sophos xg firewall · 2019. 3. 22. · kapitel 1 1 einleitung sophos xg firewall verbindet das...
TRANSCRIPT
Sophos XG Firewall
HilfeProduktversion: 17
InhaltKapitel 1- Einleitung................................................................................................................................. 1
Varianten........................................................................................................................................1Verwaltungsoberflächen................................................................................................................ 2Administratorzugriff........................................................................................................................ 2
Kapitel 2- Die Web-Admin-Oberfläche verwenden.................................................................................. 4Unterstützte Browser..................................................................................................................... 5Menüs............................................................................................................................................ 6Seiten.............................................................................................................................................6Liste der Navigationselemente...................................................................................................... 6
Kapitel 3- Kontrollzentrum........................................................................................................................7Kapitel 4- Aktuelle Aktivitäten................................................................................................................ 16
Live-Benutzer...............................................................................................................................16Live-Verbindungen.......................................................................................................................18Live-Verbindungen IPv6.............................................................................................................. 20Live-Verbindungsinformationen anzeigen................................................................................... 21IPsec-Verbindungen.................................................................................................................... 25Remote-Benutzer.........................................................................................................................25
Kapitel 5- Berichte..................................................................................................................................27Dashboards..................................................................................................................................27Anwendungen & Web................................................................................................................. 28Netzwerk & Bedrohungen........................................................................................................... 28VPN..............................................................................................................................................29E-Mail...........................................................................................................................................29Compliance.................................................................................................................................. 29Eigene..........................................................................................................................................30Lesezeichen.................................................................................................................................31Berichtseinstellungen...................................................................................................................32
Kapitel 6- Diagnose................................................................................................................................37Tools............................................................................................................................................ 37Systemdiagramme....................................................................................................................... 40URL-Kategoriensuche..................................................................................................................46Paketerfassung............................................................................................................................ 46Verbindungsliste.......................................................................................................................... 52Support-Zugriff............................................................................................................................. 54
Kapitel 7- Firewall.................................................................................................................................. 56Benutzer-/Netzwerkregel............................................................................................................. 61Geschäftsanwendungsregel........................................................................................................ 74
Kapitel 8- Angriffsvorbeugung..............................................................................................................132DoS-Angriffe.............................................................................................................................. 132IPS-Richtlinien........................................................................................................................... 132Eigene IPS-Signaturen.............................................................................................................. 135DoS-& Täuschungsschutz......................................................................................................... 136
Kapitel 9- Internet.................................................................................................................................142Richtlinien.................................................................................................................................. 142Benutzeraktivitäten.................................................................................................................... 147Kategorien..................................................................................................................................149URL-Gruppen.............................................................................................................................150Ausnahmen................................................................................................................................151Allgemeine Einstellungen.......................................................................................................... 153Dateitypen..................................................................................................................................157Surfkontingente..........................................................................................................................158Benutzerbenachrichtigungen..................................................................................................... 159
(2019/03/22)
Inhaltsfilter..................................................................................................................................160Webschutz verbessern.............................................................................................................. 160Webschutz anpassen................................................................................................................ 161Zugriff auf Websites kontrollieren............................................................................................. 164Inhalt mithilfe einer Liste von Begriffen blockieren................................................................... 168
Kapitel 10- Anwendungen....................................................................................................................171Anwendungsfilter....................................................................................................................... 171Synchronized Application Control............................................................................................. 173Cloud-Anwendungen................................................................................................................. 175Anwendungsliste........................................................................................................................176Traffic-Shaping-Standard...........................................................................................................176Hochrisikoanwendungen blockieren.......................................................................................... 177
Kapitel 11- WLAN................................................................................................................................ 181WLAN-Einstellungen..................................................................................................................181WLAN-Client-Liste..................................................................................................................... 182WLAN-Netzwerke...................................................................................................................... 182Access Points............................................................................................................................ 186Suche nach unautorisierten APs...............................................................................................192Access-Point-Gruppen...............................................................................................................192Mesh-Netzwerke........................................................................................................................ 193Hotspots.....................................................................................................................................196Hotspot-Einstellungen................................................................................................................202Hotspot-Voucher-Definition........................................................................................................203Mesh-Netzwerk einrichten......................................................................................................... 204WLAN-Netzwerk als separate Zone einsetzen......................................................................... 205WLAN-Netzwerk als Bridge in ein Access-Point-LAN einrichten.............................................. 208Hotspot mit einer eigenen Anmeldeseite einrichten..................................................................210Gastzugang mithilfe eines Hotspot-Vouchers bieten................................................................ 211
Kapitel 12- E-Mail.................................................................................................................................213MTA-Modus............................................................................................................................... 214Legacy-Modus........................................................................................................................... 242
Kapitel 13- Webserver......................................................................................................................... 270Webserver..................................................................................................................................270Schutzrichtlinien.........................................................................................................................271Authentifizierungsrichtlinien....................................................................................................... 276Authentifizierungsvorlagen.........................................................................................................278Allgemeine Einstellungen.......................................................................................................... 278Einen Webserver vor Angriffen schützen..................................................................................279
Kapitel 14- Komplexe Bedrohungen.................................................................................................... 284Schutz vor komplexen Bedrohungen........................................................................................ 284Sandstorm-Aktivität....................................................................................................................284Sandstorm-Einstellungen...........................................................................................................285
Kapitel 15- Zentrale Synchronisierung.................................................................................................287Kapitel 16- VPN................................................................................................................................... 289
IPsec-Richtlinien........................................................................................................................ 289IPsec-Verbindungen.................................................................................................................. 294VPN-Einstellungen.....................................................................................................................299SSL-VPN (Fernzugriff)...............................................................................................................301SSL-VPN (Site-to-Site).............................................................................................................. 302Sophos Connect Client............................................................................................................. 304L2TP (Fernzugriff)..................................................................................................................... 306PPTP (Fernzugriff).....................................................................................................................309Clientloser Zugriff...................................................................................................................... 310Lesezeichen...............................................................................................................................311Lesezeichengruppen..................................................................................................................313Remote-Zugriff SSL-VPN erstellen........................................................................................... 313
(2019/03/22)
Site-to-Site-SSL-VPN erstellen..................................................................................................319Site-to-Site IPsec-VPN erstellen............................................................................................... 323
Kapitel 17- Netzwerk............................................................................................................................331Schnittstellen..............................................................................................................................331Zonen.........................................................................................................................................353WAN-Link-Manager................................................................................................................... 354DNS........................................................................................................................................... 356DHCP.........................................................................................................................................359IPv6-Router-Advertisement........................................................................................................363Mobiles WAN.............................................................................................................................366IP-Tunnel................................................................................................................................... 367Nachbarn (ARP-NDP)............................................................................................................... 369Dynamisches DNS.................................................................................................................... 371Site-to-Site RED-Tunnel erstellen............................................................................................. 372Ein RED manuell einrichten...................................................................................................... 374
Kapitel 18- Routing.............................................................................................................................. 377Statisches Routing.....................................................................................................................377Richtlinienrouting....................................................................................................................... 380Gateways................................................................................................................................... 382BGP........................................................................................................................................... 384OSPF......................................................................................................................................... 385Information................................................................................................................................. 389Upstream-Proxy......................................................................................................................... 401Multicast (PIM-SM).................................................................................................................... 402RIP............................................................................................................................................. 403
Kapitel 19- Authentifizierung................................................................................................................ 407Server........................................................................................................................................ 407Dienste.......................................................................................................................................421Gruppen..................................................................................................................................... 426Benutzer.....................................................................................................................................429Einmalkennwort......................................................................................................................... 434Captive-Portal............................................................................................................................ 438Gastbenutzer............................................................................................................................. 439Clientlose Benutzer................................................................................................................... 443Gastbenutzer-Einstellungen.......................................................................................................445Client-Downloads.......................................................................................................................448STAS..........................................................................................................................................449Zwei-Faktor-Authentifizierung konfigurieren.............................................................................. 452OTP-Tokens manuell ausstellen............................................................................................... 454Active-Directory-Authentifizierung konfigurieren........................................................................456LDAP-Authentifizierung konfigurieren........................................................................................459RADIUS-Authentifizierung konfigurieren................................................................................... 461Transparente Authentifizierung mithilfe von STAS konfigurieren..............................................463Chromebook Single Sign-On konfigurieren...............................................................................469
Kapitel 20- Systemdienste................................................................................................................... 473Hochverfügbarkeit......................................................................................................................473Traffic-Shaping-Einstellungen....................................................................................................482RED........................................................................................................................................... 483Malware Protection....................................................................................................................484Protokolleinstellungen................................................................................................................484Datenanonymisierung................................................................................................................ 487Traffic Shaping.......................................................................................................................... 487Dienste.......................................................................................................................................489
Kapitel 21- Profile.................................................................................................................................490Zeitplan...................................................................................................................................... 490Zugriffszeit................................................................................................................................. 491
(2019/03/22)
Surfkontingente..........................................................................................................................492Netzwerkdatenkontingente........................................................................................................ 494NAT............................................................................................................................................495Appliance-Zugriff........................................................................................................................496
Kapitel 22- Hosts und Dienste.............................................................................................................498IP-Host....................................................................................................................................... 498IP-Hostgruppe............................................................................................................................499MAC-Host.................................................................................................................................. 500FQDN-Host................................................................................................................................ 501FQDN-Hostgruppe..................................................................................................................... 502Ländergruppe.............................................................................................................................502Dienste.......................................................................................................................................503Dienstgruppe..............................................................................................................................504
Kapitel 23- Verwaltung.........................................................................................................................506Lizenzen.....................................................................................................................................506Appliance-Zugriff........................................................................................................................508Admin-Einstellungen.................................................................................................................. 511Zentrale Verwaltung.................................................................................................................. 512Zeit............................................................................................................................................. 514Benachrichtigungs-einstellungen............................................................................................... 514Netflow....................................................................................................................................... 516Meldungen................................................................................................................................. 517SNMP.........................................................................................................................................517
Kapitel 24- Sicherung & Firmware.......................................................................................................521Sicherung & Firmware...............................................................................................................521API............................................................................................................................................. 523Import/Export............................................................................................................................. 524Firmware.................................................................................................................................... 525Pattern-Updates.........................................................................................................................528
Kapitel 25- Zertifikate........................................................................................................................... 530Zertifikate................................................................................................................................... 530Zertifizierungsstelle (CA)........................................................................................................... 533Zertifikatsperrlisten.....................................................................................................................535
Anhang A- Protokolle........................................................................................................................... 536Protokoll-ID................................................................................................................................ 536Protokollfelder............................................................................................................................ 541Benachrichtigungen................................................................................................................... 553Protokollansicht..........................................................................................................................569
Anhang B- Richtlinientest.....................................................................................................................571Anhang C- IPS-Syntax für eigene Patterns.........................................................................................572Anhang D- Standard-Dateityp-Kategorien........................................................................................... 581Anhang E- USB-Kompatibilitätsliste.....................................................................................................586Anhang F- Kompatibilität mit SFMOS 15.01.0.....................................................................................638Anhang G- Datenschutzhinweis...........................................................................................................639
(2019/03/22)
Kapitel 1
1 EinleitungSophos XG Firewall verbindet das Beste der Technologien von Astaro und Cyberoam. So erreichtsie ein bisher noch nie da gewesenes Niveau an Innovation für Firewalls der nächsten Generation.
