Hinzufügen einer Firewallregel
Erstellen Sie Firewall-Regeln, um den Datenverkehr zwischen Zonen und Netzwerken zuzulassen oder zu unterbinden, und wenden Sie Sicherheitsrichtlinien und -aktionen an.
Erstellen Sie Regeln für IPv4- oder IPv6-Netzwerke. Geben Sie die Übereinstimmungskriterien wie Quelle, Ziel, Dienste und Benutzer für einen bestimmten Zeitraum an. Wählen Sie die anzuwendenden Richtlinien und Scan-Aktionen aus. Wählen Sie die Aktion aus, die auf Synchronized Security-Endpunkten und -Servern erzwungen werden soll.
- Gehe zu Regeln und Richtlinien > Firewall-Regeln. Protokoll auswählen IPv4 oder IPv6 und wählen Sie Firewallregel hinzufügen. Wählen Neue Firewall-Regel.
- Regeln sind standardmäßig aktiviert. Sie können eine Regel deaktivieren, wenn Sie die Übereinstimmungskriterien nicht anwenden möchten.
-
Geben Sie die allgemeinen Details ein.
Name Beschreibung Regelname Geben Sie einen Namen ein. Regelposition Geben Sie die Position der Regel in der Regeltabelle an:
- Spitze
- Unten
Regelgruppe Wählen Sie eine Regelgruppe aus oder erstellen Sie eine. Die Firewall-Regel gehört zu dieser Gruppe.
Wenn Sie Automatisch, die Firewall-Regel wird basierend auf der ersten Übereinstimmung mit Regeltyp und Quell-Ziel-Zonen zu einer vorhandenen Gruppe hinzugefügt.Aktion Wählen Sie eine Aktion aus:
- Akzeptieren: Lässt Verkehr zu.
- Fallen: Verwirft den Verkehr ohne Benachrichtigung. Wenn Sie derzeit Verwenden Sie die Webauthentifizierung für unbekannte Benutzer In der Firewall-Regel zeigt die Sophos Firewall eine Sperrseite an, anstatt den Web-Verkehr stillschweigend zu blockieren. Dieses Verhalten gilt für den Verkehr aus allen Zonen.
- Ablehnen: Verwirft den Verkehr und sendet eine
ICMP port unreachable
Nachricht an die Quelle für UDP- und ICMP-Verkehr. Für TCP-Verkehr eineTCP reset
Nachricht wird an die Quelle gesendet. - Schützen Sie sich mit dem Webserver-Schutz: Wählen Sie diese Option aus und geben Sie die Schutzdetails des Webservers an, um den Datenverkehr der Webanwendung zu steuern.
Vorkonfigurierte Vorlage Wenn Sie den Webserver-Schutz ausgewählt haben, wählen Sie eine anzuwendende Vorlage aus:
- Keine: Geben Sie die Schutzdetails des Webservers an.
- Exchange-AutoErmittlung
- Exchange Outlook Anywhere Austausch Allgemein
- Microsoft Lync
- Microsoft Remote Desktop Gateway 2008 und R2
- Microsoft Remote Desktop Web 2008 und R2
- Microsoft Sharepoint 2010 und 2013
Firewall-Datenverkehr protokollieren Wählen Sie diese Option aus, um Protokolle und Berichtsdaten zu generieren, die dieser Regel entsprechen.
Standardmäßig werden Protokolle auf der Firewall gespeichert.
Um einen Syslog-Server hinzuzufügen und Protokolle auf dem Server zu speichern, wählen Sie diese Option und gehen Sie zu Systemdienste > Protokolleinstellungen. Sehen Protokolleinstellungen.
Um Protokolle an Sophos Central zu senden, müssen Sie diese Option auswählen und zu Sophos Central Seite und schalten Sie Sophos Central-Dienste. Sehen Übersicht über die Sophos Central-Dienste.
Die Firewall protokolliert Sitzungen, wenn eine Verbindung aufgrund eines „Destroy“-Ereignisses beendet wird. Sie protokolliert keine Sitzungen, wenn Verbindungen ohne ein „Destroy“-Ereignis beendet werden, beispielsweise bei einem Verlust der Internetverbindung.
