Varianten
Dieser Abschnitt liefert Informationen zu verschiedenen Varianten, die für XG Firewall zur Verfügung stehen.
Administratorzugriff
Dieser Abschnitt enthält Informationen für den Zugriff auf XG Firewall.
Behalten Sie den Überblick über aktuell angemeldete lokale und entfernte Benutzer, aktuelle IPv4-, IPv6-, IPsec-, SSL- und
WLAN-Verbindungen.
Live-Benutzer
Live-Benutzer sind Benutzer, die momentan an XG Firewall angemeldet sind.
Live-Verbindungen
Auf der Seite Live-Verbindungen sehen Sie eine Liste aller momentan aktiven IPv4-Verbindungen.
Live-Verbindungen IPv6
Auf der Seite Live-Verbindungen IPv6 sehen Sie eine Liste aller momentan aktiven IPv6-Verbindungen.
IPsec-Verbindungen
Auf dieser Seite wird eine Liste aller verbundenen IPSec-Tunnel angezeigt. Filtern Sie die Liste nach Verbindungsname, Name
des lokalen Servers, lokales Subnetz, Benutzername, entfernter Server/Host oder entferntes Subnetz.
Remote-Benutzer
Auf der Seite Remote-Benutzer können Sie eine Liste der aktiven Remote-Benutzer einsehen.
Berichte bieten eine einheitliche Sicht auf Netzwerkaktivitäten zum Zweck der Analyse von Datenverkehr und Bedrohungen und
der Einhaltung von Vorschriften. Sie können zum Beispiel einen Bericht ansehen, der alle Web-Server-Protection-Maßnahmen der
Firewall enthält, wie z.B. blockierte Webserver-Anfragen und identifizierte Viren.
Dashboards
Informationen über Netzwerkverkehr, der die Firewall passiert, und über Sicherheitsbedrohungen ansehen.
Anwendungen & Web
Informationen über Anwendungs- und Internetnutzung in Ihrem Netzwerk ansehen.
Netzwerk & Bedrohungen
Informationen über Netzwerknutzung und damit verbundene Bedrohungen ansehen.
VPN
Informationen über Remote-Benutzer ansehen, die sich mit Ihrem Netzwerk über IPsec, VPN, SSL-VPN und clientlosen Zugriff verbinden.
E-Mail
Informationen über E-Mail-Verkehr in Ihrem Netzwerk ansehen.
Compliance
Informationen über Compliance mit geltenden Richtlinien ansehen.
Eigene
Berichte erstellen, die nur von Ihnen festgelegte Kriterien berücksichtigen.
Lesezeichen
Lesezeichen ermöglichen Ihnen, schnell auf häufig verwendete Berichte zuzugreifen. Zum Beispiel müssen Sie vielleicht auf
einen Bericht zugreifen, der Angriffe in einem bestimmten Zeitraum identifiziert, um eine bestimmte Bedrohung ausfindig zu
machen.
Berichtseinstellungen
Berichtseinstellungen lassen Sie Konfigurationsoptionen für Berichte festlegen. Sie können zum Beispiel festlegen, welche
Daten in Ihren eigenen Berichten angezeigt werden sollen, und Berichtzeitpläne für alle Berichtsgruppen verwalten. Andere
Optionen lassen Sie festlegen, wie lange Daten aufbewahrt werden sollen, und Daten bereinigen.
Dieses Menü ermöglicht es, den Systemzustand der Appliance in einer Momentaufnahme zu überprüfen. Die Information kann zur
Fehlersuche und Diagnose von Problemen verwendet werden, die in Ihrer Appliance gefunden wurden.
Tools
Auf der Seite Tools können Sie Statistiken für die Diagnose von Konnektivitäts- und Netzwerkproblemen abrufen und die Netzwerkkommunikation testen.
Diese Informationen helfen bei der Behebung von Problemen wie Systemabsturz, Paketverlust, Konnektivität, Diskrepanzen im
Netzwerk.
Systemdiagramme
Die Seite Systemdiagramme zeigt Grafiken zu mit dem System verbundenen Aktivitäten für unterschiedliche Zeiträume.
Support-Zugriff
Verwenden Sie die Seite Support-Zugriff, um einem Sophos Support Teammitglied zur Fehlerbehebung zeitweisen Zugriff auf Ihre
Firewall zu gestatten.
Firewallregeln sind Sets an Sicherheitsregeln, die das Verhalten von Benutzern, Anwendungen oder Netzwerkobjekten in einer
Organisation steuern. Mithilfe der Firewallregel können Sie pauschale oder spezifische Regeln zur Datenübertragung je nach
Ihren Anforderungen erstellen. Die Regeltabelle ermöglicht die zentralisierte Verwaltung von Firewallregeln.
Benutzer-/Netzwerkregel
Benutzer-/Netzwerkregeln werden verwendet, um die Zugriffsrechte auf Objekte und Hosts im Netzwerk festzulegen und diese zu
schützen. Kurz zusammengefasst empfiehlt sich die Verwendung einer Netzwerkregel, wenn Sie den Datenverkehr nach Quelle, Dienst,
Ziel und Zone steuern möchten. Zudem hat der Administrator die Möglichkeit, zu einer Regel eine Benutzeridentität hinzuzufügen,
um den Zugriff auf bestimmte Hosts und Server weiter anzupassen. Diese auf Identitäten basierenden Regeln werden Benutzerregeln
genannt.
Geschäftsanwendungsregel
Die Geschäftsanwendungsregel wird verwendet, um intern oder öffentlich gehostete Geschäftsanwendungen oder Server wie SalesForce,
Sharepoint, usw. zu schützen.
Mit Intrusion Prevention können Sie Netzwerkverkehr auf Anomalien untersuchen, um DoS- und andere Täuschungs-Angriffe zu verhindern.
Mithilfe von Richtlinien können Sie Regeln festlegen, die eine Maßnahme vorgeben, die ergriffen wird, wenn Datenverkehr mit
Signatur-Kriterien übereinstimmt. Sie können den Schutz auf der Basis von Zonen festlegen und Datenverkehr auf vertrauenswürdige
MAC-Adressen oder IP–MAC-Paare beschränken. Sie können auch Regeln erstellen, um die DoS-Untersuchung zu umgehen.
DoS-Angriffe
Der DoS-Angriff-Status ermöglicht Ihnen zu sehen, ob Verkehrsbeschränkungen angewendet wurden und die Menge an Daten, die
verworfen wurde, nachdem die Grenze überschritten wurde. Die Firewall wendet die Verkehrsbeschränkungen an, die in den DoS-Einstellungen
festgelegt sind, und protokolliert die zugehörigen Ereignisse. Daten stehen für Quelle und Ziel in Echtzeit zur Verfügung.
IPS-Richtlinien
Mit IPS-Richtlinien können Sie Netzwerkangriffe mithilfe von Regeln verhindern. Die Firewall setzt die Maßnahmen durch, die
in den Regeln und festgelegt sind, und protokolliert die zugehörigen Ereignisse. Die Auswahl an Standardrichtlinien verhindert
Netzwerkangriffe für einige der gängigsten Arten von Verkehr. Sie können eigene Richtlinien erstellen, die Ihren Anforderungen
an Verkehr entsprechen.