Mit einer komplett neuen Benutzeroberfläche, der neuen Sophos Security Heartbeat-Technologieund einem leistungsstarken, neuen und vereinheitlichen Richtlinienmodell führt Sophos Firewall eineReihe wichtiger Innovationen ein, die Einfachheit, Schutz und Leistung auf eine ganz neue Ebeneheben.
XG Firewall Läuft auf jeder vorhandenen Sophos SG-Serie- und XG-Serie-Hardware sowieCyberoam NG-Serie-Hardware und ist für eine Vielzahl an virtuellen Plattformen oder als Software-Appliance verfügbar.
Über das neue Kontrollzentrum von XG Firewall behalten Sie Ihr Netzwerk, Ihre Benutzer undIhre Anwendungen immer im Blick. Außerdem erhalten Sie umfangreiches On-Box-Reporting undSophos iView, wenn Sie zentrale Berichtsfunktionen für mehrere Firewalls benötigen.
Die Funktionen im Überblick
• Kontrollzentrum, das alle wichtigen Informationen anzeigt und Aufschlüsselung bis ins Detailanbietet.
• Intuitive Navigation, die nicht im Weg ist, mit hilfreichen Erinnerungen und Anleitung.
• Alle Arten von Richtlinien werden gemeinsam in einer Ansicht verwaltet.
• Richtlinien-Tools mit innovativen neuen Funktionen wie Vorlagen, Beschreibungen in natürlicherSprache und Benutzeridentitäten.
• Benutzer-Bedrohungsgrad (User Threat Quotient) ermittelt das Benutzerrisiko auf Basis desBenutzerverhaltens in der Vergangenheit.
• Erkennungsmodus für noch einfachere Evaluierungen und Proofs of Concept.
• Für FastPath optimiertes Scannen
Klicken Sie hier, um die Liste aller Funktionen zu sehen, die von XG Firewall unterstützt werden.
1.1 VariantenDieser Abschnitt liefert Informationen zu verschiedenen Varianten, die für XG Firewall zur Verfügungstehen.
Sophos ist in folgenden Varianten erhältlich:
• Physikalische Appliances
• Virtuelle Appliances
• Software
XG Firewall
Physikalische Appliances
Sophos bietet verschiedene physikalische Appliances an, die auf die Erfordernisse aller Unternehmenzugeschnitten sind, d.h. von kleinen Unternehmen über Privatbenutzer bis zu großen Unternehmen.
Virtuelle Appliances
Virtual Network Security-Appliances können als Next-Generation-Firewalls oder UTMs bereitgestelltwerden und bieten branchenführende Netzwerksicherheit für virtuelle Datencenter, „Security-in-a-Box“ Setup für MSSPs/Unternehmen und „Office-in-a-Box“ Setup. Durch die Bereitstellungumfassender Sicherheitsfunktionen in seinen Hardware-Sicherheits-Appliances (in virtualisierterForm) ermöglichen diese virtuellen Appliances identitätsbasierte Layer -8-Sicherheit auf einereinzelnen virtuellen Appliance, die so hoch ist wie bei physikalischen Netzwerken.
Sophos bietet Unternehmen mit seinen virtuellen Appliances für die Netzwerksicherheit(Next-Generation Firewalls/UTMs), seinem virtuellen Sophos Firewall Manager (SFM) für diezentralisierte Verwaltung und der Sophos iView Software für die zentralisierte Protokollierung undBerichterstellung eine umfassende virtuelle Sicherheitslösung.
1.2 VerwaltungsoberflächenDer Zugriff auf XG Firewall und deren Verwaltung sind möglich über:
• Web-Admin-Oberfläche: Die Web-Admin-Oberfläche ist eine webbasierte Anwendung, die einAdministrator zur Konfiguration, Überwachung und Verwaltung von XG Firewall verwenden kann.
• Befehlszeile: Die Befehlszeile (command line interface (CLI)) bietet verschiedene Tools zurVerwaltung, Überwachung und Steuerung bestimmter Komponenten von XG Firewall.
• Sophos Firewall Manager (SFM): Verteilte XG Firewall Appliances können zentral über eineneinzelnen SFM verwaltet werden.
1.3 AdministratorzugriffDieser Abschnitt enthält Informationen für den Zugriff auf XG Firewall.
Ein Administrator kann sich über HTTPS, telnet oder SSH mit XG Firewall verbinden und daraufzugreifen. Abhängig von dem für den Zugriff verwendeten Profil für das Administrator-Anmeldekontokann ein Administrator auf verschiedene Verwaltungsoberflächen und Konfigurationsseiten der Web-Admin-Oberfläche zugreifen.
XG Firewall wird mit einem Administratorkonto und vier Administratorprofilen ausgeliefert.
Administratortyp Zugangsdaten Konsolen-Zugriff Berechtigungen
Superadministrator admin/admin Web-Admin-Oberfläche
CLI-Konsole
Volle Zugriffsrechte für beide Konsolen.Lese- und Schreibberechtigung für diegesamte Konfiguration, die über eine derKonsolen vorgenommen wird.
2 Copyright © 2018 Sophos Limited
XG Firewall
HinweisSie sollten das Kennwort des Benutzers sofort nach der Bereitstellung ändern.
Web-Admin-Oberfläche
Die Web-Admin-Oberfläche ist eine webbasierte Anwendung, die ein Administrator zurKonfiguration, Überwachung und Verwaltung von XG Firewall verwenden kann.
Sie können sich von jedem Verwaltungscomputer über den Webbrowser mithilfe einer HTTPS-Verbindung mit der Web-Admin-Oberfläche von XG Firewall verbinden und darauf zugreifen:
1. HTTPS-Anmeldung: https://<LAN-IP-Adresse von XG Firewall>
Kommandozeile (Command Line Interface, CLI)
Die Kommandozeile bietet verschiedene Tools für die Verwaltung, Überwachung und Steuerungbestimmter Komponenten von XG Firewall. Der Fernzugriff auf XG Firewall kann über folgendeVerbindungen erfolgen:
1. Utility für Remote-Login – TELNET-Login
2. SSH-Client (Serielle Konsole)
Über die CLI-Konsole lassen sich Netzwerkprobleme detailliert diagnostizieren und beheben.
Sophos Firewall Manager (SFM)
Verteilte XG Firewall Appliances können zentral über einen einzelnes Sophos Firewall Manager(SFM) Gerät verwaltet werden, das ein hohes Maß an Sicherheit für MSSPs und großeUnternehmen bietet. Zur Überwachung und Verwaltung von XG Firewall Appliances über SFMmüssen Sie:
1. Konfigurieren Sie SFM in XG Firewall.
2. Integrieren Sie XG Firewall in SFM.
Sobald Sie die XG Firewall Appliances hinzugefügt und in Gruppen organisiert haben, könnenSie einzelne XG Firewall Appliances oder Gruppen von XG Firewall Appliances konfigurieren.
Copyright © 2018 Sophos Limited 3
XG Firewall
Kapitel 2
2 Die Web-Admin-Oberfläche verwendenSophos Firewall OS setzt für die Konfiguration und Verwaltung der Appliance auf eine Web-2.0-basierte, benutzerfreundliche grafische Oberfläche, die als „Web-Admin-Oberfläche“ bezeichnetwird.
Sie können über jede der Schnittstellen per HTTPS auf die browser-basierte Verwaltung derAppliance zugreifen. Wenn XG Firewall erstmals verbunden und eingeschaltet wird, hat siedie folgende Zugriffskonfiguration für den HTTPS-Dienst, um auf die Web-Admin-Oberflächezuzugreifen.
Dienste Schnittstelle/Zonen Standardport
HTTPS WAN TCP-Port 4444
Der Administrator kann die Standardports für den HTTPS-Dienst unter Verwaltung > Admin-Einstellungen ändern.
Web-Admin-Oberfläche – Sprache
Die Web-Admin-Oberfläche unterstützt mehrere Sprachen, als Standard ist jedoch Englischfestgelegt. Neben Englisch werden auch Chinesisch (vereinfacht), Chinesisch (traditionell), Hindi,Französisch, Deutsch, Italienisch, Koreanisch und Portugiesisch (Brasilien) unterstützt. DerAdministrator kann bei der Anmeldung die gewünschte Sprache festlegen.