Notiz
Überprüfen Sie die Regelpositionen, nachdem eine Firewall-Regel automatisch oder manuell erstellt wurde, um sicherzustellen, dass die beabsichtigte Regel den Verkehrskriterien entspricht.
Automatisch erstellte Firewall-Regeln, z. B. für E-Mail-MTA, IPsec-Verbindungen und Hotspots, werden oben in der Firewall-Regelliste angezeigt und zuerst ausgewertet. Wenn Sie später manuell neue Firewall-Regeln erstellen mit Regelposition eingestellt auf Spitzewerden diese Regeln oben in der Regeltabelle platziert und ändern so die Regelpositionen. Es gelten die Richtlinien und Aktionen der obersten Regel. Dies kann zu unerwarteten Ergebnissen führen, z. B. zu Fehlern bei der E-Mail-Zustellung oder zum Nichtaufbau von Tunneln, wenn sich die Übereinstimmungskriterien der neuen und vorhandenen Regeln überschneiden.
-
Wählen Sie die Quellübereinstimmungskriterien aus.
Name Beschreibung Quellzonen Wählen Sie die Zonen aus, aus denen der Verkehr stammt. Quellnetzwerke und -geräte Wählen Sie die Quellnetzwerke und -geräte aus oder erstellen Sie neue. Während der geplanten Zeit Wählen Sie einen Zeitplan aus oder erstellen Sie einen. Die Sophos Firewall erfüllt die Regelkriterien während des von Ihnen ausgewählten Zeitraums und Wochentags. -
Geben Sie die Ziel- und Service-Übereinstimmungskriterien ein.
Name Beschreibung Zielzonen Wählen Sie die Zielzonen aus, in denen der Verkehr endet. Zielnetzwerke Wählen Sie die Zielnetzwerke aus oder erstellen Sie neue. Leistungen Wählen Sie die Dienste aus oder erstellen Sie einen neuen Dienst. Dienste sind eine Kombination aus Protokollen und Ports. -
Geben Sie die Kriterien für die Benutzeridentität an.
Name Beschreibung Übereinstimmung mit bekannten Benutzern Wählen Sie diese Option aus, um die Benutzeridentität als Übereinstimmungskriterium hinzuzufügen. Verwenden Sie die Webauthentifizierung für unbekannte Benutzer Wählen Sie diese Option aus, um unbekannte Benutzer zu authentifizieren, die versuchen, auf das Internet zuzugreifen. Dies sind Benutzer, die sich bei ihren Endgeräten angemeldet haben, aber nicht authentifiziert wurden.
Um die Web-Authentifizierungseinstellungen festzulegen, gehen Sie zu Authentifizierung > Web-Authentifizierung. Sie können AD SSO (Kerberos und NTLM) oder Captive-Portal-Authentifizierung angeben.
Um den Zugriff auf AD SSO und Captive Portal aus den erforderlichen Zonen zu aktivieren, gehen Sie zu Verwaltung > Gerätezugriff.Benutzer oder Gruppen Wählen Sie die Benutzer und Gruppen aus. Die Regel gilt dann nur für den Datenverkehr dieser Benutzer und Gruppen. Diese Benutzeraktivität von der Datenabrechnung ausschließen Wählen Sie diese Option aus, um den Datenverkehr der angegebenen Benutzer von der Datenabrechnung auszuschließen.
Standardmäßig fügt die Sophos Firewall den Datenverkehr, der den Regelkriterien entspricht, zur Datenübertragung einzelner Benutzer hinzu.
Verwenden Sie dies, wenn Sie für die angegebenen Benutzer kein Datennutzungslimit festlegen möchten. -
Wählen Ausschluss hinzufügen um der Regel Ausnahmen hinzuzufügen. Die Sophos Firewall erfüllt die angegebenen Kriterien für die folgenden Objekte nicht:
- Quellzonen
- Quellnetzwerke und -geräte
- Zielzonen
- Zielnetzwerke
- Leistungen
-
Wählen Verknüpfte NAT-Regel erstellen wenn Sie die Adressübersetzung für die Quellnetzwerke und -geräte dieser Regel erzwingen möchten.
Verknüpfte NAT-Regeln sind Quell-NAT-Regeln und werden in der NAT-Regeltabelle aufgeführt. Sie können sie anhand der Firewall-Regel-ID und des Namens identifizieren.
