Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=routing-upstream-proxy-LAN

Webanfragen über einen Upstream-Proxy im LAN senden

Sie können die Sophos Firewall so konfigurieren, dass alle Webanfragen an das externe Netzwerk über einen Upstream-Proxy im LAN oder in der DMZ gesendet werden.

Verbinden Sie die Sophos Firewall mit dem Upstream-Proxy im LAN.

In diesem Beispiel befindet sich der Upstream-Proxy im LAN. Die Netzwerkdetails lauten wie folgt:

IP-Adresse des Upstream-Proxys: 192.168.1.10

WAN-IP-Adresse der Sophos-Firewall: 203.0.113.1

Wenn Sie einen Upstream-Proxy im LAN oder in der DMZ einsetzen, müssen Sie die Sophos Firewall als Proxy-Server konfigurieren.

Diagram showing upstream proxy in the LAN zone.

Sie müssen Folgendes konfigurieren:

  1. Hinzufügen des Upstream-Proxys zur Sophos Firewall.
  2. Firewall-Regel für Webfilterung und -scanning im Web-Proxy-Modus.
  3. Firewall-Regel, um Datenverkehr von internen Benutzern zum Upstream-Proxy zu ermöglichen.
  4. Source-NAT-Regel zur Maskierung des Datenverkehrs von internen Benutzern zum Upstream-Proxy.
  5. Firewall-Regel, um Datenverkehr vom Upstream-Proxy ins Internet zu ermöglichen.

Fügen Sie den Upstream-Proxy zur Sophos Firewall hinzu.

Fügen Sie den Upstream-Proxy zur Sophos Firewall hinzu und geben Sie die Anmeldeinformationen ein, falls der Proxy eine Authentifizierung erfordert.

  1. Gehe zu Routing > Upstream-Proxy.
  2. Wählen Übergeordneter Proxy.
  3. Geben Sie die IP-Adresse des Upstream-Proxys ein (Beispiel: 192.168.1.10).
  4. Geben Sie die Portnummer ein, auf der der Upstream-Proxy den Webverkehr empfängt (Beispiel: 3128).

  5. Geben Sie Benutzernamen und Passwort ein, falls der Upstream-Proxy eine Authentifizierung erfordert.

    Hier ein Beispiel:

    Example settings to add a proxy server.

  6. Klicken Anwenden.

Erstellen Sie eine Firewall-Regel zum Scannen des Webverkehrs.

Erstellen Sie eine Firewall-Regel, um den Datenverkehr zwischen internen Benutzern und dem WAN zu scannen und zuzulassen.

  1. Gehe zu Regeln und Richtlinien, klicken Firewall-Regel hinzufügen > Neue Firewall-Regel.
  2. Satz Quellzonen Zu LAN Und Wi-Fi.
  3. Satz Quellnetzwerke und Geräte Zu Any.
  4. Satz Zielzonen Zu WAN.

  5. Satz Zielnetzwerke Zu Any.

    Hier ein Beispiel:

    Firewall rule to allow traffic from LAN to WAN.

  6. Wählen HTTP-Scan und entschlüsseltes HTTPS Und Verwenden Sie einen Webproxy anstelle der DPI-Engine..

    Select scanning and web proxy in the firewall rule.

  7. Klicken Speichern.

Erstellen Sie eine Firewall-Regel, um internen Datenverkehr zum Upstream-Proxy zuzulassen.

Erstellen Sie eine Firewall-Regel, um den Datenverkehr von den internen Benutzern zum Upstream-Proxy in der LAN-Zone zu ermöglichen.

  1. Gehe zu Regeln und Richtlinien, klicken Firewall-Regel hinzufügen: und klicken Sie Neue Firewall-Regel.
  2. Satz Quellzonen Zu LAN Und Wi-Fi.
  3. Satz Quellnetzwerke und Geräte Zu Any.

  4. Satz Zielzonen Zu LAN da sich der Upstream-Proxy in der LAN-Zone befindet.

    Wenn sich der Upstream-Proxy in der DMZ befindet, stellen Sie Folgendes ein: Zielzonen zur DMZ.

  5. Satz Zielnetzwerke zur IP-Host-Adresse, die Sie für den Upstream-Proxy erstellen.

    Hier ein Beispiel:

    Firewall rule to allow LAN and Wi-Fi traffic to upstream proxy in LAN.

  6. Klicken Speichern.

Erstellen Sie eine SNAT-Regel für interne Benutzer

Erstellen Sie eine Source-NAT-Regel, um Webanfragen von internen Benutzern an den Upstream-Proxy zu maskieren.

  1. Gehe zu Regeln und Richtlinien, klicken NAT-Regeln: und klicken Sie NAT-Regel hinzufügen.
  2. Satz Originalquelle Zu Any.
  3. Satz Übersetzter Quelltext (SNAT) Zu MASQ.
  4. Satz Ursprüngliches Ziel zur IP-Host-Adresse, die Sie für den Upstream-Proxy erstellt haben.

  5. Satz Übersetztes Ziel (DNAT) Zu Original.

    Hier ein Beispiel:

    Source NAT rule to translate traffic from internal network to upstream proxy.

  6. Klicken Speichern.

Erstellen Sie eine Firewall-Regel, um den Datenverkehr vom Upstream-Proxy zum WAN zuzulassen.

Erstellen Sie eine Firewall-Regel, um den Datenverkehr vom Upstream-Proxy in der LAN-Zone zur WAN-Zone zuzulassen.

  1. Gehe zu Regeln und Richtlinien, klicken Firewall-Regel hinzufügen: und klicken Sie Neue Firewall-Regel.

  2. Satz Quellzonen Zu LAN.

    Alternativ können Sie DMZ auswählen, wenn sich der Upstream-Proxy in der DMZ befindet.

  3. Satz Quellnetzwerke und Geräte zur IP-Host-Adresse, die Sie für den Upstream-Proxy erstellen.

  4. Satz Zielzonen Zu WAN.

    Wählen Sie zusätzlich DMZ aus, wenn Sie Datenverkehr vom Upstream-Proxy zu Ihren Webservern in der DMZ zulassen möchten.

  5. Satz Zielnetzwerke Zu Any.

    Hier ein Beispiel:

    Firewall rule to allow traffic from the upstream proxy in the LAN to WAN.

  6. Stellen Sie sicher Webrichtlinie ist eingestellt auf Noneund wählen Sie nicht die Malware- und Inhaltsscan Einstellungen.

  7. Wählen Sie eine Erkennung und Verhinderung von Sicherheitslücken (IPS) Richtlinien, wenn Sie wollen.
  8. Klicken Speichern.
  9. Ziehen Sie diese Regel per Drag & Drop in die Firewall-Regelliste, um sie über Regeln mit übereinstimmenden Quell- und Zieleinstellungen und Web-Proxy-Modus zu platzieren.

Die Standard-SNAT-Regel (Default SNAT IPv4Die Regel am Ende der NAT-Regelliste maskiert die private IP-Adresse des Upstream-Proxys für den Datenverkehr zur WAN-Zone. Die Maskierung gilt für den Upstream-Proxy im LAN und in der DMZ. Um abweichende Übersetzungseinstellungen festzulegen, erstellen Sie eine SNAT-Regel.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen