Fügen Sie eine Firewall-Regel hinzu

Erstellen Sie Firewall-Regeln, um den Datenverkehr zwischen Zonen und Netzwerken zu erlauben oder zu unterbinden, und wenden Sie Sicherheitsrichtlinien und -maßnahmen an.

Erstellen Sie Regeln für IPv4- oder IPv6-Netzwerke. Legen Sie die Abgleichskriterien fest, z. B. Quelle, Ziel, Dienste und Benutzer innerhalb eines bestimmten Zeitraums. Wählen Sie die anzuwendenden Richtlinien und die Scanaktion aus. Wählen Sie die Aktion aus, die auf Synchronized Security-Endpunkten und -Servern erzwungen werden soll.

1. Gehe zu Regeln und Richtlinien > Firewall-Regeln: Protokoll auswählen IPv4 oder IPv6 und auswählen Firewall-Regel hinzufügen. Wählen Neue Firewall-Regel.
2. Regeln sind standardmäßig aktiviert. Sie können eine Regel deaktivieren, wenn Sie deren Kriterien nicht anwenden möchten.

3. Geben Sie die allgemeinen Details ein.

   Einstellung	Beschreibung
   Regelname	Geben Sie einen Namen ein.
   Regelposition	Geben Sie die Position der Regel in der Regeltabelle an: Spitze Unten Die Sophos Firewall wertet Regeln von oben nach unten aus, bis eine Übereinstimmung gefunden wird. Sobald eine Übereinstimmung gefunden wurde, werden keine weiteren Regeln mehr ausgewertet. Die Reihenfolge der Regeln kann in der Regeltabelle geändert werden.
   Regelgruppe	Wählen Sie eine Regelgruppe aus oder erstellen Sie eine. Die Firewall-Regel wird dieser Gruppe zugeordnet. Standard: Keine. Wenn Sie auswählen Automatisch: Die Firewall-Regel wird einer bestehenden Gruppe hinzugefügt, sobald die Regel mit dem Regeltyp und den Quell-Ziel-Zonen übereinstimmt.
   Aktion	Wählen Sie eine Aktion aus: Akzeptieren: Ermöglicht den Datenverkehr. Fallen: Unterbricht den Datenverkehr ohne Benachrichtigung. Wenn Sie derzeit Folgendes auswählen: Verwenden Sie die Webauthentifizierung für unbekannte Benutzer In der Firewall-Regel zeigt die Sophos Firewall eine Blockseite an, anstatt den Webverkehr stillschweigend zu verwerfen. Dieses Verhalten betrifft den Datenverkehr aus allen Zonen. Ablehnen: Unterbricht den Datenverkehr und sendet eine ICMP port unreachable Nachricht an die Quelle für UDP- und ICMP-Datenverkehr. Für TCP-Datenverkehr: TCP reset Die Nachricht wird an die Quelle gesendet. Schützen Sie sich mit Webserver-Schutz: Wählen Sie diese Option aus und geben Sie die Details zum Webserverschutz an, um den Datenverkehr der Webanwendung zu steuern.
   Vorkonfigurierte Vorlage	Wenn Sie den Webserverschutz ausgewählt haben, wählen Sie eine Vorlage aus, die angewendet werden soll: Keine: Geben Sie die Details zum Webserverschutz an. Exchange Autodiscover Exchange Outlook Anywhere Börsen allgemein Microsoft Lync Microsoft Remote Desktop Gateway 2008 und R2 Microsoft Remote Desktop Web 2008 und R2 Microsoft SharePoint 2010 und 2013
   Firewall-Verkehr protokollieren	Um Protokolle und Berichtsdaten zu generieren, die dieser Regel entsprechen, wählen Sie diese Option aus. Standardmäßig werden Protokolle auf der Firewall gespeichert. Um einen Syslog-Server hinzuzufügen und Protokolle auf dem Server zu speichern, wählen Sie diese Option aus und gehen Sie zu Systemdienste > Protokolleinstellungen. Sehen ProtokolleinstellungenDie Um Protokolle an Sophos Central zu senden, müssen Sie diese Option auswählen und zu folgendem Menüpunkt gehen: Sophos Central Seite und einschalten Sophos Central-Dienste. Sehen Sophos Central-Dienste im ÜberblickDie Die Firewall protokolliert Sitzungen, wenn eine Verbindung aufgrund eines „Destroy“-Ereignisses beendet wird. Sie protokolliert keine Sitzungen, wenn Verbindungen ohne ein „Destroy“-Ereignis beendet werden, beispielsweise durch den Verlust der Internetverbindung.