Die folgenden Elemente auf der Web-Admin-Oberfläche werden in der konfigurierten Spracheangezeigt:
• Inhalte des Kontrollzentrums
• Navigation
• Bildschirmelemente einschließlich Feld- und Schaltflächenbezeichnungen sowie Tipps
• Fehlermeldungen
Der Administrator kann außerdem eine Beschreibung für verschiedene Richtlinien, Dienste unddiverse benutzerdefinierte Kategorien in jeder der unterstützten Sprachen hinterlegen.
Alle in der Web-Admin-Oberfläche vorgenommenen Konfigurationen werden umgehend wirksam.Um Sie bei der Konfiguration der Appliance zu unterstützen, bietet die Appliance eine detaillierte undkontextabhängige Onlinehilfe.
Anmeldeverfahren
Bei der Anmeldung wird der Benutzer durch die XG Firewall authentifiziert und eine Sitzung erstellt,die mit der Abmeldung des Benutzers endet.
Um zum Anmeldefenster zu gelangen, öffnen Sie den Browser und geben Sie die interne IP-Adressevon XG Firewall in der Adresszeile ein. Daraufhin erscheint ein Dialogfeld, das Sie zur Eingabe vonBenutzername und Kennwort auffordert.
Im Folgenden finden Sie die Anzeigeelemente mit Beschreibung:
4 Copyright © 2018 Sophos Limited
XG Firewall
Benutzername Geben Sie den Benutzeranmeldenamen ein.
Wenn Sie sich nach der Installation zumersten Mal anmelden, verwenden Sie denStandardbenutzernamen.
Kennwort Legen Sie für das Benutzerkonto ein Kennwortfest.
Die Punkte im Feld „Kennwort“ dienen alsPlatzhalter.
Wenn Sie sich nach der Installation zumersten Mal anmelden, verwenden Sie dasStandardkennwort.
Sprache Wählen Sie die gewünschte Sprache. FolgendeOptionen stehen zur Verfügung:
• Chinesisch (vereinfacht)
• Chinesisch (traditionell)
• Englisch
• Französisch
• Hindi
• Deutsch
• Italienisch
• Koreanisch
• Portugiesisch (Brasilien)
Standard: Englisch
Schaltfläche „Anmelden“ Anklicken, um sich bei der Web-Admin-Oberfläche anzumelden.
Das Kontrollzentrum erscheint, sobald Sie sich an der Web-Admin-Oberfläche angemeldet haben.Im Kontrollzentrum erhalten Sie einen schnellen Überblick über alle wichtigen Parameter IhrerAppliance.
Abmeldeverfahren
Melden Sie sich ab, wenn Sie fertig sind, damit keine unbefugten Benutzer auf Sophos zugreifenkönnen. Dadurch werden die Sitzung und der Zugriff auf die Appliance beendet.
Um sich von der Appliance abzumelden, gehen Sie zu Admin auf der rechten oberen Seite undklicken Sie auf Abmelden.
2.1 Unterstützte Browser
Sie können sich von jedem Administrationscomputer über einen der folgenden Webbrowser mithilfeeiner sicheren HTTPS-Verbindung mit der Web-Admin-Oberfläche der Appliance verbinden:
Neueste Version von Mozilla Firefox (empfohlen), Chrome oder Apple Safari (für MAC OS X),Microsoft Edge 25 oder Microsoft Internet Explorer Version 11 aufwärts mit aktiviertem JavaScript.
Copyright © 2018 Sophos Limited 5
Die Mindestauflösung des Bildschirms das Verwaltungscomputers ist 1280 × 768.
2.2 Menüs
Die Navigationsleiste ganz links bietet Ihnen Zugriff auf verschiedene Konfigurationsseiten. DieMenüs bestehen aus mehreren Untermenüs und Registerkarten. Wenn Sie in der Navigationsleisteauf einen Menüpunkt klicken, werden die dazugehörigen Verwaltungsfunktionen als Registerkartenangezeigt. Die Seite der Registerkarte wird angezeigt, wenn Sie auf die Registerkarte klicken.
Über die Taste F1 rufen Sie die Hilfeseite auf.
2.3 Seiten
Ein Blatt ist eine Seite, auf der sämtliche Konfigurationen durchgeführt werden. Über dieRegisterkarte Admin oben rechts auf jeder Seite erhalten Sie Zugriff auf die am häufigstenverwendeten Funktionen wie:
1. Support: Öffnet die Kundenanmeldeseite, um ein Ticket für den technischen Support zuerstellen. Ihr Fall wird schnell und unkompliziert direkt in die Warteschlange vom technischenSupport eingefügt.
2. Über das Produkt: Öffnet die Informationsseite zur Registrierung der Appliance.
3. Assistent: Öffnet den Netzwerkkonfigurationsassistenten.
4. Konsole: Öffnet die Command-Line-Interface-(CLI)-Konsole.
5. XG Firewall neu starten: Die Appliance wird neu gestartet.
6. XG Firewall herunterfahren: Fährt die Appliance herunter.
7. Sperren: Sperrt die Web-Admin-Oberfläche. Die Web-Admin-Oberfläche wird automatischgesperrt, wenn sich die Appliance über drei Minuten im inaktiven Status befindet. Um dieAdmin-Oberfläche zu entsperren, müssen Sie sich erneut anmelden. Die Sperrfunktion iststandardmäßig deaktiviert. Aktivieren Sie die Admin-Sitzungssperrung unter Verwaltung >Admin-Einstellungen
8. Abmelden: Meldet von der Web-Admin-Oberfläche ab.
Mit Klick auf den Hyperlink Hilfe oben rechts auf jeder Seite öffnet sich eine kontextsensitiveHilfeseite.
2.4 Liste der Navigationselemente
Auf der Seite der Web-Admin-Oberfläche werden die Informationen in Listen aufgeführt,wobei viele Listen auf mehreren Seiten erscheinen. Unten in der Liste finden Sie die Seite derNavigationssteuerungen, die eine Übersicht über die Navigationsschaltflächen bietet, mit deren HilfeSie Listen mit vielen Einträgen bequem durchsehen können. Die aktuelle Seite und die Gesamtzahlder Seiten werden angezeigt.
Kapitel 3
3 KontrollzentrumDas Kontrollzentrum erscheint, sobald Sie sich angemeldet haben.
Das Kontrollzentrum gibt auf einem zentralen Bildschirm Auskunft über den Zustand desSicherheitssystems.
Anzeigebereich „System“
Der Anzeigebereich „System“ zeigt den Echtzeitstatus von XG Firewall Diensten, VPN- und WAN-Verbindungen und der Leistung sowie die Anzahl der Tage seit Inbetriebnahme der Appliance an.Der Status wird als Symbol angezeigt. Farbige Symbole werden verwendet, um verschiedene Statuszu unterscheiden. Klicken Sie auf das Symbol, um detaillierte Informationen der Dienste zu sehen.
Es gibt folgende Symbole und Statusanzeigen:
Widget „Leistung“
Symbol Status
Normal
Die Durchschnittslast beträgt weniger als 2Einheiten.
Warnung
Die Durchschnittslast liegt zwischen 2 und 5Einheiten.
Alarmmeldung
Die Durchschnittslast beträgt mehr als 5Einheiten.
Unbekannt
Klicken Sie auf das Symbol, um das Diagramm zur Durchschnittslast zu sehen.
Die Durchschnittslast ist eine Messung der durchschnittlichen Anzahl von Prozessen, die aufAusführungszeit auf einer CPU warten. Jede Anzahl größer als die Anzahl der Prozessorkerne imSystem weist darauf hin, dass innerhalb des gemessenen Zeitraums (z.B. 5 Minuten) generell mehrArbeit anfiel, als das System in der Lage war zu verarbeiten.
Widget „Dienste“
Symbol Status
normal
Alle Dienste laufen.
XG Firewall
Symbol Status
Warnung
Ein oder mehrere Dienste wurden vomAdministrator explizit angehalten. Dienstekönnen unter Systemdienste > Dienste neugestartet werden.
Alarmmeldung
Ein oder mehrere Dienste laufen nicht.
Sie können Dienste unter Dienste neu starten.
Unbekannt
Wenn Sie auf das Symbol klicken, werden angehaltene oder ausgefallene Dienste angezeigt.Widget „Schnittstellen“
Symbol Status
normal
Alle WAN-Verbindungen sind aktiv.
Warnung
Höchstens 50 % der WAN-Verbindungen sindinaktiv.
Alarmmeldung
Mindestens 50 % der WAN-Verbindungen sindinaktiv.
Unbekannt
Klicken Sie auf das Symbol, um Details der WAN-Link zu sehen.Widget „VPN“
Symbol Status
Normal
Alle VPN-Tunnel sind AKTIV.
Warnung
Höchstens 50 % der VPN-Tunnel sind INAKTIV.
Alarm
Mindestens 50 % der VPN-Tunnel sindINAKTIV.
Unbekannt
Klicken Sie auf das Symbol, um Details der VPN-Tunnel zu sehen.Widget „CPU“
8 Copyright © 2018 Sophos Limited
XG Firewall
Anhand von CPU-Diagrammen kann der Administrator die CPU-Nutzung durch Benutzer undSystemkomponenten überwachen. Wenn Sie auf das Widget klicken, werden auch die maximale unddurchschnittliche CPU-Nutzung angezeigt.
X-Achse – Stunden/Wochen/Monate/Jahr (je nach ausgewählter Option)
Y-Achse – Prozentzahl der Nutzung
Klicken Sie auf das Widget, um Details anzuzeigen.
Widget „Speicher“
Anhand von Speicher-Diagrammen können Sie die Speichernutzung in Prozent überwachen. DieDiagramme geben Auskunft über den genutzten Speicher, den freien Speicher und den insgesamtverfügbaren Speicher. Darüber hinaus zeigen die Diagramme die maximale und durchschnittlicheSpeichernutzung an.