Eigene IPS-Signaturen
Mit eigenen Signaturen können Sie Ihr Netzwerk vor Schwachstellen in Zusammenhang mit Netzwerkobjekten, wie Server, Protokolle
und Anwendungen, schützen. Sie können eigene Signaturen erstellen und sie später zu IPS-Richtlinienregeln hinzufügen.
DoS-& Täuschungsschutz
Um Täuschungsangriffe zu verhindern, können Sie Verkehr auf jenen beschränken, der mit erkannten IP-Adressen, vertrauten MAC-Adressen
und IP–MAC-Paaren übereinstimmt. Sie können auch Verkehrsbeschränkungen und Flags festlegen, um DoS-Angriffe zu verhindern,
und Regeln erstellen, um DoS-Kontrollen zu umgehen. Die Firewall protokolliert verworfenen Verkehr.
Der Webschutz beschützt Ihre Organisation vor Angriffen, die durch das Surfen im Internet hervorgerufen werden, und hilft
Ihnen, die Produktivität zu erhöhen. Sie können Beschränkungen für das Surfen mithilfe von Kategorien, URL-Gruppen und Dateitypen
festlegen. Indem Sie diese Beschränkungen zu Richtlinien hinzufügen, können Sie Webseiten blockieren oder Benutzern einen
Warnhinweis anzeigen. Sie können zum Beispiel den Zugriff auf Seiten von sozialen Netzwerken und ausführbaren Dateien blockieren.
Allgemeine Einstellungen lassen Sie Scan-Engines und andere Arten des Schutzes festlegen. Ausnahmen lassen Sie den Schutz
entsprechend der Bedürfnisse Ihrer Organisation überschreiben.
Richtlinien
Mit Internetrichtlinien können Sie Regeln erstellen, um die Aktivitäten von Endbenutzern im Internet zu steuern. Richtlinien
treten in Kraft, wenn Sie sie zu Firewallregeln hinzufügen. Die Standardauswahl an Richtlinien umfasst einige der häufigen
Einschränkungen. Sie können einer der Standardrichtlinien an Ihre Erfordernisse anpassen oder neue Richtlinien erstellen.
Benutzeraktivitäten
Benutzeraktivitäten kombinieren Web-Kategorien, Dateitypen und URL-Gruppen in einem Container. Sie können Benutzeraktivitäten
in Richtlinien einbinden, um den Zugriff auf Websites oder Dateien zu steuern, für die irgendeines der festgelegten Kriterien
zutrifft.
Kategorien
Mit Webkategorien können Sie Domänen und Stichwörter in einem Container organisieren und klassifizieren. Sie können Kategorien
innerhalb von Richtlinien verwenden, um den Zugriff auf Websites zu steuern.
URL-Gruppen
URL-Gruppen enthalten eine oder mehrere Domänen, die Sie in den Internetrichtlinien verwenden können, um den Zugriff auf Websites
zu steuern.
Ausnahmen
Mit Ausnahmen können Sie Schutzeinstellungen für allen Internetverkehr umgehen, der mit den angegebenen Kriterien übereinstimmt,
egal ob irgendwelche Richtlinien in Kraft sind. Sie können beispielsweise eine Ausnahme erstellen, um HTTPS-Verkehr zu Seiten
mit vertraulichen Informationen nicht zu entschlüsseln. Die Standardauswahl an Ausnahmen erlaubt Software-Aktualisierungen
und andere wichtige Funktionen für bekannte Websites, ohne vom Webfilter betroffen zu sein.
Allgemeine Einstellungen
Die Firewall scannt HTTP(S) und FT-Verkehr nach Bedrohungen, so wie es in Ihren Firewallregeln festgelegt ist, und nach unangemessener
Internetnutzung, wenn eine Internetrichtlinie für eine Regel ausgewählt ist. Diese Einstellungen betreffen nur Verkehr, der
auf Firewallregeln zutrifft, bei denen diese Optionen eingestellt sind. Sie können die Art des Scans, die maximale zu scannende
Dateigröße und zusätzliche Prüfungen festlegen. Sie können auch Umgehungen von Regeln erstellen, um Endbenutzern Zugriff auf
Websites zu gewähren, die sonst blockiert wären.
Dateitypen
Ein Dateityp ist eine Klassifizierung, die von der Dateierweiterung oder dem MIME-Typ bestimmt wird. Sie können Dateitypen
in Internetrichtlinien einbinden, um den Zugriff auf Dateien zu kontrollieren. Die Standardtypen enthalten einige gebräuchliche
Kriterien und Sie können zusätzliche Typen erstellen.
Surfkontingente
Surfkontingente ermöglichen Ihnen, den Internetzugriff für Benutzer mithilfe von Zugriffseinstellungen zu steuern. Kontingente
legen den Zugriff auf zyklischer (wiederkehrender) oder nicht-zyklischer (einmaliger) Basis fest und den zulässigen Zeitraum.
Die Standardkontingente umfassen einige typischerweise verwendete Kontingente wie z.B. unbegrenzten Zugriff und Zugriff mit
Blockierungen.
Benutzerbenachrichtigungen
Die Firewall zeigt Benutzern eine Benachrichtigung an, wenn eine Internetrichtlinie so eingestellt ist, dass sie Websites
blockiert oder vor dem Verbinden warnt.
Inhaltsfilter
Ein Inhaltsfilter ist eine benannte Liste von Begriffen. Sie können Inhaltsfilter in Richtlinien verwenden, um den Zugriff
auf Websites zu beschränken, die einen der aufgelisteten Begriffe enthält. Der Standard-Filtersatz enthält Begriffe, die von
vielen Organisationen blockiert werden.
Webschutz verbessern
Sie wollen vielleicht ein Scanverhalten einsetzen, das stärker ist als der Standard. Dafür wählen Sie eine Scan-Engine aus,
legen die maximale Dateigröße fest und schalten weitere Funktionen ein.
Webschutz anpassen
Manchmal müssen Sie vielleicht Webschutzeinstellungen für bestimmte Kategorien von Datenverkehr oder bestimmte Domänen anpassen.
Sie wollen zum Beispiel vielleicht HTTPS-Verkehr für Websites mit Finanzdienstleistungen nicht entschlüsseln, weil diese sensible
finanzielle Informationen enthalten. Sie wollen vielleicht auch Schadprogramm-Scans und Sandstorm-Analyse für Seiten auslassen,
von denen Sie wissen, dass das Risiko gering ist. Solches Verhalten können Sie mithilfe von Ausnahmen festlegen.
Zugriff auf Websites kontrollieren
Viele Organisationen müssen den Zugriff auf bestimmte Kategorien kontrollieren und oft variiert der Zugriff entsprechend der
Benutzergruppe. Sie wollen zum Beispiel vielleicht einigen Benutzern Zugriff auf Websites geben, die von der Standardarbeitsplatzrichtlinie
blockiert werden.
Inhalt mithilfe einer Liste von Begriffen blockieren
Sie wollen vielleicht für alle Benutzer den Zugriff auf Websites blockieren, die Begriffe enthalten, welche Ihre Firma als
anstößig einstuft. Dafür erstellen Sie eine Liste von Begriffen und setzen sie in einer Richtlinie ein.
