinie
Implementieren Sie eine Richtlinie zur Überwachung des Datenverkehrs im gesamten Netzwerk. In der Firewall-Ereignisanzeige können Sie Reports zum Datenverkehr abrufen. Erstellen Sie anhand dieser Daten eine Basisrichtlinie.
Sie sollten Sophos Client Firewall in Einzelschritten im Netzwerk verteilen, also Sophos Client Firewall Gruppe für Gruppe einzeln implementieren. So verhindern Sie in der Einführungsphase übermäßigen Datenfluss im Netzwerk.
ACHTUNG Implementieren Sie die Firewall erst dann im gesamten Netzwerk, wenn die Konfiguration eingehend getestet wurde.
- Installieren Sie Sophos Client Firewall auf einer Gruppe von Testcomputern, in der die unterschiedlichen Rollen im Netzwerk vertreten sind.
-
Konfigurieren Sie eine Firewall-Richtlinie zur Verwendung des Modus Standardmäßig zulassen, um häufig auftretende Datenbewegungen, Anwendungen und Prozesse zu erkennen, jedoch nicht zu blockieren, und weisen Sie der Testgruppe die Richtlinie zu.
- In der Firewall-Ereignisanzeige werden Datenbewegungen, Anwendungen und Prozesse festgehalten. Ferner lassen sich anhand der Ereignisanzeige Regeln zum Zulassen/Sperren von erfassten Datenbewegungen, Anwendungen und Prozessen erstellen. Sie können die Ereignisanzeige per Klick auf aufrufen.
-
Es empfiehlt sich, die Firewall-Ereignisse über einen bestimmten Zeitraum hinweg (etwa einige Wochen lang) im Auge zu behalten und die Richtlinie daran anzupassen.
- Erstellen Sie Regeln in der Ereignisanzeige. Rechtsklicken Sie auf ein Ereignis und erstellen Sie so eine Regel dafür. Für nähere Informationen zum Erstellen von Datenbankbenutzern, siehe Sophos Enterprise Console Hilfe.
- Untersuchen Sie die Richtlinie auf Schwachstellen (z.B. auf die Verteilung von Zugriffsrechten).
- Bei unterschiedlichen Anforderungen unterteilen Sie die Gruppe und erstellen bei Bedarf weitere Richtlinien und Regeln.
- Überprüfen Sie die erstellten Regeln in der Ereignisanzeige. Unter Umständen werden mehrere Firewall-Ereignisse zu unterschiedlichen Maßnahmen einer Anwendung angezeigt. Eine Anwendungsregel muss jedoch alle Maßnahmen zu einer bestimmten Anwendung abdecken. Für ein E-Mail-Programm können etwa jeweils ein Ereignis beim Senden und beim Empfangen einer E-Mail angezeigt werden. Eine Anwendungregel muss beide Maßnahmen abdecken.
- Teilen Sie das übrige Unternehmensnetzwerk in handhabbare Gruppen auf, in denen die diversen Rollen im Unternehmen vertreten sind (beispielsweise Computer der Vertriebsabteilung, der IT-Administratoren usw.).
- Wenn Sie der Meinung sind, dass alle Bereiche abgedeckt wurden und nicht mehr viele neue Firewall-Ereignisse angezeigt werden, für die keine Regeln vorhanden sind, erstellen Sie Richtlinien anhand der Regeln und weisen Sie sie nach Bedarf zu. Bei einer großen Computeranzahl im Netzwerk empfiehlt sich, Sophos Client Firewall Gruppe für Gruppe einzeln zu installieren.
- Wenn Sie die Regeln getestet haben, stellen Sie den Richtlinienmodus auf Standardmäßig sperren um.
Weitere Informationen zum Einrichten der Firewall-Richtlinie finden Sie in der Hilfe zu Sophos Enterprise Console.
Anmerkung Als Alternative zur Überwachung des Datenverkehrs und der Erstellung von Regeln in der Firewall-Ereignisanzeige können Sie bei kleinen Netzwerken oder Einzelplatzrechnern mit Windows 7 oder älter Sophos Client Firewall auf einem Testcomputer installieren und im interaktiven Modus konfigurieren. Führen Sie so viele im Unternehmen genutzte Anwendungen (einschließlich Browsern) wie möglich aus. Importieren Sie dann die Firewall-Konfiguration und ändern Sie sie mit Regeln ab, die sich in diesem Prozess als nützlich erwiesen haben. Weitere Informationen finden Sie in der Sophos Endpoint Security and Control Hilfe.