X-Achse – ausgewählt
Y-Achse – Prozentzahl der Nutzung
Klicken Sie auf das Widget, um Details anzuzeigen.
Widget „Bandbreite“
Das Diagramm zeigt den gesamten Datentransfer in der WAN-Zone an. Darüber hinaus wird dermaximale und durchschnittliche Datentransfer angezeigt.
X-Achse – Stunden/Tage/Monate/Jahr (je nach ausgewählter Option)
Y-Achse – Gesamtdatentransfer in kBit/Sekunde
Klicken Sie auf das Widget, um Details anzuzeigen.
Widget „Sitzungen“
Das Diagramm zeigt die aktuellen Sitzungen von XG Firewall. Darüber hinaus werden diemaximalen und durchschnittlichen Live-Verbindungen angezeigt.
Klicken Sie auf das Widget, um Details anzuzeigen.
Informationen zur Hochverfügbarkeit (HA)
Zeigt HA-Modus gemäß der Konfiguration unten.
A-A
:Wenn XG Firewall im Aktiv/Aktiv-Modus konfiguriert ist.
A-P (M)
:Wenn XG Firewall im Aktiv/Passiv-Modus konfiguriert ist und die Aufgabe der primären Applianceübernimmt.
A-P (S)
:Wenn XG Firewall im Aktiv/Passiv-Modus konfiguriert ist und die Aufgabe der sekundären Applianceübernimmt.
Anzeigebereich Datenverkehrsüberblick
In diesem Bereich werden Statistiken zu dem von XG Firewall in den letzten 24 Stundenverarbeiteten Netzwerkverkehr bereitgestellt. Die Übersichtsinformationen geben Auskunft über die
Copyright © 2018 Sophos Limited 9
XG Firewall
Personen, die am meisten Bandbreite in Anspruch nehmen, ungewöhnliche Datenverkehrmustersowie am meisten besuchte Websites und Anwendungen.
Die Statistiken werden in Form von Balkendiagrammen angezeigt:
• Web-Aktivitäten – Dieses Diagramm gibt Auskunft über den Benutzerdatentransfer in denletzten 24 Stunden, woran sich der Websurf-Trend erkennen lässt. Darüber hinaus werdendie maximale und durchschnittliche Menge an übertragenen Daten in Bytes in den letzten 24Stunden anzeigt, sodass etwaige ungewöhnliche Datenverkehrsmuster festgestellt werdenkönnen. Zeigt das Diagramm beispielsweise zu einem gegebenen Zeitpunkt einen Peak an,bedeutet dies, dass zu dem betreffenden Zeitpunkt die maximale Datenmenge übertragenwurde.
• Zugelassene Anwendungskategorien – Dieses Diagramm gibt Auskunft über die übertrageneDatenmenge in Bytes für die fünf häufigsten Anwendungskategorien. Auf diese Weise hat derAdministrator stets im Blick, welche Anwendungen in den letzten 24 Stunden am meisten genutztwurden, sodass sich leicht feststellen lässt, welche Anwendungen die meiste Bandbreite inAnspruch nehmen. Das Klicken auf die Linie einer bestimmten Kategorie in der Grafik leitet Siezum gefilterten Anwendungsbericht dieser Kategorie um.
• Netzwerkangriffe – Dieses Diagramm gibt Auskunft über die fünf Hosts, denen ausSicherheitsgründen am häufigsten der Zugriff auf das Netzwerk verweigert wurde. Das Klickenauf die Linie eines bestimmten Angriffs in der Grafik leitet Sie zum gefilterten Bericht dieserKategorie um.
• Zugelassene Webkategorien – Dieses Diagramm gibt Auskunft über die übertrageneDatenmenge in Bytes für die fünf häufigsten Webkategorien. Auf diese Weise hat derAdministrator stets im Blick, welche Anwendungen in den letzten 24 Stunden am häufigstenbesucht wurden, sodass sich leicht feststellen lässt, welche Websites die meiste Bandbreite inAnspruch nehmen. Das Klicken auf die Linie einer bestimmten Webkategorie in der Grafik leitetSie zum gefilterten Bericht dieser Kategorie um.
• Blockierte Anwendungskategorien – Dieses Diagramm gibt Auskunft über die fünfAnwendungskategorien, die am häufigsten blockiert wurden, mit Angabe der Anzahl der Trefferje Kategorie. Auf diese Weise erhält der Administrator Informationen über die Anwendungen mitden meisten fehlgeschlagenen Zugriffsversuchen. Das Klicken auf die Linie einer bestimmtenKategorie in der Grafik leitet Sie zum gefilterten Anwendungsbericht dieser Kategorie um.
Anzeigebereich „Benutzer- & Appliance“
Widget „Security Heartbeat“
Das Widget „Security Heartbeat“ gibt Auskunft über den Integritätsstatus aller Endpoint-Geräte. EinEndpoint-Gerät ist ein internetfähiges Hardwaregerät, das über Sophos Central mit dem Sophos XGFirewall verbunden ist. Der Endpoint sendet in regelmäßigen Abständen ein Heartbeat-Signal undmeldet zudem potenzielle Bedrohungen an das Sophos XG Firewall.
Wenn Security Heartbeat nicht konfiguriert ist, wird eine Schaltfläche Konfigurieren imKontrollzentrum angezeigt.
Der Systemzustand eines Endpoints kann rot, gelb oder grün sein:
• Rot gekennzeichnetes „Gefährdet“ – Aktive Schadprogramme entdeckt.
• Gelb gekennzeichnete „Warnung“ – Inaktive Schadprogramme entdeckt.
• Grün – Keine Schadprogramme entdeckt.
• Rot gekennzeichnetes „Fehlend“ – Endpoints senden keine Information über denIntegritätsstatus, verursachen aber Netzwerkverkehr.
10 Copyright © 2018 Sophos Limited
XG Firewall
Sobald Security Heartbeat konfiguriert ist, werden alle Endpoints in einen von vier Status eingestuft.Das Widget „Security Heartbeat“ zeigt die Gesamtzahl der Endpoints je Status an.
Klicken Sie auf das Widget, um die Liste aller Endpoints mit Informationen wie Hostname/IP derQuelle, Benutzer und Statusänderung anzuzeigen. Sie können auswählen, ob Sie alle oder nur einpaar Endpoints basierend auf ihrem Systemzustand anzeigen möchten.
Widget „Sandstorm“
Sophos Sandstorm ist ein cloud-basierter Dienst, der verbesserten Schutz gegen Schadprogrammebietet. Sie können auf der Firewall einstellen, dass verdächtige Downloads an Sandstorm zurAnalyse übermittelt werden. Sandstorm führt Dateien aus, um sie auf Erpressungstrojaner undandere komplexe Bedrohungen zu untersuchen. Da die Analyse in der Cloud stattfindet, wird IhrSystem zu keiner Zeit möglichen Bedrohungen ausgesetzt.
Sandstorm erfordert ein Abonnement. Klicken Sie auf den Link, um Ihre kostenlose 30-Tage-Evaluierung zu beginnen.
Wenn Sandstorm aktiviert ist, werden Benutzer daran gehindert Dateien herunterzuladen, aufwelche die Firewallkritierien zutreffen, bis die Analyse abgeschlossen ist.
Das Widget „Sandstorm“ zeigt Analyseergebnisse für Internetverkehr und E-Mails. Klicken Sie aufdas Widget, um Details zu Sandstorm anzuzeigen.
Widget „ATP“
Das Widget ATP (Advanced Threat Protection) bietet eine Momentaufnahme der in Ihrem Netzwerkentdeckten komplexen Bedrohungen. ATP hilft, infizierte oder manipulierte Clients innerhalb desNetzwerks zu ermitteln, und gibt eine Warnung aus oder verwirft den entsprechenden Datenverkehr.
Sobald ATP konfiguriert ist, wird eine der folgenden beiden Status angezeigt:
Symbol Status
Normal
Keine Bedrohungen erkannt.
Alarm
Zeigt Anzahl der blockierten Quellen an.Wenn Sie darauf klicken, werden Details wieHostname/IP der Quelle, Bedrohung undAnzahl angezeigt.
Widget „UTQ“
Das Widget zeigt den Status des Benutzer-Bedrohungsgrads (UTQ) einer Organisation, alsZusammenfassung der letzten sieben Tage. Dadurch erhalten Sie schnell einen Überblick übereventuelle riskante Benutzer, die eine Sicherheitsbedrohung für Ihr Organisationsnetzwerkdarstellen.
Mögliche UTQ-Statuskategorien:
Symbol Status
Es gibt keine Benutzer mit riskantenInternetsurfverhalten oder Benutzer, die infizierteHosts verwenden, welche Teil eines Botnets sind.
Copyright © 2018 Sophos Limited 11
XG Firewall
Symbol Status
Es gibt 13 Benutzer, die für 80 % des Gesamtrisikosverantwortlich sind, welchem das Netzwerk derOrganisation ausgesetzt ist. Beachten Sie, dassdie Zahl 13 hier nur ein Beispiel ist. Klicken Sie aufdieses Symbol, um die UTQ-Berichte für die letztensieben Tage zu sehen.
Widget „RED“
Dieses Widget zeigt die Anzahl der eingerichteten RED-Tunnel und die Gesamtzahl der in Formvon 4/8 konfigurierten RED-Tunnel an. Klicken Sie auf das Widget, um eine Liste der RED-Tunnelanzuzeigen.
Widget „WLAN-APs“
Dieses Widget zeigt die aktiven Access Points und die Gesamtzahl der konfigurierten Access Pointin der Form „2/3“ an. Etwaige ausstehende Access Points werden separat in einer Klammer in rotangezeigt. Klicken Sie auf das Widget, um zur Seite Access Points weitergeleitet zu werden.