   Notiz

   Überprüfen Sie die Regelpositionen, nachdem eine Firewall-Regel automatisch oder manuell erstellt wurde, um sicherzustellen, dass die beabsichtigte Regel den Verkehrskriterien entspricht.

   Automatisch erstellte Firewall-Regeln, beispielsweise für E-Mail-MTA, IPsec-Verbindungen und Hotspots, werden oben in der Firewall-Regelliste platziert und zuerst ausgewertet. Wenn Sie später manuell neue Firewall-Regeln erstellen, … Regelposition eingestellt auf Spitze: Diese Regeln werden an den Anfang der Regeltabelle gesetzt und verändern dadurch die Position der Regeln. Die Richtlinien und Maßnahmen der obersten Regel gelten, was zu ungeplanten Ergebnissen führen kann, beispielsweise zu Problemen bei der Postzustellung oder zum Nichtaufbau von Tunneln, wenn sich die Kriterien für die neuen und bestehenden Regeln überschneiden.

4. Wählen Sie die Kriterien für die Quellenübereinstimmung aus.

   Einstellung	Beschreibung
   Quellzonen	Wählen Sie die Zonen aus, aus denen der Verkehr stammt.
   Quellnetzwerke und Geräte	Wählen Sie die Quellnetzwerke und -geräte aus oder erstellen Sie neue.
   Während der geplanten Zeit	Wählen Sie einen Zeitplan aus oder erstellen Sie einen. Die Sophos Firewall wendet die Regelkriterien während des von Ihnen ausgewählten Zeitraums und Wochentags an.

5. Geben Sie die Kriterien für die Übereinstimmung von Zielort und Service ein.

   Einstellung	Beschreibung
   Zielzonen	Wählen Sie die Zielzonen aus, in denen der Verkehr endet.
   Zielnetzwerke	Wählen Sie die Zielnetzwerke aus oder erstellen Sie neue.
   Dienstleistungen	Wählen Sie die Dienste aus oder erstellen Sie einen neuen Dienst. Dienste sind eine Kombination aus Protokollen und Ports.

6. Legen Sie die Kriterien für die Benutzeridentität fest.

   Einstellung	Beschreibung
   Bekannte Benutzer abgleichen	Wählen Sie diese Option, um die Benutzeridentität als Abgleichkriterium hinzuzufügen.
   Verwenden Sie die Webauthentifizierung für unbekannte Benutzer	Wählen Sie diese Option, um unbekannte Benutzer zu authentifizieren, die versuchen, auf das Web zuzugreifen. Dies sind Benutzer, die sich an ihren Endgeräten angemeldet haben, aber nicht authentifiziert wurden. Um die Webauthentifizierungseinstellungen festzulegen, gehen Sie zu Authentifizierung > Webauthentifizierung: Sie können AD SSO (Kerberos und NTLM) oder Captive-Portal-Authentifizierung angeben. Um den Zugriff auf AD SSO und das Captive Portal aus den erforderlichen Zonen zu aktivieren, gehen Sie zu Verwaltung > Gerätezugriff.
   Benutzer oder Gruppen	Wählen Sie die Benutzer und Gruppen aus. Die Regel gilt dann nur für Datenverkehr, der von den angegebenen Benutzern und Gruppen stammt.
   Diese Benutzeraktivität von der Datenerfassung ausschließen	Wählen Sie diese Option, um den Datenverkehr der angegebenen Benutzer von der Datenabrechnung auszuschließen. Standardmäßig fügt die Sophos Firewall den Datenverkehr, der den Regelkriterien entspricht, dem Datentransfer einzelner Benutzer hinzu. Verwenden Sie diese Option, wenn Sie für die angegebenen Benutzer kein Datennutzungslimit festlegen möchten.