Application Protection trägt dazu bei, Ihre Organisation vor Angriffen und Schadprogrammen zu schützen, welche durch Exploits
im Anwendungsdatenverkehr hervorgerufen werden. Sie können auch die Bandbreite beschränken und Verkehr von Anwendungen einschränken,
welche die Produktivität senken. Anwendungsfilter erlauben Ihnen, Verkehr nach Kategorie oder auf individueller Basis zu steuern.
Mit Synchronized Application Control können Sie Verkehr auf Endpoints beschränken, die mit Sophos Central verwaltet werden.
Das Verwalten von Cloud-Anwendungsverkehr wird ebenfalls unterstützt.
Anwendungsfilter
Mit Anwendungsfilter-Richtlinien können Sie den Zugriff auf Anwendungen für Benutzer hinter der Firewall steuern. Richtlinien
legen die Zugriff auf Anwendungskategorien oder einzelne Kategorien mithilfe von Regeln fest. Die Standardauswahl an Richtlinien
umfasst einige häufigen eingesetzte Einschränkungen. Sie können auch eigene Richtlinien erstellen, entsprechend den Erfordernissen
Ihrer Organisation.
Synchronized Application Control
Synchronized Application Control Überwacht alle Anwendungen auf Endpoints, die über Security Heartbeat verbunden sind. Erkannte
Anwendungen werden hier angezeigt. Sie können neu erkannte Anwendungen sehen, bekannte Anwendungen verbergen, Anwendungen
in Kategorien einordnen und ihren Verkehr mithilfe von Anwendungsfiltern steuern. Synchronized Application Control unterstützt
bis zu 10.000 Anwendungen.
Cloud-Anwendungen
Durch die Analyse von Cloud-Anwendungsverkehr, können Sie Risiken umgehen, die durch die Verwendung von Cloud-Anwendungen
entstehen. Optionen erlauben Ihnen, Verkehr zu klassifizieren und Traffic-Shaping-Richtlinien einzusetzen.
Anwendungsliste
Die Anwendungsliste enthält viele häufig eingesetzte Anwendungen. Sie können Anwendungen nach ihrer Kategorie, Risiko, Technologie,
Eigenschaften und Klassifikation sortieren.
Traffic-Shaping-Standard
Sie können Bandbreitenbeschränkungen mithilfe von Traffic-Shaping-Richtlinien umsetzen. Sie können Standard-Traffic-Shaping-Richtlinien
auf Kategorien oder einzelne Anwendungen anwenden.
Hochrisikoanwendungen blockieren
Um Ihre Netzwerk vor Schadprogrammen zu schützen, müssen viele Organisationen den Zugriff auf Anwendungen kontrollieren, die
als risikoreich eingestuft sind. Sie können Richtlinien erstellen, um Datenverkehr zu allen Anwendungen zu beschränken, die
als risikoreich kategorisiert sind. Wenn die Anwendungssignaturen-Datenbank aktualisiert wird, werden neue Anwendungen automatisch
zu Anwendungsfiltern und Firewallregeln hinzugefügt. Wenn zum Beispiel eine neue Signatur für eine Hochrisikoanwendung hinzugefügt
wird und es gibt bereits einen Anwendungsfilter, der alle Hochrisikoanwendungen blockiert, dann wird die neue Anwendung blockiert.
Wireless Protection lässt Sie WLAN-Netzwerke festlegen und den Zugriff auf diese steuern. Die Firewall unterstützt die neueste
Sicherheit und Verschlüsselung, einschließlich Scans auf unautorisierte Access Points und WPA2. Wireless Protection erlaubt Ihnen, Access Points, WLAN-Netzwerke und -Clients zu konfigurieren und zu verwalten. Sie können
auch Mesh-Netzwerke und Hotspots hinzufügen und verwalten.
WLAN-Einstellungen
Verwenden Sie diese Einstellungen, um WLAN-Schutz zu aktivieren, die Benachrichtungszeitüberschreitung einzustellen und einen
RADIUS-Server für Enterprise-Authentifizierung zu konfigurieren.
WLAN-Client-Liste
Die WLAN-Client-Liste zeigt alle Clients an, die momentan mit einem WLAN-Netzwerk über einen Access Point verbunden sind.
Sie können Clients nach Access Point oder SSID aufgeschlüsselt sehen. Verbindungseigenschaften wie Signalstärke und Frequenz
werden ebenfalls angezeigt.
WLAN-Netzwerke
Ein WLAN-Netzwerk bietet typische Verbindungseinstellungen für WLAN-Clients. Diese Einstellungen umfassen SSID, Sicherheitsmodus
und die Methode zum Umgang mit Client-Verkehr.
Access Points
Ein Wireless Access Point (WAP) ist ein Hardwaregerät, das WLAN-Clients erlaubt, sich mit Ihrem Kabelnetzwerk zu verbinden.
Die Firewall erhält die Konfigurations- und Statusinformationen von den Access Points über eine AES-verschlüsselte Kommunikation.
Verwenden Sie diese Einstellungen, um Sophos Access Points zu erlauben, sich mit Ihrem Netzwerk zu verbinden, und um die Access
Points in Ihrem Netzwerk zu verwalten.
Suche nach unautorisierten APs
Ein unautorisierter (rogue) Access Point bezeichnet einen Access Point, der ohne Autorisierung mit Ihrem Netzwerk verbunden
ist. Angreifer können unautorisierte Access Points verwenden, um Verkehr mitzulesen und für andere Zwecke, z.B. Man-in-the-Middle-Angriffe.
Sie können diese Bedrohungen umgehen, indem Sie die Access Points in Ihrem Netzwerk scannen und unautorisierte Access Points
als solche markieren.
Access-Point-Gruppen
Mit Access-Point-Gruppen können Sie einer Gruppe von Access Points WLAN-Netzwerke zuweisen und VLAN-Tagging festlegen. Gruppen
bieten eine bequeme Methode, WLAN-Netzwerke für mehrere Access Points auf einmal zu verwalten.
Mesh-Netzwerke
Ein Mesh-Netzwerk ist eine Netzwerk-Topologie, in der jeder Knoten Daten für das Netzwerk weiterleitet, so dass sich das Netzwerk
über einen großen Bereich erstrecken kann. In einem Mesh-Netzwerk können Access Points als Root- oder als Mesh-Knoten agieren.
Sie können ein Mesh-Netzwerk als WLAN-Repeater oder als WLAN-Bridge einrichten.
Hotspots
Ein Hotspot ist ein Netzwerkknoten, der eine Verbindung zum Internet mithilfe eines WLAN-Geräts wie z.B. einem WLAN-Router
bereitstellt. Hotspots werden üblicherweise benutzt, um in öffentlichen Bereichen Gastzugang anzubieten. Wenn Sie eine Schnittstelle
zu einem Hotspot hinzufügen, verhalten sich die dazugehörigen Access Points als Hotspots. Hotspots unterstützen eine ganze
Palette an Schutzfunktionen und Authentifizierungsmethoden.
Hotspot-Einstellungen
Verwenden Sie diese Einstellungen, um verschiedene Hotspot-Einstellungen zu konfigurieren, wie z.B. Löschoptionen und Zertifikate,
die für die HTTPS-Authentifizierung verwendet werden sollen.