Widget „Verbundene Remote-Benutzer“
Dieses Widget zeigt die Gesamtzahl der Benutzer an, die über SSL-VPN remote verbunden sind.Klicken Sie auf das Widget, um zur Seite Remote-Benutzer weitergeleitet zu werden.
Widget „Live-Benutzer“
Das Widget zeigt die Gesamtzahl der Live-Benutzer an. Klicken Sie auf das Widget, um zur SeiteLive-Benutzer weitergeleitet zu werden.
Anzeigebereich „Aktive Firewallregeln“
Der Anzeigebereich „Aktive Firewallregeln“ zeigt Informationen an, mit denen der Administrator dieauf der Appliance konfigurierten Firewallregeln visualisieren und (im Hinblick auf das Datenvolumen)bewerten kann. Mithilfe dieser Informationen kann der Administrator die bereitgestelltenFirewallregeln weiter anpassen, um Fehler zu beheben oder die Netzwerkleistung zu erhöhen. Eswerden alle aktiven Firewallregeln angezeigt, unabhängig von den Berechtigungen, die mit demangemeldeten Administratorprofil verbunden sind.
Arten von Firewallregeln
Das Widget zeigt die Anzahl der Firewallregeln an, die für die Verarbeitung des Netzwerkverkehrsverwendet werden. Hierbei sind folgende Arten von Regeln zu unterscheiden:
• Unternehmen – Zeigt die Anzahl der aktiven Geschäftsanwendungs-Firewallregeln an.
• Benutzer – Zeigt die Anzahl der aktiven Benutzeranwendungs-Firewallregeln an.
• Netzwerk – Zeigt die Anzahl der aktiven Netzwerk-Firewallregeln an.
Gesamt – Zeigt die Gesamtzahl der aktiven Firewallregeln an.
Das Diagramm gibt Auskunft über das Datenvolumen (in Bytes), das in den letzten 24 Stundenvon den einzelnen Arten von aktiven Firewallregeln verarbeitet wurde. Fahren Sie mit der Mausüber den entsprechenden Diagrammbereich, um das Datenvolumen anzuzeigen, dass von aktivenFirewallregel-Arten verarbeitet wurde. Die Art der Firewallregel ist an folgender Legende zuerkennen:
Unternehmen – dargestellt als grüner Bereich im Diagramm
12 Copyright © 2018 Sophos Limited
XG Firewall
Benutzer – dargestellt als roter Bereich im Diagramm
Netzwerk – dargestellt als blauer Bereich im Diagramm
Anhand der Informationen in dem jeweiligen Diagrammbereich können Sie den Sättigungsgrad desNetzwerks ermitteln und feststellen, welche Art von Firewallregel dafür verantwortlich ist.
Status von Firewallregeln
In dem Widget wird auch die Anzahl der Firewallregeln mit dem aktuellen Status angezeigt. DieseInformation dient hauptsächlich der Administration und ist nützlich, wenn mehrere Administratoren aufderselben Appliance arbeiten. Die aktuellen Statusangaben basieren auf folgenden Kategorien oderFiltern:
• Ungenutzt – Zeigt die Anzahl der Firewallregeln an, die keinen Datenverkehr verarbeiten. Siekönnen ungenutzte Firewallregeln überarbeiten oder löschen.
• Deaktiviert – Zeigt die Anzahl der Firewallregeln an, die auf der Appliance konfiguriert sind, aberdeaktiviert wurde.
• Geändert – Zeigt die Anzahl der Firewallregeln an, die vor kurzem aktualisierten wurde.
• Neu – Zeigt die Anzahl der neu angelegten Firewallregeln an.
Wenn Sie auf eine Firewallregel-Art oder den Status einer Firewallregel klicken, werden Sie zurSeite Firewall weitergeleitet, auf der die betreffenden Firewallregeln angezeigt werden.
Anzeigebereich „Berichte“
Nicht zutreffend für - CR10iNG, CR10wiNG, CR15i, CR15wi, CR15iNG, CR15wiNG, CR15iNG-LE, CR15iNG-4P, CR15wiNG-4P, XG85 und XG85w Modelle.
Je nachdem, welche Module abonniert wurden, werden maximal fünf kritische Berichte aus dernachfolgenden Tabelle angezeigt:
Name des Berichts Angezeigte Anzahl/Daten Abonnement
Hochrisikoanwendungen <Anzahl> riskanter Anwendungen,die gestern gesehen wurden
Web Protection
Bedenkliche Websites <Anzahl> bedenklicher Websites,die gestern gesehen wurden
Web Protection
Internetnutzer <Datentransfer> (in Bytes),der gestern von den Top-10-Benutzern genutzt wurde
Web Protection
Angriffe <Anzahl> an Angriffen, diegestern stattgefunden haben
Network Protection
Webserver-Schutz <Anzahl> an Webserver-Angriffengestern
Web Server Protection
E-Mail-Nutzung <Datentransfer> (in Byte) genutzt Email Protection
E-Mail-Schutz <Anzahl> an Spam-Mails, diegestern eingegangen sind
Email Protection
Verkehrs-Dashboard – Entweder Web Protection oderNetwork Protection
Copyright © 2018 Sophos Limited 13
XG Firewall
Name des Berichts Angezeigte Anzahl/Daten Abonnement
Sicherheits-Dashboard – Entweder Web Protection oderNetwork Protection
Anzeigebereich „Häufigste Schadprogramme“
Nur verfügbar bei den Modellen CR15iNG, CR15wiNG, CR15i und CR15wi
Zeigt die fünf häufigsten Schadprogramme an, die von XG Firewall gefunden wurden, zusätzlich zurAnzahl der Funde je Schadprogramm.
Anzeigebereich „Meldungen“
In diesem Bereich werden Informationen angezeigt, die es Ihnen ermöglichen, die Systemereignisseder Appliance zu überwachen und zurückzuverfolgen. Jede Benachrichtigung enthält Angaben zuDatum und Uhrzeit des Auftretens des Ereignisses.
Es werden folgende Alarmmeldungen angezeigt:
1. Das Standardkennwort für den Benutzer „admin“ wurde nicht geändert. Es wird dringendempfohlen, das Kennwort zu ändern. – Diese Alarmmeldung wird angezeigt, wenn dasStandardkennwort für den Superadministrator nicht geändert wurde.
2. Das Standardkennwort für die Web-Admin-Oberfläche wurde nicht geändert.
3. HTTPS, SSH-basierte Verwaltung ist über das WAN zugelassen. Dies ist keine sichereKonfiguration. Es wird empfohlen, ein sicheres Kennwort zu verwenden.
4. HTTP, Telnet-basierte Verwaltung ist über das WAN zugelassen. Dies ist keine sichereKonfiguration. Es wird empfohlen, ein sicheres Kennwort zu verwenden.
5. Ihre XG Firewall ist nicht registriert.
6. Die Module sind abgelaufen.
Zur leichteren Identifizierung von Benachrichtigungen werden Symbole verwendet.
:Gibt die Alarmmeldungen an.
:Warnungen
:Benachrichtigungen für Firmware-Downloads
Verbindungen & Schnittstellen
Das Bild von XG Firewall wird in diesem Anzeigebereich auf der rechten Seite angezeigt. Bei einervirtuellen Appliance werden mehrere XG Firewall Appliances angezeigt.
Schnittstellentabelle
Diese Tabelle zeigt Informationen über Schnittstellen an mit Namensbeschreibung, Art und Status,empfangenen und übertragenen kBits/s.
Zeigt folgende Details:
14 Copyright © 2018 Sophos Limited
XG Firewall
1. Schnittstelle – Zeigt den Namen der Schnittstelle, die im System konfiguriert ist. Beispiel Port A,Guest AP Zeigt physikalische Schnittstellen, LAG- und Bridge-Typen von Schnittstellen an.
2. Typ – Zeigt die Zone mit dem Typ der konfigurierten Schnittstelle an. Beispiel physikalischesLAN, WAN-LAN, etc.
3. Status – Zeigt den Status und die Schnittstellengeschwindigkeit für die konfigurierte Schnittstellean. Der Status kann verbunden, Kabel entfernt, Verbindung unterbrochen, Verbindung wirdaufgebaut, aktiviert oder deaktiviert (nur für RED-Schnittstelle) sein.
4. Empfangene kBit/s – Zeigt, wie viele Bits über die Schnittstelle empfangen wurden.
5. Gesendete kBit/s – Zeigt wie viele Bits über die Schnittstelle gesendet wurden.
Gateway-Tabelle
Diese Tabelle zeigt Informationen über Gateways an, die es Ihnen ermöglichen, aktive und Backup-Gateways zu überwachen. Sie gibt deren Name, Schnittstelle, Typ, IPv4/IPv6, Aktivieren bei Failovervon, Gewichtung und Status an.
Zeigt folgende Details:
1. Gateway-Name – Zeigt den Namen des Gateways.
2. Schnittstelle – Zeigt den Namen und die IP-Adresse der Schnittstelle an.
3. Typ – Zeigt den Typ des Gateways im Bezug auf die Lastverteilung an. Verfügbare Optionensind Aktiv und Reserve.
4. IPv4/IPv6 – Zeigt den Typ des Gateways im Bezug auf die Lastverteilung an. VerfügbareOptionen sind IPv4 und IPv6.
5. Aktivieren bei Failover von – Zeigt die Maßnahme an für den Fall, dass ein Gateway ausfällt, d.h.ob ein Backup-Gateway aktiviert wird oder nicht.
6. Gewichtung - Zeigt an, wie viel Datenverkehr im Verhältnis zu den anderen Links über einenbestimmten Link geleitet wird.