Sie können in einer verknüpften NAT-Regel nur die übersetzte Quelle und die schnittstellenspezifische Quellübersetzung für ausgehende Verbindungen ändern. Für den Rest wendet die Sophos Firewall die Übereinstimmungskriterien der verknüpften Firewall-Regel an, einschließlich Benutzer und Gruppen.
Warnung
Verknüpfte NAT-Regeln gelten nur für den Datenverkehr, der durch die Firewall-Regel definiert ist, mit der sie verknüpft sind. Wenn jedoch die Kriterien einer über der verknüpften NAT-Regel liegenden NAT-Regel mit dem Datenverkehr übereinstimmen, wird die vorherige Regel angewendet. Die Sophos Firewall wertet nachfolgende Regeln nicht aus, sobald eine Übereinstimmung gefunden wurde.
-
Wählen Webfilterung , um die Einstellungen festzulegen.
Wählen Sie die Webrichtlinie, das Scannen auf Malware und Inhalte sowie die Filtereinstellungen aus.
Malware- und Inhaltsscans: Die in Web > Allgemeine Einstellungen anwenden.
Filterung: Wählen Sie die Einstellungen zum Filtern des Webverkehrs über gängige Webports. Wenn Sie die Webproxyfilterung aktivieren möchten, müssen Sie zunächst eine Webrichtlinie oder einen Malware- und Inhaltsscan für HTTP und entschlüsseltes HTTPS auswählen.
Die Sophos Firewall identifiziert Micro-Apps, wie z. B. Dropbox- und Gmail-Anhänge, anhand ihrer URLs. Wenn Sie in der Firewall-Regel eine Anwendungsfilterrichtlinie für diese Micro-Apps festlegen und die entsprechende SSL/TLS-Inspektionsregel auf Entschlüsselung setzen, identifiziert die DPI-Engine Micro-Apps anhand der entschlüsselten URL. Dies gilt auch, wenn Sie Web-Richtlinie Zu Keiner und deaktivieren Sie Malware-Scans und erweiterten Bedrohungsschutz. Die Sophos Firewall führt die in der Anwendungsfilterrichtlinie angegebene Aktion aus.
Die Sophos Firewall überspringt die Entschlüsselung, das Scannen von Malware und Inhalten, die Zero-Day-Schutzanalyse und die Richtlinienprüfungen für die entsprechenden Ausnahmen, die Sie in Web > AusnahmenAusnahmen gelten sowohl für den DPI- als auch für den Proxy-Modus. Im DPI-Modus gelten Webrichtlinien (einschließlich Ausnahmen) jedoch nur, wenn eine der folgenden Bedingungen zutrifft:
- Eine Webrichtlinie ist festgelegt.
- Das Scannen auf Malware und Inhalte ist aktiviert.
- ATP ist eingeschaltet.
Wenn Sie die Webproxyfilterung auf Bridge-Schnittstellen ohne IP-Adresse einrichten, wird der Datenverkehr gelöscht.
Name Beschreibung Web-Richtlinie Wählen Sie eine Webrichtlinie aus oder erstellen Sie eine. Wenden Sie Traffic Shaping auf Basis von Webkategorien an Wählen Sie diese Option aus, um die für die Webkategorien in der Richtlinie angegebenen Bandbreiteneinstellungen anzuwenden. Blockieren Sie das QUIC-Protokoll Blockiert das QUIC-Protokoll, indem ausgehende UDP-Pakete an den Ports 80 und 443 für Datenverkehr, der den Kriterien der Regel entspricht, verworfen werden. Diese Option ist standardmäßig aktiviert, wenn Sie eine Webrichtlinie auswählen oder die Überprüfung auf HTTP und entschlüsseltes HTTPS aktivieren.
Chrome verwendet das Protokoll standardmäßig, um Sitzungen mit Google-Diensten herzustellen. QUIC-Verkehr kann nicht gescannt werden und umgeht die Webfilterung.HTTP und entschlüsseltes HTTPS scannen Wählen Sie diese Option aus, um den Webverkehr auf Malware zu scannen.