Hotspot-Voucher-Definition
Hotspot-Voucher-Definitionen regeln den Netzwerkzugriff. Sie können Voucher-Definitionen verwenden, um die Gültigkeitsdauer,
das Zeitkontingent und das Datenvolumen von Benutzern zu beschränken, die Zugang zu Hotspots mit dem Typ Voucher haben.
Mesh-Netzwerk einrichten
Wir wollen ein Mesh-Netzwerk einrichten, das einen Root-Access-Point und einen Mesh-Access-Point enthält.
WLAN-Netzwerk als separate Zone einsetzen
Wir wollen ein WLAN-Netzwerk für Gäste erstellen, das IP-Adressen aus einem festgelegten Bereich bezieht. Wir wollen den Zugriff
durch Hosts verhindern, die als Quellen von Schadprogrammen bekannt sind.
WLAN-Netzwerk als Bridge in ein Access-Point-LAN einrichten
Wir wollen, dass WLAN-Clients den gleichen Adressbereich verwenden wie ein Access-Point-LAN.
Hotspot mit einer eigenen Anmeldeseite einrichten
Wir wollen einen Hotspot mit einer selbstdefinierten Anmeldeseite für den Endbenutzer erstellen.
Gastzugang mithilfe eines Hotspot-Vouchers bieten
Wir wollen Gastbenutzern erlauben, mithilfe eines Vouchers auf ein WLAN-Netzwerk zuzugreifen.
Sie können Webserver vor Layer-7-Schwachstellen-Exploits schützen. Diese Angriffe umfassen Manipulationen von Cookies, URLs
und Formularen. Verwenden Sie diese Einstellungen, um Webserver, Schutzrichtlinien und Authentifizierungsrichtlinien für die
Verwendung in WAF-Regen (Web Application Firewall) zu definieren. Allgemeine Einstellungen erlauben Ihnen, Webserver vor SlowHTTP-Angriffen
zu schützen.
Webserver
Legen Sie die Server fest, die geschützt werden sollen. Webserver legen einen Host, einen Typ und weitere Verbindungseinstellungen
fest. Sie können Klartext- (HTTP) und verschlüsselte (HTTPS) Server schützen.
Schutzrichtlinien
Mithilfe von Richtlinien können Sie sich vor dem Ausnutzen von Schwachstellen schützen, wie der Manipulation von Cookies,
URLs oder Formularen. Richtlinien verhindern auch verbreitete Bedrohungen wie Protokollverletzungen und Cross-Site-Scripting-(XSS)-Angriffe.
Die Firewall bietet Standardrichtlinien für die Verwendung mit gängigen Internetdiensten.
Authentifizierungsrichtlinien
Mit Authentifizierungsrichtlinien können Sie formularbasierte oder Basis-Reverseproxy-Authentifizierung für Ihre Webserver
anbieten. Sie können sie auch verwenden, um den Zugriff auf die Pfade zu steuern, die in Firewallregeln hinterlegt sind. Die
Firewall unterstützt HTTP-Authentifizierung wie in RFC 7617 beschrieben. Authentifizierungsrichtlinien legen eine Authentifizierungsmethode und Benutzer fest.
Authentifizierungsvorlagen
Authentifizierungsvorlagen legen HTML-Formulare für die Benutzung in formularbasierten Authentifizierungsrichtlinien fest.
Allgemeine Einstellungen
Sie können SlowHTTP-Schutz konfigurieren und die TLS-Version einstellen.
Einen Webserver vor Angriffen schützen
Sie können einen Webserver vor Angriffen schützen, indem Sie eine Geschäftsanwendungsregel verwenden.
Advanced Threat Protection ermöglicht Ihnen, allen Verkehr in Ihrem Netzwerk auf Bedrohungen zu überwachen und entsprechende
Maßnahmen zu ergreifen, zum Beispiel Pakete zu verwerfen. Sie können auch Sandstorm Aktivitäten und die Ergebnisse von Dateianalysen
ansehen. Verwenden Sie diese Ergebnisse, um das Risiko einzustufen, dem Ihr Netzwerk bei Freigabe dieser Dateien ausgesetzt
ist.
Schutz vor komplexen Bedrohungen
Advanced Threat Protection analysiert eingehenden und ausgehenden Netzwerkverkehr (z.B. DNS-Anfragen, HTTPS-Anfragen und IP-Pakete)
auf Bedrohungen. Mit ATP können Sie kompromittierte Clients in Ihrem Netzwerk schnell erkennen und einen Alarm auslösen oder
den Verkehr dieser Clients verwerfen.
Sandstorm-Aktivität
Aktivitätseinträge bieten grundlegende Informationen wie Zeit und Datum, an dem Dateien oder E-Mails mit verdächtigen Anhängen
an Sandstorm geschickt wurden. Sie geben auch den Status zur Analyse und Freigabe an. Verwenden Sie die hinterlegten Links,
um einen detaillierten Bericht und die freigegebenen Dateien oder E-Mails zu sehen.
Sandstorm-Einstellungen
Verwenden Sie diese Einstellungen, um ein Rechenzentrum festzulegen und Dateien von der Sandstorm-Analyse auszuschließen.
Zentrale Synchronisierung
Durch die Synchronisierung mit Sophos Central können Sie Security Heartbeat verwenden, um Geräte in Ihrem Netzwerk zu ermöglichen,
Integritätsinformationen mitzuteilen. Synchronized Application Control lässt Sie Anwendungen in Ihrem Netzwerk erkennen und
verwalten. Zusätzlich können Sie Ihre XG Firewall Appliances zentral über Sophos Central verwalten.
Ein Virtuelles Privates Netzwerk (VPN) ist ein Tunnel, der privaten Netzwerkverkehr von einem Endpunkt zu einem anderen über
ein öffentliches Netzwerk wie das Internet leitet. VPN ermöglicht Benutzern Daten zu übertragen, als ob ihre Geräte direkt
im einem privaten Netzwerk verbunden wären. Sie können ein VPN verwenden, um sichere Verbindungen von einzelnen Hosts zu einem
internen Netzwerk und zwischen Netzwerken bereitzustellen. VPNs werden häufig verwendet, um die Kommunikation zwischen Mitarbeitern
außerhalb der Organisation und einem internen Netzwerk und von einer Zweigstelle zur Firmenzentrale zu sichern.
IPsec-Richtlinien
Internet-Protocol-Security-(IPsec)-Profile legen eine Reihe von Verschlüsselungs- und Authentifizierungseinstellungen für
einen Internet Key Exchange (IKE, Internet-Schlüsselaustausch) fest. Sie können Profile verwenden, wenn Sie IPsec- oder L2TP-Verbindungen
einrichten. Die Standardauswahl an Profilen unterstützt einige üblicherweise verwendeten VPN-Einsatzszenarien.
IPsec-Verbindungen
Bei Internet Protocol Security (IPsec) handelt es sich um eine Reihe von Protokollen, die die kryptographische Sicherung der
Kommunikation auf der IP-Schicht unterstützen. Mit IPsec-Verbindungen können Sie sicheren Zugang zwischen zwei Hosts, zwei
Standorten oder Remote-Benutzern und einem LAN bereitstellen. Die Firewall unterstützt IPsec wie in RFC 4301 definiert. Verwenden Sie diese Einstellungen, um IPsec-Verbindungen zu erstellen und zu verwalten und Failover zu konfigurieren.