7. Status – Zeigt den Status des Gateways an. Der Status kann Aktiv oder Inaktiv sein.
Copyright © 2018 Sophos Limited 15
XG Firewall
Kapitel 4
4 Aktuelle AktivitätenBehalten Sie den Überblick über aktuell angemeldete lokale und entfernte Benutzer, aktuelle IPv4-,IPv6-, IPsec-, SSL- und WLAN-Verbindungen.
4.1 Live-BenutzerLive-Benutzer sind Benutzer, die momentan an XG Firewall angemeldet sind.
XG Firewall bietet die folgenden Arten von Live-Benutzern und ihren Client-Typen:
Benutzertyp Client-Typ Information
Normal Webclient (Captive-Portal)
Authentifizierungs-Agent(Windows, macOS, Linux)
SSO (Sophos client-basiertes Single Sign-On)
L2TP-VPN
IPsec-VPN
PPTP-VPN
SSL-VPN
STAS
Thin Client (SATC)
NTLM-Client
Android-Client(Authentifizierungs-Agent aufAndroid)
Android-Webclient (Captive-Portal auf Android)
iOS-Client(Authentifizierungs-Agent aufiOS)
iOS-Webclient (Captive-Portal auf iOS)
RADIUS-SSO
eDirectory SSO
Chromebook SSO
Heartbeat
WLAN
Benutzer melden sich mit IhrenBenutzer-Zugangsdaten wieBenutzername und Kennwort an.
Benutzer authentifizierensich entweder über denAuthentifizierungsclient aufdem Benutzergerät oder überdas Captive-Portal von XGFirewall.
Wenn Single Sign-Onkonfiguriert ist, werdenBenutzer automatisch anXG Firewall angemeldet,sobald sie sich auf ihremGerät anmelden.
Wenn Sie die Verbindungeines Benutzers manuelltrennen, erhalten Benutzer derfolgenden Client-Typen eineBenachrichtigung:
• Authentifizierungs-Agent
• Android-Client
• iOS-Client
• Chromebook SSO
16 Copyright © 2018 Sophos Limited
XG Firewall
Benutzertyp Client-Typ Information
Clientlos Clientlos Clientlose Benutzer werdenanhand ihrer IP-Adresseauthentifiziert und werdendirekt nach ihrer Konfigurationangezeigt. Deaktivierte Benutzererscheinen nicht auf der Liste.
Gast Webclient (Captive-Portal) Benutzer müssen sich alsGäste über das Captive-Portalanmelden.
Sie können Benutzer trennen. Je nach ihrem Client-Typ erhalten sie eine Benachrichtigung, die Siefestlegen können.
• Um Benutzer zu trennen, wählen Sie diese aus und klicken Sie auf Verbindung trennen. Siekönnen den Benachrichtigungstext ändern. Klicken Sie dann erneut auf Verbindung trennen.
HinweisUm einen clientlosen Benutzer abzumelden, klicken Sie nicht auf Verbindung trennen. GehenSie zu Authentifizierung und ändern Sie den Status des jeweiligen clientlosen Benutzers aufinaktiv. Wenn Sie einen clientlosen Benutzer getrennt haben und wollen diesen wieder anmelden,gehen Sie zu Authentifizierung und ändern Sie den Status des Benutzers zu inaktiv und dann zuaktiv.
Zugehörige KonzepteClientlose Benutzer (Seite 443)Clientlose Benutzer müssen sich nicht über einen Client authentifizieren, um auf das Internetzuzugreifen. Stattdessen authentifiziert die Firewall diese Benutzer, indem Sie einen Benutzernamenmit einer IP-Adresse abgleicht.
Authentifizierung (Seite 407)Sie können Authentifizierung einrichten, indem Sie eine interne Nutzerdatenbank verwenden oder denAuthentifizierungsdienst eines Drittanbieters. Um sich selbst zu authentifizieren, müssen BenutzerZugang zu einem Authentifizierungsclient haben. Den Client können sie jedoch umgehen, indemSie die Benutzer als Clientlose Benutzer hinzufügen. Die Firewall unterstützt auch Zweifaktor-Authentifizierung, transparente Authentifizierung und Gastbenutzer-Zugang über ein Captive-Portal.
Captive-Portal (Seite 438)Das Captive-Portal ist eine Browser-Oberfläche, die Benutzer hinter der Firewall dazu auffordert, sichzu authentifizieren, wenn diese versuchen, auf eine Website zuzugreifen. Nach der Authentifizierungwird der Benutzer zur Adresse weitergeleitet oder die Firewall leitet ihn zur einer vorgegebenen URLweiter. Verwenden Sie diese Einstellungen, um das Aussehen und den Inhalt des Captive-Portalsanzupassen. Sie können zum Beispiel Ihre Unternehmenslogo und eigen Text für die Schaltflächefestlegen.
Client-Downloads (Seite 448)Verwenden Sie diese Einstellungen, um die Clients und Komponenten herunterzuladen, die SingleSign-On, transparente Authentifizierung und E-Mail-Verschlüsselung unterstützen.
Gastbenutzer (Seite 439)Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Sie können Zugangsdaten ausdrucken undsie per SMS versenden. Bei erfolgreicher Authentifizierung wird dem Gastbenutzer entsprechend dengewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.
Copyright © 2018 Sophos Limited 17
XG Firewall
4.2 Live-VerbindungenAuf der Seite Live-Verbindungen sehen Sie eine Liste aller momentan aktiven IPv4-Verbindungen.
Auf der Seite wird zudem der Bericht der IPv4-Live-Verbindungen angezeigt, der einen schnellenÜberblick zu den Statistiken des Netzwerkdatenverkehrs gibt.
Nutzen Sie diesen Bericht, um den Anteil an der Netzwerklast der verschiedenen Protokolle,Computersysteme (in Ihrem LAN oder im Internet), Verbindungen oder eine Kombination ausdiesen (z. B. Netzwerkverbindungen mit einem bestimmten Protokoll) zu prüfen. Öffnen Sie dieDetailinformationen für einen ausführlicheren Überblick über Ihr Netzwerk.
Verbindungen je Anwendung
Zur Bestimmung der erzeugten Datenmenge (verwendete Bandbreite) pro Anwendung in Echtzeit.Außerdem wird angezeigt, welcher Benutzer aktuell welche Anwendung nutzt und wie viele Datenüber diese insgesamt übermittelt wurden.
Für jede Verbindung zeigt die Liste Folgendes an:
Anwendung Anwendungen, die im Netzwerk laufen.
Klicken Sie in der Spalte GesamteVerbindungen der gewünschten Anwendungauf die Zahl, um für diese Anwendung dieVerbindungsinformationen sortiert nach Ziel-IP-Adresse und Ziel-Port anzusehen.
Klicken Sie auf das Symbol
,um eine Liste aller Benutzer zu sehen,die die jeweilige Anwendung verwenden,oder klicken Sie auf das Symbol
,um die Benutzerliste zu verbergen.
Upload-Transfer Über die Anwendung hochgeladene Daten.
Download-Transfer Über die Anwendung heruntergeladene Daten.
Upstream-Bandbreite Upstream-Bandbreite.
Downstream-Bandbreite Downstream-Bandbreite.
Gesamte Verbindungen Die Anzahl der Verbindungen, die durch dieAnwendung gestartet/angefragt wurden.
Klicken Sie auf die Zahl in der Spalte GesamteVerbindungen, um für die ausgewählteAnwendung die Verbindungsinformationenanzusehen.
18 Copyright © 2018 Sophos Limited
XG Firewall
Verbindungen je Benutzer
Zur Bestimmung der erzeugten Datenmenge (verwendete Bandbreite) pro Benutzer in Echtzeit,d. h. der Datenverkehr pro Benutzer. Außerdem wird angezeigt, welcher Benutzer aktuell welcheAnwendung nutzt und wie viel Bandbreite er verbraucht.
Für jede Verbindung zeigt die Liste Folgendes an:
Benutzer Netzwerkbenutzer, die verschiedeneAnwendungen anfragen
Klicken Sie
,um die Liste der Anwendungen zusehen, die vom Benutzer verwendetwerden, oder klicken Sie auf
,um die Anwendungsliste zu verbergen.
Klicken Sie auf die Zahl der Benutzer in derSpalte Alle Verbindungen, um sie anzuzeigen.
Klicken Sie auf den Benutzer, um dieVerbindungsinformationen für denausgewählten Benutzer nach Ziel-IP-Adresseund Zielports anzuzeigen.
Upload-Transfer Hochgeladene Daten.
Download-Transfer Heruntergeladene Daten.
Upstream-Bandbreite Upstream-Bandbreite.
Downstream-Bandbreite Downstream-Bandbreite.
Gesamte Verbindungen Anzahl der Verbindungen, die durch denBenutzer gestartet wurden.
Klicken Sie auf Gesamte Verbindungen,um für den ausgewählten Benutzer dieVerbindungsinformationen anzusehen.
Verbindungen nach Quell-IP-Adresse
Zur Bestimmung der erzeugten Datenmenge (verwendete Bandbreite) nach Quell-IP-Adresse inEchtzeit, d. h. der Datenverkehr pro Quell-IP-Adresse. Außerdem wird angezeigt, welcher Benutzeraktuell welche Anwendung nutzt und wie viel Bandbreite er verbraucht.
IP-Adresse d. Quelle IPv4-Adressen der Quelle, die verschiedeneAnwendungen anfordert.
Klicken Sie auf
,um die Liste der Quell-IPv4-Adressenzu sehen, oder klicken Sie auf
Copyright © 2018 Sophos Limited 19
XG Firewall
,um die Liste der IP-Adressen zu verbergen.
Upload-Transfer Hochgeladene Daten.
Download-Transfer Heruntergeladene Daten.
Upstream-Bandbreite Upstream-Bandbreite.
Downstream-Bandbreite Downstream-Bandbreite.
Gesamte Verbindungen Die Anzahl der Verbindungen, die durch dieQuell-IP-Adresse gestartet wurden.
