Zum Inhalt

Sophos UTM als Load Balancer einrichten

Dieser Abschnitt beschreibt, wie Sie Sophos UTM als Load Balancer in einem Cluster von Serverknoten für Sophos Mobile einrichten. Weitergehende Informationen zur Konfiguration von Sophos UTM finden Sie in der Dokumentation zu Sophos UTM.

Anforderungen

  • Um Sophos UTM als Load Balancer einsetzen zu können, benötigen Sie das Abonnement Sophos Webserver Protection zu Ihrer Lizenz von Sophos UTM.
  • Wie nachfolgend beschrieben, müssen Sie ein Zertifikat angeben, mit dem die Kommunikation zwischen den verwalteten Geräten und dem virtuellen Webserver, den Sie in Sophos UTM einrichten, geschützt wird.

    Wir empfehlen, der Einfachheit halber dasselbe Zertifikat wie für den Sophos-Mobile-Server zu verwenden (siehe Ein SSL/TLS-Zertifikat anfordern). Falls Sie für den Sophos Mobile Control Server ein selbstsigniertes Zertifikat verwenden, müssen Sie hier auf jeden Fall dasselbe Zertifikat verwenden.

Sophos UTM als Load Balancer einrichten

  1. Melden Sie sich an Sophos UTM WebAdmin an.
  2. Gehen Sie über den Eintrag Webserver Protection im WebAdmin-Menü zum Tab Web Application Firewall > Echte Webserver.
  3. Klicken Sie auf Neuer echter Webserver, um einen SMC-Knoten anzulegen.
  4. Geben Sie im Dialogfeld Echten Webserver hinzufügen folgende Einstellungen ein:

    • Name: Geben Sie einen aussagekräftigen Namen für den Webserver ein (zum Beispiel SMC node).
    • Host: Wählen Sie einen Host aus oder fügen Sie einen Host hinzu. Wählen Sie einen Host aus, indem Sie auf das Ordnersymbol neben dem Feld Host. Ziehen Sie einen Host von der Liste der verfügbaren Host-Rechner in das Feld Host.

      Für weitere Informationen, wie Sie eine Definition hinzufügen, siehe „Netzwerkdefinitionen“ im UTM Administrationshandbuch.

    • Typ: Wählen Sie Verschlüsselt (HTTPS) aus.

    Klicken Sie auf Speichern, um die Konfiguration zu speichern.

    Wiederholen Sie den vorhergehenden Schritt für jeden Serverknoten von Sophos Mobile.

  5. Gehen Sie über den Eintrag Webserver Protection im WebAdmin-Menü zum Tab Zertifikatverwaltung > Zertifikate.

  6. Klicken Sie auf Neues Zertifikat, um ein SSL/TLS-Webserver-Zertifikat hochzuladen.
  7. Geben Sie im Dialogfeld Zertifikat hinzufügen folgende Einstellungen ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Zertifikat ein.
    • Methode: Wählen Sie Hochladen aus.
    • Dateityp: Wählen Sie PKCS#12(Zert+CA) aus.
    • Kennwort: Geben Sie das Kennwort für die Zertifikatdatei ein.
    • Datei: Klicken Sie auf das Ordnersymbol neben dem Feld Datei, wählen Sie das Zertifikat aus, das Sie hochladen wollen und klicken Sie auf Hochladen starten.

    Klicken Sie auf Speichern, um die Konfiguration zu speichern. Das Zertifikat wird zu der Liste Zertifikate hinzugefügt.

  8. Gehen Sie über den Eintrag Webserver Protection im WebAdmin-Menü zum Tab Web Application Firewall > Virtuelle Webserver.

  9. Klicken Sie auf Neuer virtueller Webserver, um einen virtuellen Webserver für den Cluster hinzuzufügen.
  10. Geben Sie im Dialogfeld Virtuellen Webserver hinzufügen folgende Einstellungen ein:

    • Name: Geben Sie einen aussagekräftigen Namen für den virtuellen Webserver ein (zum Beispiel SMC cluster).
    • Wählen Sie aus der Liste Interface eine WAN-Schnittstelle aus, über die der Cluster von Außen erreichbar sein soll.
    • Typ: Wählen Sie Verschlüsselt (HTTPS) & umleiten aus.
    • Wählen Sie aus der Liste Certificate das Webserver-Zertifikat aus, das Sie zuvor hochgeladen haben.
    • Domains (nur mit Wildcard-Zertifikat, also einem Public-Key-Zertifikat, das für mehrere Unterdomänen verwendet werden kann): Geben Sie die Domänen ein, für die der Webserver verantwortlich ist, zum Beispiel shop.example.com, oder verwenden Sie das Symbol Aktion, um eine Liste von Domänennamen zu importieren.

      Domänen müssen mit dem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) eingegeben werden.

      Sie können anstelle des Domänen-Präfix den Platzhalter * verwenden, zum Beispiel *.mydomain.com. Platzhalter-Domänen werden als Rückfalleinstellungen verwendet: Der virtuelle Webserver mit einer Platzhalter-Domäne wird nur verwendet, wenn kein anderer virtueller Webserver mit einem spezifischeren Domänennamen konfiguriert ist.

      Beispiel

      Bei einer Client-Anfrage für a.b.c wird zuerst nach a.b.c gesucht, danach nach *.b.c, danach nach *.c.

    • Echte Webserver: Wählen Sie den SMC-Knoten aus, den Sie zuvor erstellt haben.

    Hinweis

    Wählen Sie kein Firewall-Profil aus.

    Klicken Sie auf Speichern, um die Konfiguration zu speichern. Der Server wird zu der Liste Virtuelle Webserver hinzugefügt.

  11. Aktivieren Sie den virtuellen Webserver.

    Der neue virtuelle Webserver ist standardmäßig deaktiviert. Klicken Sie auf den Umschalter, um den virtuellen Webserver zu aktivieren. Die Farbe des Umschalters sollte von Grau (deaktiviert) nach Grün (aktiviert) wechseln.

  12. Wechseln Sie zum Tab Site-Path-Routing.

  13. Gehen Sie in der Liste Virtuelle Webserver zu dem virtuellen Webserver, den Sie hinzugefügt haben und klicken Sie auf Bearbeiten.
  14. Klicken Sie im Dialog Site-Path-Route bearbeiten auf Erweitert und wählen Sie Permanenten Sitzungscookie aktivieren aus. Klicken Sie auf Speichern, um die Konfiguration zu speichern.