VPN-Einstellungen
Legen Sie Einstellungen fest, die für den Fernzugriff über SSL VPN und L2TP erforderlich sind. Dies schließt Protokolle, Serverzertifikate
und IP-Adressen für Clients ein.
SSL-VPN (Fernzugriff)
Mithilfe von Fernzugriffs-Richtlinien können Sie einzelnen Hosts Zugriff auf Netzwerkressourcen über das Internet über Tunnel
mit Punkt-zu-Punkt-Verschlüsselung gewähren. Fernzugriff erfordert SSL-Zertifikate und einen Benutzernamen und Kennwort.
SSL-VPN (Site-to-Site)
Mit Site-to-Site-SSL-VPN können Sie Zugriff zwischen internen Netzwerken über das Internet über Punkt-zu-Punkt-verschlüsselte
Tunnel anbieten. Die Endpoints des Tunnels agieren entweder als Client oder Server. Der Client richtet die Verbindung ein
und der Server antwortet auf die Client-Anfragen. Dies unterscheidet sich von IPsec, wo beide Endpoints eine Verbindung initiieren
können. SSL-VPN kann sich von Orten verbinden, an denen IPsec auf Probleme stößt aufgrund von Netzwerkadressübersetzung und
Firewallregeln.
Sophos Connect Client
Sophos Connect Client ist eine VPN-Software, die auf Microsoft Windows 7 SP2 und neuer sowie Mac OS 10.12 und neuer läuft.
Sie baut höchst sichere, verschlüsselte VPN-Tunnel für Remote-Mitarbeiter auf. Sie können den Sophos Connect Client und Sophos
Connect Admin herunterladen, indem Sie auf Herunterladen auf der Seite Sophos Connect Client klicken. Sie können unter Sicherung & Firmware > Pattern-Updates überprüfen, ob das Pattern für die Sophos Connect Clients heruntergeladen wurde.
L2TP (Fernzugriff)
Das Layer Two Tunneling Protocol (L2TP) ermöglicht Ihnen, Verbindungen zu Ihrem Netzwerk über private Tunnel über das Internet
anzubieten. Die Firewall unterstützt L2TP wie in RFC 3931 definiert.
PPTP (Fernzugriff)
Mithilfe des Point-to-Point Tunneling Protocol (PPTP) können Sie Verbindungen zu Ihrem Netzwerk über private Tunnel über das
Internet anbieten. Das Protokoll selbst besitzt keine Verschlüsselungs- oder Authentifizierungsfunktionen. Die Firewall unterstützt
jedoch verschiedene Authentifizierungsoptionen wie Password Authentication Protocol (PAP), Challenge Handshake Authentication
Protocol (CHAP) und Microsoft Challenge Handshake Authentication Protocol (MS-CHAPv2). Die Firewall unterstützt PPTP wie in
RFC 2637 beschrieben.
Clientloser Zugriff
Ermöglichen Sie Benutzern, mithilfe eines Browsers und ohne zusätzliche Plug-Ins, auf Dienste und Bereiche (wie zum Beispiel
entfernte Desktops und Dateien) in Ihrem Netzwerk zuzugreifen. Richtlinien für clientlosen Zugriff legen Benutzer (Richtlinien-Mitglieder)
und Lesezeichen fest.
Lesezeichen
Lesezeichen legen eine URL, einen Verbindungstyp und Sicherheitseinstellungen fest. Verwenden Sie Lesezeichen mit Richtlinien
für den clientlosen Zugriff, um den Benutzern Zugriff auf interne Netzwerke oder Dienste zu geben. Zum Beispiel möchten Sie
vielleicht Zugriff auf Dateien ermöglichen oder auf entfernte Desktops. Benutzer können auf Lesezeichen über die Seite VPN
im Benutzerportal zugreifen.
Lesezeichengruppen
Lesezeichengruppen ermöglicht es Ihnen, Lesezeichen für einfaches Auffinden zu kombinieren. Sie können zum Beispiel eine Gruppe
erstellen, die alle Lesezeichen für entfernte Desktops beinhaltet, sodass Sie den Zugriff nicht individuell definieren müssen.
Remote-Zugriff SSL-VPN erstellen
Wir wollen eine Verbindung konfigurieren und einrichten, die es Remote-Benutzern erlaubt, auf ein lokales Netzwerk zuzugreifen.
Das VPN stellt einen verschlüsselten Tunnel her, um sicheren Zugriff auf Firmenressourcen über TCP-Port 443 anzubieten.
Site-to-Site-SSL-VPN erstellen
Wir wollen sichere Site-to-Site-VPN-Tunnel mithilfe einer SSL-Verbindung aufbauen. Dieses VPN erlaubt einer Zweigstelle sich
mit der Hauptgeschäftsstelle zu verbinden. Benutzer in der Zweigstelle werden sich mit dem LAN der Hauptgeschäftsstelle verbinden
können.
Site-to-Site IPsec-VPN erstellen
Wir wollen zwischen der Hauptgeschäftsstelle und der Zweigstelle ein IPsec-VPN erstellen und einrichten. Wir verwenden einen
verteilten Schlüssel für die Authentifizierung.
Netzwerkobjekte ermöglichen Ihnen, die Sicherheit zu verbessern und die Leistungen von Geräten hinter der Firewall zu optimieren.
Sie können diese Einstellungen verwenden, um physikalische Ports zu konfigurieren, virtuelle Netzwerke zu erstellen und Remote
Ethernet Devices zu unterstützen. Zonen ermöglichen Ihnen, Schnittstellen zu gruppieren und Firewallregeln auf alle zugehörigen
Geräte anzuwenden. Netzwerkredundanz und -verfügbarkeit wird durch Failover und Lastverteilung gewährleistet. Andere Einstellungen
ermöglichen Ihnen, sicheren WLAN-Breitbanddienst für mobile Geräte anzubieten und erweiterte Unterstützung für die Einrichtung
von IPv6-Geräten und für Datenverkehrstunnel zu konfigurieren.
Schnittstellen
Die Firewall wird mit physikalischen und virtuellen Schnittstellen ausgeliefert. Eine physikalische Schnittstelle ist ein
Port, z.B. Port1, PortA oder eth0. Eine virtuelle Schnittstelle ist eine logische Darstellung einer Schnittstelle, mit welcher
Sie Ihr Netzwerk unter Verwendung der vorhandenen Ports erweitern können. Sie können mehrere IP-Adressen an eine einzelne
physikalische Schnittstelle binden, indem Sie ein Alias verwenden. Sie können auch Schnittstellen erstellen und konfigurieren,
die Remote Ethernet Devices unterstützen.
Zonen
Eine Zone ist eine Gruppierung von Schnittstellen. Zonen legen auch die Dienste fest, die zur Verwaltung von Geräten und zur
Authentifizierung von Benutzern verwendet werden können. Wenn Zonen in Firewallregeln verwendet werden, bieten sie eine bequeme
Methode, Sicherheit und Datenverkehr für eine Gruppe von Schnittstellen zu verwalten.
WAN-Link-Manager
Der WAN-Link-Manager ermöglicht Ihnen, Gateways so zu konfigurieren, dass sie Failover und Lastverteilung (load balancing)
unterstützen.