Klicken Sie auf Gesamte Verbindungen,um für den ausgewählten Benutzer dieVerbindungsdetails anzusehen.
4.3 Live-Verbindungen IPv6Auf der Seite Live-Verbindungen IPv6 sehen Sie eine Liste aller momentan aktiven IPv6-Verbindungen.
Auf der Seite wird zudem der Bericht der IPv6-Live-Verbindungen angezeigt, der einen schnellenÜberblick zu den Statistiken des Netzwerkdatenverkehrs gibt.
Nutzen Sie diesen Bericht, um den Anteil an der Netzwerklast der verschiedenen Protokolle,Computersysteme (in Ihrem LAN oder im Internet), Verbindungen oder eine Kombination ausdiesen (z. B. Netzwerkverbindungen mit einem bestimmten Protokoll) zu prüfen. Öffnen Sie dieDetailinformationen für einen ausführlicheren Überblick über Ihr Netzwerk.
Verbindungen je Benutzer
Zur Bestimmung der erzeugten Datenmenge (verwendete Bandbreite) pro Benutzer in Echtzeit,d. h. der Datenverkehr pro Benutzer. Außerdem wird angezeigt, welcher Benutzer aktuell welcheAnwendung nutzt und wie viel Bandbreite verbraucht.
Für jede Verbindung zeigt die Liste Folgendes an:
Benutzer Netzwerkbenutzer, die verschiedeneAnwendungen anfragen
Klicken Sie auf das Symbol
,um eine Liste der Anwendungen zusehen, die vom Benutzer verwendetwerden, oder klicken Sie auf das Symbol
,um die Anwendungsliste zu verbergen.
Klicken Sie auf in der Spalte GesamteVerbindungen des gewünschten Benutzersauf die Zahl, um für diesen Benutzer dieVerbindungsinformationen sortiert nach IP-Adresse und Ziel-Port anzusehen.
Upload-Transfer Hochgeladene Daten.
20 Copyright © 2018 Sophos Limited
XG Firewall
Download-Transfer Heruntergeladene Daten.
Upstream-Bandbreite Upstream-Bandbreite.
Downstream-Bandbreite Downstream-Bandbreite.
Gesamte Verbindungen Die Anzahl der Verbindungen, die durch denBenutzer gestartet wurden.
Klicken Sie auf die Zahl in der Spalte GesamteVerbindungen, um für den ausgewähltenBenutzer die Verbindungsinformationenanzusehen.
Verbindungen nach Quell-IP-Adresse
Zur Bestimmung der erzeugten Datenmenge (verwendete Bandbreite) nach Quell-IP-Adresse inEchtzeit, d. h. der Datenverkehr pro Quell-IP-Adresse. Außerdem wird angezeigt, welcher Benutzeraktuell welche Anwendung nutzt und wie viel Bandbreite er verbraucht.
IP-Adresse d. Quelle IPv6-Adressen der Quelle, die verschiedeneAnwendungen anfordert.
Klicken Sie auf
,um die Liste der Quell-IPv6-Adressenzu sehen, oder klicken Sie auf
,um die Liste der IP-Adressen zu verbergen.
Upload-Transfer Hochgeladene Daten.
Download-Transfer Heruntergeladene Daten.
Upstream-Bandbreite Upstream-Bandbreite.
Downstream-Bandbreite Downstream-Bandbreite.
Gesamte Verbindungen Die Anzahl der Verbindungen, die durch dieQuell-IP-Adresse gestartet wurden.
Klicken Sie auf Gesamte Verbindungen,um für den ausgewählten Benutzer dieVerbindungsinformationen anzusehen.
4.4 Live-Verbindungsinformationen anzeigen
Die Seite zeigt die Verbindungsinformationen pro Anwendung, Benutzer und Quell-IP-Adresse an.
4.4.1 Verbindungsinformationen der ausgewählten Anwendung
Klicken Sie auf den Link Gesamte Verbindungen neben der Anwendung, um derenVerbindungsinformationen anzuzeigen.
Copyright © 2018 Sophos Limited 21
XG Firewall
Startzeitpunkt Uhrzeit des Verbindungsaufbaus.
Ein-Schnittstelle Schnittstelle für eingehenden Datenverkehr.
Ausgehende Schnittstelle Schnittstelle für ausgehenden Datenverkehr.
Quell-IP IP-Adresse, von der aus die Verbindung für dieAnwendung hergestellt wurde.
ZielIP IP-Adresse, zu der die Verbindung für dieAnwendung hergestellt wurde.
Protokoll Vom Datenverkehr genutztes Protokoll.
Quellport Port, über den die Verbindung für dieAnwendung hergestellt wurde.
Zielport Port, zu dem die Verbindung für die Anwendunghergestellt wurde.
Regel-ID ID der Firewallregel, die für den Datenverkehrder Verbindung angewendet wird.
Upload-Transfer Hochgeladene Daten.
Download-Transfer Heruntergeladene Daten.
Upstream-Bandbreite Upstream-Bandbreite.
Downstream-Bandbreite Downstream-Bandbreite.
4.4.2 Verbindungsinformationen der ausgewählten Anwendungund des Benutzers
Klicken Sie auf den Link Gesamte Verbindungen neben dem Benutzernamen, um dieVerbindungsinformationen der vom Benutzer für die ausgewählte Anwendung hergestelltenVerbindungen anzuzeigen.
Startzeitpunkt Uhrzeit des Verbindungsaufbaus.
Ein-Schnittstelle Schnittstelle für eingehenden Datenverkehr.
Ausgehende Schnittstelle Schnittstelle für ausgehenden Datenverkehr.
Quell-IP IP-Adresse, von der aus die Verbindung für dieAnwendung hergestellt wurde.
ZielIP IP-Adresse, zu der die Verbindung für dieAnwendung hergestellt wurde.
Protokoll Vom Datenverkehr genutztes Protokoll.
Quellport Port, über den die Verbindung für die Anwendunghergestellt wurde.
Zielport Port, zu dem die Verbindung für die Anwendunghergestellt wurde.
Regel-ID ID der Firewallregel, die für den Datenverkehr derVerbindung angewendet wird.
Upload-Transfer Hochgeladene Daten.
Download-Transfer Heruntergeladene Daten.
22 Copyright © 2018 Sophos Limited
XG Firewall
Upstream-Bandbreite Upstream-Bandbreite.
Downstream-Bandbreite Downstream-Bandbreite.
4.4.3 Verbindungsinformationen des ausgewählten Benutzersund der Anwendung
Klicken Sie auf den Link Gesamte Verbindungen neben der Anwendung, um dieVerbindungsinformationen der von den Anwendungen für den ausgewählten Benutzer hergestelltenVerbindungen anzuzeigen.
Startzeitpunkt Uhrzeit des Verbindungsaufbaus.
Ein-Schnittstelle Schnittstelle für eingehenden Datenverkehr.
Ausgehende Schnittstelle Schnittstelle für ausgehenden Datenverkehr.
Quell-IP IP-Adresse, von der aus die Verbindung für dieAnwendung hergestellt wurde.
ZielIP IP-Adresse, zu der die Verbindung für dieAnwendung hergestellt wurde.
Protokoll Vom Datenverkehr genutztes Protokoll.
Quellport Port, über den die Verbindung für dieAnwendung hergestellt wurde.
Zielport Port, zu dem die Verbindung für die Anwendunghergestellt wurde.
Regel-ID ID der Firewallregel, die für den Datenverkehrder Verbindung angewendet wird.
Upload-Transfer Hochgeladene Daten.
Download-Transfer Heruntergeladene Daten.
Upstream-Bandbreite Upstream-Bandbreite.
Downstream-Bandbreite Downstream-Bandbreite.
4.4.4 Verbindungsinformationen des ausgewählten Benutzers
Klicken Sie auf den Link Gesamte Verbindungen neben dem Benutzer, um dessenVerbindungsinformationen anzuzeigen.
Startzeitpunkt Uhrzeit des Verbindungsaufbaus.
Ein-Schnittstelle Schnittstelle für eingehenden Datenverkehr.
Ausgehende Schnittstelle Schnittstelle für ausgehenden Datenverkehr.
Quell-IP IP-Adresse, von der aus die Verbindung für denBenutzer hergestellt wurde.
ZielIP IP-Adresse, zu der die Verbindung für dieAnwendung hergestellt wurde.
Protokoll Vom Datenverkehr genutztes Protokoll.
Copyright © 2018 Sophos Limited 23
XG Firewall
Quellport Port, über den die Verbindung für den Benutzerhergestellt wurde.
Zielport Port, zu dem die Verbindung für den Benutzerhergestellt wurde.
Regel-ID ID der Firewallregel, die für den Datenverkehrder Verbindung angewendet wird.
Upload-Transfer Hochgeladene Daten.
Download-Transfer Heruntergeladene Daten.
Upstream-Bandbreite Upstream-Bandbreite.
Downstream-Bandbreite Downstream-Bandbreite.
4.4.5 Verbindungsinformationen der ausgewählten Quell-IP-Adresse
Klicken Sie auf den Link Gesamte Verbindungen neben der Quell-IP-Adresse, um derenVerbindungsinformationen anzuzeigen.
Startzeitpunkt Uhrzeit des Verbindungsaufbaus.
Ein-Schnittstelle Schnittstelle für eingehenden Datenverkehr.
Ausgehende Schnittstelle Schnittstelle für ausgehenden Datenverkehr.
Quell-IP IP-Adresse, von der aus die Verbindung für dieQuell-IP-Adresse hergestellt wurde.
ZielIP IP-Adresse, zu der die Verbindung für dieAnwendung hergestellt wurde.
Protokoll Vom Datenverkehr genutztes Protokoll.
Quellport Port, über den die Verbindung für die Quell-IP-Adresse hergestellt wurde.
