Ein RED-Gerät automatisch einrichten
Sie können mithilfe des Sophos-Bereitstellungsservers automatisch einen Tunnel zwischen der Sophos Firewall und einer RED-Appliance erstellen.
So funktioniert die automatische Bereitstellung
So richtet der Bereitstellungsserver einen ROTEN Tunnel mit der Firewall ein:
- Sie schalten den RED-Bereitstellungsdienst in der Firewall ein.
- Sie fügen RED zur Firewall hinzu, indem Sie eine RED-Schnittstelle hinzufügen.
- Die Firewall lädt die RED-Konfiguration auf den Sophos-Bereitstellungsserver hoch.
- Das RED lädt die Konfiguration vom Bereitstellungsserver herunter.
- Das RED erstellt einen Tunnel mit der Firewall.
In diesem Setup müssen RED und Firewall über einen Internetzugang verfügen.
Ziele
Um ein RED-Gerät automatisch einzurichten, gehen Sie wie folgt vor:
- Schalten Sie den RED-Bereitstellungsdienst ein.
- Fügen Sie eine benutzerdefinierte Zone für RED-Geräte hinzu.
- Fügen Sie eine ROTE Schnittstelle hinzu.
- Erstellen Sie eine Firewall-Regel für den Tunnelverkehr.
Aktivieren Sie den RED-Bereitstellungsdienst
Bevor Sie RED-Schnittstellen konfigurieren können, müssen Sie den RED-Bereitstellungsdienst in der Firewall aktivieren. Gehen Sie dazu wie folgt vor:
- Gehe zu Systemdienste > ROT.
- Unter RED-Konfiguration, drehen ROT-Status An.
- Geben Sie Ihre Daten ein.
- Aktivieren Sie das Kontrollkästchen, um den Nutzungsbedingungen für Endbenutzer von Sophos zuzustimmen.
- Klicken Anwenden.
Fügen Sie eine benutzerdefinierte Zone für RED-Geräte hinzu
Wenn Sie die RED-Schnittstelle hinzufügen und das RED-Gerät in der LAN-Zone eingerichtet haben, wendet die Firewall für das RED-Gerät dieselben Regeln an wie für das restliche LAN-Netzwerk. Um eine logische Trennung zwischen den RED- und LAN-Netzwerken sicherzustellen, fügen Sie eine benutzerdefinierte Zone für RED-Geräte hinzu oder verwenden Sie eine vorhandene Zone wie VPN oder WLAN.
Um eine benutzerdefinierte Zone für RED-Geräte hinzuzufügen, gehen Sie wie folgt vor:
- Gehe zu Netzwerk > Zonen und klicken Sie auf Hinzufügen.
- Geben Sie einen Namen für die Zone ein. Beispiel: ROT.
- Für Typ, wählen UND oder DMZ. Sehen Hinzufügen einer Zone.
- Für Gerätezugriff, wählen Sie den gewünschten Dienst für diese Zone aus.
- Klicken Speichern.
Fügen Sie eine ROTE Schnittstelle hinzu
Um eine Schnittstelle für RED zu erstellen, gehen Sie wie folgt vor:
- Gehe zu Netzwerk > Schnittstellenauf Schnittstelle hinzufügenund wählen Sie Hinzufügen.
- Geben Sie einen Filialnamen ein und wählen Sie Ihren RED-Gerätetyp aus.
- Für Gerätebereitstellung, wählen Automatisch über den Bereitstellungsdienst.
- Geben Sie die anderen RED-Modelleinstellungen nach Bedarf an.
- Unter RED-Netzwerkeinstellungen, wählen Sie die Zone aus, die Sie für RED-Geräte erstellt haben.
- Klicken Speichern.
RED-Dienste zulassen
Um RED-Dienste aus den erforderlichen Zonen zuzulassen, gehen Sie wie folgt vor:
- Gehe zu Verwaltung > Gerätezugriff.
-
Unter ROT, wählen Sie die Zonen aus, in denen sich Ihre RED-Geräte befinden.
Tipp
Sie können auch eine lokale Service-ACL-Ausnahmeregel für RED-Dienste erstellen. Siehe Hinzufügen einer lokalen Dienst-ACL-Ausnahmeregel.
-
Klicken Anwenden.
Zeit für Offline-REDs synchronisieren
Sie können die Uhrzeit für Offline-REDs synchronisieren. RED-Geräte müssen ihre Uhrzeit synchronisieren, um den TLS-Handshake mit der Firewall abzuschließen. Um sicherzustellen, dass RED-Geräte im Offline-Modus dies tun können, gewähren Sie ihnen Internetzugang für die Verbindung mit dem Sophos NTP-Serverpool. Alternativ können Sie eine lokale Service-ACL-Ausnahmeregel erstellen, die ihnen die Verbindung mit der Firewall aus der WAN-Zone wie folgt ermöglicht:
- Klicken Hinzufügen.
- Geben Sie einen Regelnamen ein.
- Satz Quellzone Zu VAN.
- Satz Quellnetzwerk oder -host zur IP-Adresse des RED-Geräts.
- Satz Zielhost zum WAN-Port der Firewall.
- Satz Leistungen Zu HTTPS.
- Satz Aktion Zu Akzeptieren.
- Klicken Speichern.
Erstellen einer Firewallregel für Tunnelverkehr
Sie können Firewall-Regeln für RED-Geräte basierend auf ihren Zonen konfigurieren.
Wenn Sie eine vorhandene Zone verwenden, bestimmen zuvor erstellte Firewall-Regeln die Weiterleitung des Datenverkehrs. Stellen Sie sicher, dass die für die ausgewählte Zone geltenden Regeln die Sicherheit Ihrer internen Netzwerke nicht beeinträchtigen. Beispielsweise verhindert die VPN-Zone, dass die Firewall DNS-Anfragen auflöst. Stattdessen verwendet die VPN-Zone DHCP, um einen anderen DNS-Server zuzuweisen.
Gehen Sie wie folgt vor, um eine Firewall-Regel für Tunnelverkehr zu erstellen:
- Gehe zu Regeln und Richtlinien > Firewall-Regeln.
- Wählen IPv4 oder IPv6, wählen Firewallregel hinzufügenund wählen Sie dann Neue Firewall-Regel.
- Für Quellzonen, wählen Sie die Zone aus, die Sie für RED-Geräte erstellt haben.
- Wählen Sie ein Netzwerk in Quellnetzwerke und -geräte , wenn die Firewall-Regel auf ein Netzwerk innerhalb der Zone angewendet werden soll. Andernfalls wählen Sie Beliebig.
- Für Zielzonen, wählen UND Und VAN.
- Wählen Sie ein Netzwerk in Zielnetzwerke , wenn die Firewall-Regel auf ein Netzwerk innerhalb der Zone angewendet werden soll. Andernfalls wählen Sie Beliebig.
- Klicken Speichern.