7. Wählen Ausnahme hinzufügen Um Ausnahmen zur Regel hinzuzufügen, müssen Sie die folgenden Objekte von der Sophos Firewall als nicht den angegebenen Kriterien entsprechend kennzeichnen:

   • Quellzonen
   • Quellnetzwerke und Geräte
   • Zielzonen
   • Zielnetzwerke
   • Dienstleistungen

8. Wählen Verknüpfte NAT-Regel erstellen Wenn Sie die Adressübersetzung für die Quellnetzwerke und -geräte dieser Regel erzwingen möchten.

   Verknüpfte NAT-Regeln sind Quell-NAT-Regeln und werden in der NAT-Regeltabelle aufgeführt. Sie können anhand der Firewall-Regel-ID und des Namens identifiziert werden.

   In einer verknüpften NAT-Regel können Sie lediglich die übersetzte Quelle und die schnittstellenspezifische Quellübersetzung ändern. Ansonsten wendet die Sophos Firewall die Übereinstimmungskriterien der verknüpften Firewall-Regel an, einschließlich Benutzer und Gruppen.

   Warnung

   Verknüpfte NAT-Regeln gelten nur für den Datenverkehr, der durch die verknüpfte Firewall-Regel definiert ist. Wenn jedoch die Kriterien einer übergeordneten NAT-Regel mit dem Datenverkehr übereinstimmen, wird die übergeordnete Regel angewendet. Die Sophos Firewall wertet keine weiteren Regeln aus, sobald eine Übereinstimmung gefunden wurde.

9. Wählen Webfilterung um die Einstellungen festzulegen.

   Wählen Sie die Webrichtlinie, die Malware- und Inhaltsprüfung sowie die Filtereinstellungen aus.

   Malware- und Inhaltsprüfung: Die in den Einstellungen angegebenen Werte Web > Allgemeine Einstellungen anwenden.

   Filterung: Wählen Sie die Einstellungen zum Filtern des Webverkehrs über gängige Webports. Wenn Sie die Webproxy-Filterung aktivieren möchten, müssen Sie zuerst eine Webrichtlinie oder eine Malware- und Inhaltsprüfung für HTTP und entschlüsseltes HTTPS auswählen.

   Die Sophos Firewall erkennt Mikroanwendungen wie Dropbox und Gmail, die Anhänge hoch- und herunterladen, anhand ihrer URLs. Wenn Sie in der Firewall-Regel eine Anwendungsfilterrichtlinie für diese Mikroanwendungen festlegen und die zugehörige SSL/TLS-Prüfregel auf Entschlüsselung einstellen, identifiziert die DPI-Engine die Mikroanwendungen anhand der entschlüsselten URL. Dies gilt auch dann, wenn Sie die entsprechende SSL/TLS-Prüfregel auf Entschlüsselung setzen. Webrichtlinie Zu Keiner Deaktivieren Sie außerdem die Malware-Prüfung und den erweiterten Bedrohungsschutz. Die Sophos Firewall führt die in der Anwendungsfilterrichtlinie festgelegte Aktion aus.