Diese Option aktiviert nicht die HTTPS-Entschlüsselung. Um sicherzustellen, dass HTTPS-Verkehr für den Scan entschlüsselt wird, verwenden Sie SSL/TLS-Überprüfungsregeln im DPI-Modus oder wählen Sie Entschlüsseln Sie HTTPS während der Webproxyfilterung.Verwenden Sie Zero-Day-Schutz Wenn Sie die Prüfung auf HTTP und entschlüsseltes HTTPS ausgewählt haben, können Sie über HTTP oder HTTPS heruntergeladene Dateien zur Zero-Day-Schutzanalyse senden. Der Zero-Day-Schutz schützt Ihr Netzwerk vor Zero-Day-Bedrohungen (unbekannten und unveröffentlichten Bedrohungen). FTP auf Malware scannen Wählen Sie diese Option aus, um den FTP-Verkehr auf Malware zu scannen. Verwenden Sie einen Webproxy anstelle der DPI-Engine Wählen Sie diese Option aus, um den Webproxy nur zum Filtern des Datenverkehrs an den Ports 80 (HTTP) und 443 (HTTPS) zu verwenden. Die DPI-Engine filtert weiterhin HTTP- und SSL/TLS-Datenverkehr an anderen Ports. Sie benötigen den Proxy-Modus, um SafeSearch- und YouTube-Einschränkungen durchzusetzen, Anmeldungen bei Google Apps (z. B. Gmail, Drive) auf bestimmte Domänenkonten zu beschränken, Pharming-Schutz und Webinhalts-Caching zu aktivieren und eine Verbindung zu einem übergeordneten Proxy herzustellen.
- Wählen Sie diese Option nicht für die folgenden Anwendungsfälle:
- Um die DPI-Engine für die Webfilterung zu verwenden.
Die DPI-Engine filtert HTTP- und SSL/TLS-Verkehr auf allen Ports. Mit dieser Einstellung verwendet die Sophos Firewall den Direktmodus. Sie wendet SSL/TLS-Prüfregeln an, um verschlüsselten Datenverkehr basierend auf den Regelkriterien und Entschlüsselungsprofilen abzufangen, zu entschlüsseln und zu prüfen.
Um sicherzustellen, dass SSL/TLS-Überprüfungsregeln aktiviert sind, und um SSL/TLS-Überprüfungsregeln zu erstellen, gehen Sie zu Regeln und Richtlinien > SSL/TLS-Überprüfungsregeln.
- So stellen Sie eine Verbindung zu einem FTP-Server her.
Entschlüsseln Sie HTTPS während der Webproxyfilterung Durch Aktivieren dieser Option wird auch der HTTPS-Verkehr im direkten Proxy-Modus entschlüsselt. Tipp
Sie können eine Firewallregel mit Webproxyfilterung für vorkonfigurierte FQDN-Hostgruppen erstellen, um SafeSearch und YouTube-Einschränkungen durchzusetzen und die Anmeldung bei Google Workspace-Anwendungen einzuschränken. Informationen zum Erstellen dieser Firewallregel finden Sie in den auf dieser Seite verlinkten Lerninhalten.
Notiz
Sie können den direkten Proxy-Modus auch dann verwenden, wenn Sie „Webproxy anstelle der DPI-Engine verwenden“ nicht aktiviert haben. Um den direkten Proxy-Modus zu verwenden, müssen Sie die Clients in ihren Proxy-Einstellungen so konfigurieren, dass sie die Sophos Firewall verwenden. Informationen zur Verwendung der Sophos Firewall als direkter Webproxy finden Sie unter Webproxy-Konfiguration In Web > Allgemeine Einstellungen.
-
Wählen Konfigurieren des synchronisierten Sicherheits-Heartbeats , um die Heartbeat-Einstellungen festzulegen. Durch die Festlegung dieser Steuerelemente können Sie Endgeräte und Server in Ihrem Netzwerk durch die Sophos Firewall schützen.
Mit Synchronized Security konfigurierte Endgeräte und Dienste senden in vordefinierten Intervallen einen Heartbeat an die Sophos Firewall, der Informationen zu ihrem Integritätsstatus liefert.
Name Beschreibung Zulässige Mindestquelle HB Wählen Sie den Mindestintegritätsstatus aus, den ein Gerät, von dem der Datenverkehr ausgeht, einhalten muss. Wenn ein Gerät den Mindest-Heartbeat nicht sendet, erhält der Benutzer nicht den in dieser Regel definierten Zugriff.