DNS
Sie können die Adresse eines DNS-Servers von einem DHCP- oder PPPoE-Server erhalten, oder Sie können statische DNS-Server
festlegen. Andere Optionen ermöglichen Ihnen, Anfragen für bestimmte Hosts aufzulösen, indem Sie eine bestimmte IP-Adresse
verwenden, und Anfragen zu externen Domänen mithilfe von DNS-Servern in Ihrem Netzwerk auflösen.
DHCP
Die Firewall unterstützt das Dynamic Host Configuration Protocol wie in RFC 2131 (IPv4) und RFC 3315 (IPv6) definiert. Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen. Mithilfe eines
DHCP-Relays können Sie dynamische Adresszuweisung für Clients durchführen, die nicht im gleichen Subnetz wie der DHCP-Server
sind. Sie können auch Lease-Einträge ansehen.
IPv6-Router-Advertisement
Die Firewall unterstützt zustandslose automatische Adresskonfiguration (SLAAC) für IPv6-Geräte. Mithilfe von SLAAC erstellen
IPv6-Geräte automatisch eindeutige link-lokale Adressen für IPv6-aktivierte Schnittstellen. Die Clients nutzen die Router-Advertisements,
um ihre eigene IP-Adresse automatisch zu konfigurieren.
Mobiles WAN
Wireless-WAN-Netzwerke bieten mobilen Geräten sicheren WLAN-Breitband-Dienst.
IP-Tunnel
Ein IP-Tunnel ist ein Mechanismus, der ein Netzwerkprotokoll als Nutzdaten in ein anderes Netzwerkprotokoll eingekapselt.
Mithilfe eines Tunnels können Sie ein IPv6-Paket in ein IIPv4-Paket einkapseln, um IPv6-fähige Hosts oder Netzwerke über ein
IPv4-Netzwerk kommunizieren zu lassen, oder umgekehrt.
Nachbarn (ARP-NDP)
Die Firewall verwendet das Address Resolution Protocol (ARP) und Neighbor Discover Protocol (NDP), um die Kommunikation zwischen
Hosts im gleichen Subnetz zu ermöglichen. Mithilfe dieser Protokolle, erzeugt die Firewall IP-MAC-Zuordnungen und speichert
sie in Nachbar-Caches (Zwischenspeicher). Statische Zuordnungen werden auch unterstützt. Die Firewall verwendet zwischengespeicherte
Einträge, um Neighbor-Poisoning-Attempts (versuchte Sicherheitsangriffe von Nachbarn) zu erkennen.
Dynamisches DNS
Mit dem Einsatz von dynamischem DNS können Sie sicherstellen, dass die Firewall zugänglich ist, selbst wenn sie eine dynamische
IP-Adresse erhalten hat. Wenn die Firewall eine neue IP-Adresse erhält, kontaktiert sie den Dynamischen DNS-Dienst und aktualisiert
den öffentlichen DNS-Namen mit der neuen Adresse. Mit DDNS zeigt der öffentliche DNS-Name immer auf die korrekte IP-Adresse.
Site-to-Site RED-Tunnel erstellen
Richten Sie einen Site-to-Site RED-Tunnel zwischen zwei Sophos XG Firewall Appliances ein, ohne ein RED-Gerät einzurichten.
Bei dieser Konfigurationsart agiert ein Gerät als Server und das andere als Client.
Ein RED manuell einrichten
Um RED-Geräte manuell einzurichten, müssen Sie die Bereitstellungsdatei für die RED-Schnittstelle herunterladen und auf einem
USB-Stick speichern.
Dieser Bereich bietet Optionen zur Konfiguration von statischen und dynamischen Routen.
Sie können Authentifizierung einrichten, indem Sie eine interne Nutzerdatenbank verwenden oder den Authentifizierungsdienst
eines Drittanbieters. Um sich selbst zu authentifizieren, müssen Benutzer Zugang zu einem Authentifizierungsclient haben.
Den Client können sie jedoch umgehen, indem Sie die Benutzer als Clientlose Benutzer hinzufügen. Die Firewall unterstützt
auch Zweifaktor-Authentifizierung, transparente Authentifizierung und Gastbenutzer-Zugang über ein Captive-Portal.
Server
Externe Server authentifizieren Benutzer, die versuchen, auf die Firewall und zugehörige Dienste zuzugreifen. Verwenden Sie
diese Einstellungen, um Server festzulegen und den Zugriff auf sie zu verwalten.
Dienste
Wählen Sie die Authentifizierungsserver für die Firewall und andere Dienste wie VPN aus. Sie können auch globale Authentifizierungseinstellungen,
NTLM-Einstellungen, Webclient-Einstellungen und RADIUS Single-Sign-On-Einstellungen konfigurieren. Maßnahmen für Internetrichtlinien
erlauben Ihnen festzulegen, wohin unauthentifizierte Benutzer geleitet werden.
Gruppen
Gruppen enthalten Richtlinien und Einstellungen, die Sie als eine Einheit verwalten können. Mit Gruppen können Sie die Richtlinienverwaltung
für Benutzer vereinfachen. Sie wollen zum Beispiel vielleicht Einstellungen gruppieren, die ein bestimmtes Surfkontingent
festlegen und die Zugriffszeit für Gastbenutzer einschränken.
Benutzer
Die Firewall unterscheidet zwischen Endbenutzern, die sich von hinter der Firewall mit dem Internet verbinden, und Administratoren,
die Zugriff auf Firewall-Objekte und -Einstellungen haben. Sie können Benutzereinträge für die Verwendung bei der Authentifizierung
hinzufügen oder importieren. Wenn Sie einen Benutzer hinzufügen (registrieren), legen Sie den Benutzertyp fest und verknüpfen
den Eintrag mit einer Gruppe. Der Benutzer erbt die in der Gruppe festgelegten Richtlinien, aber die Richtlinien des Benutzers
selbst überschreiben die Gruppeneinstellungen.
Einmalkennwort
Sie können Zwei-Faktor-Authentifizierung mithilfe von Einmalkennwörtern einrichten, auch bekannt als Zugangscodes. Zugangscodes
werden von Sophos Authenticator auf einem Mobilgerät oder Tablet erzeugt ohne die Notwendigkeit einer Internetverbindung.
Wenn Benutzer sich anmelden, müssen Sie ein Kennwort und einen Zugangscode angeben.
Captive-Portal
Das Captive-Portal ist eine Browser-Oberfläche, die Benutzer hinter der Firewall dazu auffordert, sich zu authentifizieren,
wenn diese versuchen, auf eine Website zuzugreifen. Nach der Authentifizierung wird der Benutzer zur Adresse weitergeleitet
oder die Firewall leitet ihn zur einer vorgegebenen URL weiter. Verwenden Sie diese Einstellungen, um das Aussehen und den
Inhalt des Captive-Portals anzupassen. Sie können zum Beispiel Ihre Unternehmenslogo und eigen Text für die Schaltfläche festlegen.
Gastbenutzer
Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, um auf das Internet zuzugreifein.
Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben, sich selbst über das Gastbenutzerportal zu registrieren.
Sie können Zugangsdaten ausdrucken und sie per SMS versenden. Bei erfolgreicher Authentifizierung wird dem Gastbenutzer entsprechend
den gewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.