   Die Sophos Firewall überspringt die Entschlüsselung, die Malware- und Inhaltsprüfung, die Zero-Day-Schutzanalyse und die Richtlinienprüfungen für die entsprechenden Ausnahmen, die Sie angeben. Web > Ausnahmen: Ausnahmen gelten sowohl für den DPI- als auch für den Proxy-Modus. Im DPI-Modus gelten Webrichtlinien (einschließlich Ausnahmen) jedoch nur, wenn eine der folgenden Bedingungen zutrifft:

   • Eine Webrichtlinie wurde festgelegt.
   • Die Malware- und Inhaltsprüfung ist aktiviert.
   • ATP wird aktiviert.

   Wenn Sie Web-Proxy-Filterung auf Bridge-Schnittstellen ohne IP-Adresse einrichten, wird der Datenverkehr verworfen.

   Einstellung	Beschreibung
   Webrichtlinie	Wählen Sie eine Webrichtlinie aus oder erstellen Sie eine.
   Webkategorienbasierte Traffic-Steuerung anwenden	Wählen Sie diese Option, um die für die Webkategorien innerhalb der Richtlinie festgelegten Bandbreiteneinstellungen anzuwenden.
   Block QUIC-Protokoll	Blockiert das QUIC-Protokoll, indem ausgehende UDP-Pakete an die Ports 80 und 443 für Datenverkehr, der den Kriterien der Regel entspricht, verworfen werden. Diese Option ist standardmäßig aktiviert, wenn Sie eine Webrichtlinie auswählen oder die Überprüfung auf HTTP und entschlüsseltes HTTPS aktivieren. Chrome verwendet das QUIC-Protokoll standardmäßig, um Sitzungen mit Google-Diensten herzustellen. QUIC-Datenverkehr kann nicht gescannt werden und umgeht Webfilter.
   HTTP-Scan und entschlüsseltes HTTPS	Diese Option wählen, um den Webverkehr auf Schadsoftware zu überprüfen. Diese Option aktiviert die HTTPS-Entschlüsselung nicht. Um sicherzustellen, dass der HTTPS-Datenverkehr für den Scan entschlüsselt wird, verwenden Sie SSL/TLS-Prüfregeln im DPI-Modus oder auswählen HTTPS-Verschlüsselung während der Webproxy-Filterung.
   Zero-Day-Schutz verwenden	Wenn Sie die Prüfung auf HTTP und die Entschlüsselung von HTTPS ausgewählt haben, können Sie festlegen, ob heruntergeladene Dateien über HTTP oder HTTPS zur Zero-Day-Schutzanalyse gesendet werden sollen. Der Zero-Day-Schutz schützt Ihr Netzwerk vor Zero-Day-Bedrohungen (unbekannten und unveröffentlichten Sicherheitslücken).
   FTP-Server auf Schadsoftware scannen	Diese Option wählen, um den FTP-Datenverkehr auf Schadsoftware zu überprüfen.
   Verwenden Sie einen Webproxy anstelle der DPI-Engine.	Wählen Sie diese Option, um den Webproxy nur auf den Ports 80 (HTTP) und 443 (HTTPS) zu filtern. Die DPI-Engine filtert weiterhin HTTP- und SSL/TLS-Datenverkehr auf anderen Ports. Der Proxy-Modus ist erforderlich, um die SafeSearch- und YouTube-Beschränkungen durchzusetzen, Anmeldungen bei Google Apps (z. B. Gmail, Drive) auf bestimmte Domänenkonten zu beschränken, den Pharming-Schutz und das Web-Content-Caching zu aktivieren sowie eine Verbindung zu einem übergeordneten Proxy herzustellen. Um die DPI-Engine für die Webfilterung zu verwenden, deaktivieren Sie das Kontrollkästchen. Die DPI-Engine filtert HTTP- und SSL/TLS-Datenverkehr auf allen Ports. In dieser Einstellung verwendet die Sophos Firewall den Direktmodus. Sie wendet SSL/TLS-Prüfregeln an, um verschlüsselten Datenverkehr anhand der Regelkriterien und Entschlüsselungsprofile abzufangen, zu entschlüsseln und zu untersuchen. Um sicherzustellen, dass SSL/TLS-Prüfregeln aktiviert sind und um SSL/TLS-Prüfregeln zu erstellen, gehen Sie zu Regeln und Richtlinien > SSL/TLS-Prüfregeln.
   HTTPS-Verschlüsselung während der Webproxy-Filterung	Durch Aktivieren dieser Option wird auch der HTTPS-Datenverkehr im direkten Proxy-Modus entschlüsselt.