Grün: Nur Endpunkte, die diesen Integritätsstatus senden, haben Zugriff.
Gelb: Nur Endpunkte, die einen grünen oder gelben Integritätsstatus senden, haben Zugriff.
Keine Einschränkung: Alle Endpunkte haben Zugriff, auch diejenigen, die keinen Heartbeat senden oder einen roten Status senden.Blockieren Sie Clients ohne Heartbeat Wählen Sie diese Option aus, um die Geräte zu blockieren, die keinen Heartbeat senden. Mindestzielort HB zulässig Wählen Sie den Mindestintegritätsstatus aus, den ein Gerät, das Datenverkehr empfängt, einhalten muss. Wenn ein Gerät den Mindest-Heartbeat nicht sendet, erhält der Benutzer nicht den in dieser Regel definierten Zugriff.
Grün: Nur Endpunkte, die diesen Integritätsstatus senden, haben Zugriff.
Gelb: Nur Endpunkte, die einen grünen oder gelben Integritätsstatus senden, haben Zugriff.
Keine Einschränkung: Alle Endpunkte haben Zugriff, auch diejenigen, die keinen Heartbeat senden oder einen roten Status senden.
Sie können die Ziel-Heartbeat-Steuerung auf Geräte im internen Netzwerk anwenden, nicht in der WAN-Zone.Blockieren Sie die Anforderung an das Ziel ohne Heartbeat Wählen Sie diese Option aus, um die Geräte zu blockieren, die keinen Heartbeat senden. Notiz
Wenn Sie Blockieren Sie Clients ohne Heartbeat und fügen Sie eine Web-Ausnahme für Richtlinienprüfungen hinzu unter Web > Ausnahmen, Webanforderungen werden nicht blockiert.
-
Wählen Sie die Einstellungen für die anderen Sicherheitsfunktionen aus. Sie können neue Richtlinien für Anwendungssteuerung, IPS und Traffic Shaping auswählen oder erstellen.
Name Beschreibung Anwendungen identifizieren und steuern (App-Steuerung) Wählen Sie eine Anwendungsfilterrichtlinie aus. Anwenden einer anwendungsbasierten Traffic-Shaping-Richtlinie Wählen Sie diese Option aus, um die für die Anwendungen innerhalb der Anwendungskategorie angegebenen Bandbreiteneinstellungen anzuwenden. Exploits erkennen und verhindern (IPS) Wählen Sie eine IPS-Richtlinie aus. Verkehr gestalten Wählen Sie eine Traffic-Shaping-Richtlinie aus, um eine Bandbreitengarantie oder -begrenzung anzuwenden.
Wenn Sie „Bekannte Benutzer abgleichen“ ausgewählt haben, wird die Traffic-Shaping-Richtlinie des angegebenen Benutzers angewendet. Wenn keine Benutzerrichtlinie vorhanden ist, wird die Gruppenrichtlinie angewendet.DSCP-Kennzeichnung Wählen Sie die DSCP-Markierungsstufe aus, um Pakete für die Priorität zu markieren. Weitere Informationen finden Sie unter DSCP-Wert.
- Beschleunigte Weiterleitung (EF): Prioritäre Warteschlangen, die geringe Verzögerungen und Paketverluste gewährleisten. Geeignet für Echtzeitdienste.
- Assured Forwarding (AF): Garantierte Zustellung, jedoch mit Paketverlust bei Überlastung. Pakete haben eine höhere Priorität als Best-Effort.
- Klassenselektor (CS): Abwärtskompatibilität mit Netzwerkgeräten, die IP-Priorität im Diensttyp verwenden.
-
Wählen Sie zum Scannen von E-Mail-Inhalten die Protokolle IMAP, IMAPS, POP3, POP3S, SMTP und SMTPS.
Wenn Sie hier ein Protokoll auswählen und dessen Standardports nicht hinzugefügt haben Leistungen Wählen Sie in dieser Regel Ports hinzufügen. Die Standardports für die ausgewählten Protokolle werden den Diensten hinzugefügt.
-
Klicken Speichern.
Weitere Ressourcen