Clientlose Benutzer
Clientlose Benutzer müssen sich nicht über einen Client authentifizieren, um auf das Internet zuzugreifen. Stattdessen authentifiziert
die Firewall diese Benutzer, indem Sie einen Benutzernamen mit einer IP-Adresse abgleicht.
Gastbenutzer-Einstellungen
Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, um auf das Internet zuzugreifein.
Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben, sich selbst über das Gastbenutzerportal zu registrieren.
Verwenden Sie diese Einstellungen, um Gastbenutzern zu ermöglichen, sich über die Gastbenutzer-Registrierungsseite zu registrieren,
und um Authentifizierungseinstellungen und eine Standardgruppe für Gastbenutzer zu konfigurieren.
Client-Downloads
Verwenden Sie diese Einstellungen, um die Clients und Komponenten herunterzuladen, die Single Sign-On, transparente Authentifizierung
und E-Mail-Verschlüsselung unterstützen.
STAS
Sophos Transparent Authentication Suite (STAS) ermöglicht Benutzern auf einer Windows-Domäne, sich an der Firewall
anzumelden, sobald sie sich an Windows anmelden. Das beseitigt die Notwendigkeit von mehreren Anmeldungen und von SSO-Clients
auf jedem Arbeitsplatzrechner.
Zwei-Faktor-Authentifizierung konfigurieren
Zweifaktor-Authentifizierung stellt sicher, dass sich nur Benutzer mit vertrauenswürdigen Geräten anmelden können. Um Zweifaktor-Authentifizierung
anzubieten, konfigurieren Sie den OTP-Dienst. Danach scannen Endbenutzer die Tokens und erhalten die Zugangscodes mithilfe
von Sophos Authenticator.
OTP-Tokens manuell ausstellen
In manchen Fällen müssen Sie vielleicht ein OTP-Token einem Endbenutzer manuell bereitstellen, selbst wenn der Dienst so eingestellt
ist, dass er Tokens automatisch erstellt. Diese Fälle treten zum Beispiel ein, wenn ein Benutzer keinen Zugriff auf Sophos
Authenticator hat. Um das zu tun, konfigurieren Sie den OTP-Dienst und stellen Sie ein Token manuell aus. Danach erhält der
Endbenutzer das Token über das Captive-Portal.
Active-Directory-Authentifizierung konfigurieren
Sie können bestehende Active-Directory-Benutzer zur Firewall hinzufügen. Dafür fügen Sie einen AD-Server hinzu, importieren
Gruppen und stellen die primäre Authentifizierungsmethode ein.
LDAP-Authentifizierung konfigurieren
Sie können bestehende LDAP-Benutzer zur Firewall hinzufügen. Das Hinzufügen von Benutzer zu einer dedizierten Gruppe ermöglicht
Ihnen, Richtlinien für diese Benutzer festzulegen. Sie fügen eine Gruppe und einen LDAP-Server hinzu und stellen die primäre
Authentifizierungsmethode ein.
RADIUS-Authentifizierung konfigurieren
Sie können bestehende RADIUS-Benutzer zur Firewall hinzufügen. Dafür fügen Sie einen RADIUS-Server hinzu und stellen die primäre
Authentifizierungsmethode ein.
Transparente Authentifizierung mithilfe von STAS konfigurieren
Clientloses SSO in der Form von Sophos Transparent Authentication Suite (STAS). Sie können STAS in eine Umgebung mit
einem einzigen Active-Directory-Server integrieren.
Chromebook Single Sign-On konfigurieren
Lernen Sie, wie Sie XG Firewall konfigurieren, um Chromebook-Benutzer an XG Firewall zur gleichen Zeit anzumelden, wenn diese
sich an ihrem Chromebook anmelden.
Verwenden Sie Systemdienste, um den RED Provisioning Service, Hochverfügbarkeit und globale Malware-Protection-Einstellungen
zu konfigurieren. Andere Optionen lassen Sie den Bandbreitennutzung sehen und die Bandbreite verwalten, um den Einfluss von
starkem Verkehrsaufkommen zu verringern. Über die Protokolleinstellungen können Sie festlegen, dass Systemaktivität protokolliert
wird und wie Protokolle gespeichert werden. Datenanonymisierung erlaubt Ihnen, Identitäten in Protokollen und Berichten zu
verschlüsseln.
Hochverfügbarkeit
Hochverfügbarkeit (high availability, HA) bezeichnet die Hardware-Konfiguration und -einstellungen, die der Firewall ermöglichen, während eines
Stromausfalls, Festplattenausfalls oder einem anderen Ereignis weiter zu funktionieren.
Traffic-Shaping-Einstellungen
Verwenden Sie diese Einstellungen, um die maximale Bandbreite, Verkehrsoptimierung und Bandbreiten-Belegung für internet-bezogenen
Verkehr festzulegen.
RED
Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einem Remote-Standort und der Firewall
bereitstellt. Der RED-Provisioning-Service unterstützt die Einrichtung von RED und bietet Sicherheitsoptionen.
Malware Protection
Legen Sie globale Einstellungen zum Schutz vor Malware (Schadprogrammen) fest.
Protokolleinstellungen
Die Firewall bietet umfassende Protokollfunktionen für Datenverkehr, System- und Netzwerkschutz. Sie können Protokolle verwenden,
um Netzwerkaktivitäten zu analysieren, was Ihnen dabei hilft, Sicherheitsprobleme zu identifizieren und Netzwerkmissbrauch
zu verringern. Sie können Protokolle lokal speichern oder sie an syslog-Server senden. Die Firewall unterstützt syslog wie
in RFC 5424 definiert.
Datenanonymisierung
Mit Datenanonymisierung können Sie Identitäten in Protokollen und Berichten verschlüsseln. Identitäten umfassen Benutzernamen,
IP-Adressen, MAC-Adressen und E-Mail-Adressen. Wenn Sie Datenanonymisierung aktivieren, geben Sie einen oder mehrere Administratoren
an, welche autorisiert sind, die Daten zu entanonymisieren. Sie können die Anonymisierung mithilfe von Ausnahmen umgehen.
Traffic Shaping
Mithilfe von Traffic-Shaping-Richtlinien können Sie die Bandbreite verwalten und Netzwerkverkehr priorisieren, um die Auswirkungen
von starker Bandbreitennutzung zu verringern. Richtlinien stellen eine Zuordnung her. Sie können zum Beispiel Richtlinien
erstellen, die verwendet werden, um die Bandbreite für Benutzer oder Anwendungen zu beschränken. Sie können die Wirksamkeit
einer Richtlinie begrenzen, indem Sie einen Zeitplan festlegen.
Dienste
Sehen Sie den Zustand von Systemdiensten und verwalten Sie die Dienste.
Profile erlauben Ihnen, den Zugriff von Benutzern aufs Internet und von Administratoren auf die Firewall zu kontrollieren.
Sie können Zeitpläne, Zugriffszeit und Kontingente für das Surfen und den Datentransfer festlegen. Netzwerkadressübersetzung
erlaubt Ihnen, öffentliche IP-Adressen für den Internetzugriff festzulegen. Sie können Zugangsebenen für Administratoren festlegen,
basierend auf deren Arbeitsfunktionen.
Zeitplan
Zeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie können wiederkehrende und Einmalzeitpläne
erstellen. Sie können Zeitpläne auf Firewallregeln anwenden, Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien
und Scans für unautorisierte Access Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.
Zugriffszeit
Über die Zugriffszeit können Sie den Internetzugriff für Benutzer, Gruppen und Gastbenutzer steuern. Sie können den Zugriff
aufs Internet zulassen oder verweigern basierend auf festgelegten Zeitspannen. Die Firewall verfügt über einige übliche Standardrichtlinien.
Surfkontingente
Surfkontingente ermöglichen Ihnen, den Internetzugriff für Benutzer mithilfe von Zugriffseinstellungen zu steuern. Kontingente
legen den Zugriff auf zyklischer (wiederkehrender) oder nicht-zyklischer (einmaliger) Basis fest und den zulässigen Zeitraum.
Die Standardkontingente umfassen einige typischerweise verwendete Kontingente wie z.B. unbegrenzten Zugriff und Zugriff mit
Blockierungen.
Netzwerkdatenkontingente
Mit Netzwerkdatenkontingent-Richtlinien können Sie Datentransfer von Benutzer und Gruppen steuern. Sie können Kontingente
für den gesamten Datentransfer festlegen oder individuell für Upload und Download. Kontingente können zyklisch oder nicht
zyklisch sein. Zyklische Richtlinien können Kontingente für den Zyklus und für die Höchstverkehr haben. Die Firewall verfügt
über einige üblicherweise eingesetzte Standardkontingente.
NAT
Mit Richtlinien für die Netzwerkadressübersetzung (NAT) können Sie internen Hosts gestatten, über die öffentlichen IP-Adressen
der Firewall auf das Internet zuzugreifen. Die Firewall bildet interne IP-Adressen auf die öffentlichen IP-Adressen ab.
Appliance-Zugriff
Mit dem Appliance-Zugriff können Sie rollenbasierten Zugriff auf die Firewall für Administratoren erstellen. Die Standardauswahl
an Profilen legt die Berechtigungen für einen Super-Administrator und für einige normale Administratoren fest. Sie können
eigene Profile erstellen und Berechtigungen festlegen.
Hosts und Dienste ermöglicht, Systemhosts und -dienste zu definieren und zu verwalten.
IP-Host
Auf der Seite IP-Host wird eine Liste aller dynamischen Hosts, Standardhosts und manuell hinzugefügten Hosts angezeigt.
IP-Hostgruppe
Auf der Seite IP-Hostgruppe wird eine Liste aller Hostgruppen angezeigt.
MAC-Host
Die Appliance ermöglicht es Ihnen, einen Hostnamen an eine oder mehrere MAC-Adressen zu vergeben.
FQDN-Host
Auf der Seite FQDN-Host wird eine Liste aller verfügbaren FQDN-Hosts angezeigt.
FQDN-Hostgruppe
FQDN-Hostgruppe ermöglicht es Ihnen, individuelle FQDN-Hosts zu einer oder mehreren Hostgruppen hinzuzufügen.
Dienste
Auf der Seite Dienste wird eine Liste aller Standard- und der eigenen Dienste angezeigt.
Dienstgruppe
Auf der Seite Dienstgruppe wird eine Liste aller Standard- und eigenen Dienstgruppen angezeigt.
Verwaltung ermöglicht Ihnen die Verwaltung von Lizenzen auf der Appliance, der Zeit der Appliance, des Administratorzugriffs,
von zentralisierten Aktualisierungen, der Benutzerbenachrichtigungen und der Überwachung der Netzwerkbandbreite und der Appliance
selbst.
Appliance-Zugriff
Appliance-Zugriff ermöglicht es Ihnen, den administrativen Zugriff zu bestimmten Diensten von selbstdefinierten oder Standard-Zonen
(LAN, WAN, DMZ, VPN, WLAN) zu beschränken.
Admin-Einstellungen
Admin-Einstellungen ermöglichen es Ihnen, Admin-Port-Einstellungen und Anmeldeparameter zu bearbeiten. Passen Sie die Anmeldeparameter an, um
den Zugriff durch lokale und entfernte Benutzer basierend zeitgesteuert zu beschränken.
Zentrale Verwaltung
Sophos Firewall Manager (SFM), Sophos Central Firewall Manager (CFM) oder Sophos Central verwaltet Ihre Sophos
XG Firewall (Appliance) oder zentral. Die zentrale Verwaltung ermöglicht Ihnen, Keep-Alive-Anfragen zu konfigurieren und Konfigurations-
und Signaturaktualisierungen der Appliance über den Firewall Manager zu ermöglichen.
Zeit
Sie können Datum und Zeit entsprechend der Uhr der Appliance einstellen oder die Appliance mit einem NTP-Server (Network Time
Protocol) synchronisieren.
Netflow
Netflow erlaubt Ihnen, Netflow-Server hinzuzufügen, zu aktualisieren oder zu löschen. Die Appliance bietet Netflow, ein Netzwerk-Protokoll,
um Netzwerkbandbreitennutzung und -verkehrsfluss zu überwachen. Netflow-Aufzeichnungen von Quelle, Ziel und Volumen des Verkehrs
werden an den Netflow-Server exportiert. Die Aufzeichnungen helfen Ihnen dabei, die Protokolle, Richtlinien, Schnittstellen
und Benutzer zu identifizieren, die viel Bandbreite verbrauchen. Werkzeuge, die Daten analysieren, wie Open Source Data Analyzer
und PRTG Software, können Berichte aus den Netflow-Aufzeichnungen erzeugen.
Sie können Zertifikate, CAs und Zertifikatsperrlisten hinzufügen.
Zertifikatsperrlisten
Zertifikate können zurückgezogen werden, wenn der Schlüssel oder die CA kompromittiert wurde oder das Zertifikat nicht länger
für den eigentlichen Zweck gilt. CAs führen eine Liste zurückgezogener Zertifikate.
Die Firewall bietet umfassende Protokollfunktionen für Datenverkehr, Systemaktivitäten- und Netzwerkschutz. Protokolle beinhalten
Analysen der Netzwerkaktivität, mit denen Sie Sicherheitsprobleme identifizieren und die gefährdende Nutzung Ihres Netzwerk
verringern können. Sie können Protokolle an einen Syslog-Server senden oder sie mithilfe der Protokollansicht einsehen.
Protokoll-ID
Protokolle werden über eine Protokoll-ID identifiziert.
Protokollansicht
Verwenden Sie die Protokollansicht, um Ereignisinformationen für Module wie System, Webschutz und Sandstorm-Aktivität anzuzeigen.
Richtlinientest
Mit dem Richtlinientest-Werkzeug können Sie sowohl Firewall- und Internetrichtlinien zuweisen und Fehlersuche bei diesen durchführen
als auch daraus resultierende Sicherheitsentscheidungen ansehen. Zum Beispiel können Sie eine Internetrichtlinie erstellen,
die alle sozialen Netzwerke für bestimmte Benutzer blockiert, und die Richtlinie testen, um zu sehen, ob die Inhalte nur für
die bestimmten Benutzer blockiert werden. Die Ergebnisse geben die Informationen zur Maßnahme an, welche die Firewall vorgenommen
hat, inklusive der relevanten Regeln und Inhaltsfilter.