   Tipp

   Sie können eine Firewallregel mit Webproxyfilterung für vorkonfigurierte FQDN-Hostgruppen erstellen, um SafeSearch und YouTube-Beschränkungen durchzusetzen sowie Anmeldungen bei Google Workspace-Anwendungen einzuschränken. Informationen zum Erstellen dieser Firewallregel finden Sie in den Lerninhalten auf dieser Seite.

   Notiz

   Sie können den direkten Proxy-Modus auch dann nutzen, wenn Sie nicht „Webproxy anstelle der DPI-Engine verwenden“ auswählen. Um den direkten Proxy-Modus zu verwenden, müssen Sie die Clients so konfigurieren, dass sie die Sophos Firewall in ihren Proxy-Einstellungen verwenden. Weitere Informationen zur Verwendung der Sophos Firewall als direkter Webproxy finden Sie unter [Link einfügen]. Web-Proxy-Konfiguration In Web > Allgemeine Einstellungen.

10. Wählen Konfigurieren Sie den synchronisierten Sicherheits-Heartbeat. Hier können Sie die Heartbeat-Einstellungen festlegen. Durch die Angabe dieser Steuerelemente können Sie Endgeräte und Server in Ihrem Netzwerk mithilfe der Sophos Firewall schützen.

    Mit Synchronized Security konfigurierte Endgeräte und Dienste senden in vordefinierten Intervallen ein Heartbeat-Signal an die Sophos Firewall, das Informationen über ihren Status liefert. Endgeräte, die initial ein Heartbeat-Signal an die Firewall senden und später als nicht mehr vorhanden gemeldet werden, werden gemäß der konfigurierten Richtlinie zugelassen oder blockiert. Endgeräte, die initial kein Heartbeat-Signal an die Firewall gesendet haben, erhalten Zugriff, es sei denn, Sie wählen beides aus. Clients ohne Herzschlag blockieren Und Blockanfrage an Ziel ohne Heartbeat. Sehen Sicherheitsherzschlag.

    Einstellung	Beschreibung
    Mindestquelle HB zulässig	Wählen Sie den minimalen Gesundheitszustand, den ein Gerät, von dem der Datenverkehr ausgeht, aufrechterhalten muss. Sendet ein Gerät nicht den minimalen Status (Heartbeat), erhält sein Benutzer nicht die in dieser Regel definierten Zugriffsrechte. Grün: Nur Endpunkte, die diesen Gesundheitsstatus senden, haben Zugriff. Gelb: Nur Endpunkte, die einen grünen oder gelben Gesundheitsstatus senden, haben Zugriff. Keine Einschränkung: Alle Endpunkte haben Zugriff, auch solche, die keinen Herzschlag senden oder einen roten Status senden.
    Clients ohne Herzschlag blockieren	Wählen Sie diese Option aus, um die Geräte zu blockieren, die kein Lebenszeichen senden.
    Mindestziel HB zulässig	Wählen Sie den minimalen Gesundheitszustand, den ein Gerät, das Datenverkehr empfängt, aufrechterhalten muss. Sendet ein Gerät nicht den minimalen Status (Heartbeat), erhält sein Benutzer nicht den in dieser Regel definierten Zugriff. Grün: Nur Endpunkte, die diesen Gesundheitsstatus senden, haben Zugriff. Gelb: Nur Endpunkte, die einen grünen oder gelben Gesundheitsstatus senden, haben Zugriff. Keine Einschränkung: Alle Endpunkte haben Zugriff, auch solche, die keinen Herzschlag senden oder einen roten Status senden. Sie können die Ziel-Heartbeat-Steuerung auf Geräte im internen Netzwerk anwenden, die sich nicht in der WAN-Zone befinden.
    Blockanfrage an Ziel ohne Heartbeat	Wählen Sie diese Option aus, um die Geräte zu blockieren, die kein Lebenszeichen senden.

    Notiz

    Wenn Sie auswählen Clients ohne Herzschlag blockieren und fügen Sie eine Webausnahme für Richtlinienprüfungen hinzu unter Web > Ausnahmen: Webanfragen werden nicht blockiert.

    Notiz

    Bei Verwendung der synchronisierten Benutzer-ID-Authentifizierung sendet Heartbeat An- und Abmeldeanfragen an den konfigurierten Authentifizierungsserver. Wenn ein Endpunkt in den Ruhemodus wechselt, wird der Benutzer abgemeldet und der Datenverkehr entsprechend Ihren Regeln zugelassen oder blockiert. Der Datenverkehr wird wieder aufgenommen, sobald sich der Benutzer erneut anmeldet. Siehe Synchronisierte Benutzer-ID-Authentifizierung.

11. Wählen Sie die Einstellungen für die übrigen Sicherheitsfunktionen. Sie können Anwendungssteuerungs-, IPS- und Datenverkehrsformungsrichtlinien auswählen oder neue erstellen.

    Einstellung	Beschreibung
    Anwendungen identifizieren und steuern (App-Steuerung)	Wählen Sie eine Anwendungsfilterrichtlinie aus.
    Anwendungsbasierte Verkehrssteuerungsrichtlinie anwenden	Wählen Sie diese Option, um die für die Anwendungen innerhalb der Anwendungskategorie festgelegten Bandbreiteneinstellungen anzuwenden.
    Erkennung und Verhinderung von Sicherheitslücken (IPS)	Wählen Sie eine IPS-Richtlinie aus.
    Verkehrsführung	Wählen Sie eine Traffic-Shaping-Richtlinie, um eine Bandbreitengarantie oder -begrenzung anzuwenden. Wenn Sie „Bekannte Benutzer abgleichen“ ausgewählt haben, wird die Traffic-Shaping-Richtlinie der angegebenen Benutzer angewendet. Falls keine Benutzerrichtlinie vorhanden ist, wird die Gruppenrichtlinie angewendet.
    DSCP-Markierung	Wählen Sie die DSCP-Markierungsstufe, um Pakete mit Priorität zu kennzeichnen. Weitere Informationen finden Sie unter DSCP-WertDie Expedited Forwarding (EF): Prioritätswarteschlange, die geringe Verzögerung und geringen Paketverlust gewährleistet. Geeignet für Echtzeitdienste. Zugesicherte Weiterleitung (AF): Garantierte Zustellung, jedoch mit Paketverlust bei Überlastung. Weist Paketen eine höhere Priorität als Best-Effort zu. Klassenselektor (CS): Rückwärtskompatibilität mit Netzwerkgeräten, die die IP-Priorität bei der Dienstart verwenden.

12. Um E-Mail-Inhalte zu scannen, wählen Sie die Protokolle IMAP, IMAPS, POP3, POP3S, SMTP und SMTPS aus.

    Wenn Sie hier ein Protokoll auswählen und dessen Standardports nicht hinzugefügt haben Dienstleistungen in dieser Regel auswählen Ports hinzufügen: Die Standardports für die ausgewählten Protokolle werden den Diensten hinzugefügt.

13. Klicken Speichern.

Weitere Ressourcen

• Sophos Central

• Zeitplan

• DSCP-Wert

• NAT-Regeln

• SSL/TLS-Prüfregeln

• Allgemeine Einstellungen

• Datenverkehr steuern, der Web-Proxy-Filterung erfordert