Zielport Port, zu dem die Verbindung für die Quell-IP-Adresse hergestellt wurde.
Regel-ID ID der Firewallregel, die für den Datenverkehrder Verbindung angewendet wird.
Upload-Transfer Hochgeladene Daten.
Download-Transfer Heruntergeladene Daten.
Upstream-Bandbreite Upstream-Bandbreite.
Downstream-Bandbreite Downstream-Bandbreite.
4.4.6 Verbindungsinformationen der ausgewählten Anwendungund Quell-IP-Adresse
Klicken Sie auf den Link Gesamte Verbindungen neben der Anwendung, um dieVerbindungsinformationen der von der Anwendung von der ausgewählten Quell-IP-Adressehergestellten Verbindungen anzuzeigen.
24 Copyright © 2018 Sophos Limited
XG Firewall
Startzeitpunkt Uhrzeit des Verbindungsaufbaus.
Ein-Schnittstelle Schnittstelle für eingehenden Datenverkehr.
Ausgehende Schnittstelle Schnittstelle für ausgehenden Datenverkehr.
Quell-IP IP-Adresse, von der aus die Verbindung für dieAnwendung hergestellt wurde.
ZielIP IP-Adresse, zu der die Verbindung für dieAnwendung hergestellt wurde.
Protokoll Vom Datenverkehr genutztes Protokoll.
Quellport Port, über den die Verbindung für dieAnwendung hergestellt wurde.
Zielport Port, zu dem die Verbindung für die Anwendunghergestellt wurde.
Regel-ID ID der Firewallregel, die für den Datenverkehrder Verbindung angewendet wird.
Upload-Transfer Hochgeladene Daten.
Download-Transfer Heruntergeladene Daten.
Upstream-Bandbreite Upstream-Bandbreite.
Downstream-Bandbreite Downstream-Bandbreite.
4.5 IPsec-VerbindungenAuf dieser Seite wird eine Liste aller verbundenen IPSec-Tunnel angezeigt. Filtern Sie die Liste nachVerbindungsname, Name des lokalen Servers, lokales Subnetz, Benutzername, entfernter Server/Hostoder entferntes Subnetz.
Um die IPsec-Verbindung zu sehen, navigieren Sie zu Aktuelle Aktivitäten > IPsec-Verbindungen. Der Administrator kann jede IPsec-Verbindung falls erforderlich trennen, indem erauf Verbindung trennen klickt oder die Liste durch Klick auf Aktualisieren aktualisiert.
Die Tabelle IPsec-Verbindungen enthält folgende Angaben:
• Name: Name der IPsec-Verbindung.
• Lokaler Server: Name des lokalen Servers.
• Lokales Subnetz: Name des lokalen Subnetzes.
• Benutzername: Name des Benutzers der IPsec-Verbindung.
• Remote-Server/Host: Name des Remote-Servers/Hosts.
• Entferntes Subnetz: Name des Subnetzes.
4.6 Remote-BenutzerAuf der Seite Remote-Benutzer können Sie eine Liste der aktiven Remote-Benutzer einsehen.
Um die Seite „Remote-Benutzer“ zu sehen, gehen Sie zu Aktuelle Aktivitäten > Remote-Benutzer.
Copyright © 2018 Sophos Limited 25
Die Liste zeigt alle aktuell angemeldeten Remote-Benutzer an. Sie können die Verbindungen aufBasis des Verbindungsdatums, des Benutzernamens, der Quell-IP-Adresse oder der vergebenen IP-Adresse filtern.
Der Administrator kann die Remote-Benutzer falls erforderlich trennen, indem er auf Verbindungtrennen klickt.
Kapitel 5
5 BerichteBerichte bieten eine einheitliche Sicht auf Netzwerkaktivitäten zum Zweck der Analyse vonDatenverkehr und Bedrohungen und der Einhaltung von Vorschriften. Sie können zum Beispiel einenBericht ansehen, der alle Web-Server-Protection-Maßnahmen der Firewall enthält, wie z.B. blockierteWebserver-Anfragen und identifizierte Viren.
Verwenden Sie Berichte, um Bedrohungen zu identifizieren, die Nutzung zu steuern, und dieSicherheit zu erhöhen.
• Um einen Bericht anzusehen, wählen Sie eine Gruppe aus der Liste Anzeigen aus. EinigeAuswahlmöglichkeiten erlauben Ihnen, die Daten im Bericht weiter einzugrenzen. Sie können aucheinen Datumsbereich für den Bericht festlegen.
• Um die Berichtsdaten zu aktualisieren, klicken Sie auf Erzeugen.
• Um die Berichtsdaten herunterzuladen, klicken Sie auf eines der verfügbaren Download-Formate.
• Um ein Lesezeichen für den Bericht zu erstellen, klicken Sie auf Lesezeichen.
• Um einen Bericht zeitgesteuert in bestimmten Abständen per E-Mail zu versenden, klicken Sie aufZeitplan.
• Um die Ergebnisse zu filtern, klicken Sie auf die Schaltfläche Filter
( )und legen Sie die Kriterien fest.
• Um Konfigurationsoptionen für Berichte festzulegen, klicken Sie auf Berichtseinstellungenanzeigen.
Die folgenden Auswahlmöglichkeiten ergeben einen Bericht, der den Anwendungsdatenverkehr füreinen bestimmten Datumsbereich anzeigt.
Zugehörige KonzepteDatenanonymisierung (Seite 487)Mit Datenanonymisierung können Sie Identitäten in Protokollen und Berichten verschlüsseln.Identitäten umfassen Benutzernamen, IP-Adressen, MAC-Adressen und E-Mail-Adressen. Wenn SieDatenanonymisierung aktivieren, geben Sie einen oder mehrere Administratoren an, welche autorisiertsind, die Daten zu entanonymisieren. Sie können die Anonymisierung mithilfe von Ausnahmenumgehen.
5.1 DashboardsInformationen über Netzwerkverkehr, der die Firewall passiert, und über Sicherheitsbedrohungenansehen.
XG Firewall
Tabelle 1: Berichtskategorie
Name Beschreibung
Verkehrs-Dashboard Kategorien von Netzwerkverkehr, zum BeispielAnwendungen, Webkategorien und Benutzer.
Sicherheits-Dashboard Verweigerte Netzwerkaktivitäten und Verkehr. Bietetauch Informationen zu Schadprogrammen, Spam undden häufigsten Quell- und Zielländern.
Gesamtbericht Häufig gesichtete Informationen über die Firewall, zumBeispiel Netzwerkverkehr und Bedrohungen.
Benutzer-Bedrohungsgrad Rangfolge von Benutzern nach Bedrohungseinstufung.
5.2 Anwendungen & WebInformationen über Anwendungs- und Internetnutzung in Ihrem Netzwerk ansehen.
Tabelle 2: Berichtskategorie
Name Beschreibung
Benutzeranwendungen – Risiken & Nutzung Verwendung von verschiedenen Anwendungen unddamit verbundene Risiken.
Blockierte Benutzeranwendungen Blockierte Versuche, auf verschiedene Anwendungenzuzugreifen.
Web-Risiken & Nutzung Internetnutzung in Ihrem Netzwerk und damitverbundene Risiken.
Blockierte Internetzugriffsversuche Erfolglose Versuche von Benutzern, auf blockierteSeiten zuzugreifen.
Suchmaschine Suchmuster von Benutzern.
Internetinhalte Treffer des Inhaltsfilters und damit verbundene Details.
Webserver-Nutzung Anwendung-, Web-, Internet- und FTP-Verkehr.
Webserver-Schutz Sicherheitsstatus Ihrer gehosteten Webserver,einschließlich Angriffen und Quellen.
Nutzerdatentransfer Benutzerdatenverkehr.
FTP-Nutzung FTP-Aktivität.
FTP-Schutz Bösartige FTP-Aktivität.
5.3 Netzwerk & BedrohungenInformationen über Netzwerknutzung und damit verbundene Bedrohungen ansehen.
Tabelle 3: Berichtskategorie
Name Beschreibung
Angriffe Angriffsversuche
28 Copyright © 2018 Sophos Limited
XG Firewall
Name Beschreibung
Komplexe Bedrohungen Informationen zur Netzwerknutzung undBedrohungen, einschließlich komplexerBedrohungen.
WLAN Access-Point-Nutzung und konfigurierte SSIDs.
Security Heartbeat Zustand der Endpoints in Ihrem Netzwerk basierendauf der Kommunikation zwischen Endpoint und derFirewall.
Sandstorm Verbesserter Schutz vor komplexen und gezieltenAngriffen.
5.4 VPNInformationen über Remote-Benutzer ansehen, die sich mit Ihrem Netzwerk über IPsec, VPN, SSL-VPN und clientlosen Zugriff verbinden.
Tabelle 4: Berichtskategorie
Name Beschreibung
VPN Datenverkehr, der von Remote-Benutzern erzeugt wird,die sich über IPsec-, L2TP- oder PPTP-Verbindungenverbinden.
SSL-VPN Datenverkehr, der von Remote-Benutzern erzeugt wird,die sich über einen SSL-VPN-Client verbinden.
Clientloser Zugriff Datenverkehr, der von Remote-Benutzern erzeugt wird,die sich über einen Webbrowser verbinden.
5.5 E-MailInformationen über E-Mail-Verkehr in Ihrem Netzwerk ansehen.
Tabelle 5: Berichtskategorie
Name Beschreibung
E-Mail-Nutzung E-Mail-Verkehr in Ihrem Netzwerk.
E-Mail-Schutz Mit Viren und Spam infizierter E-Mail-Verkehr in IhremNetzwerk.
5.6 ComplianceInformationen über Compliance mit geltenden Richtlinien ansehen.
Copyright © 2018 Sophos Limited 29
XG Firewall
Tabelle 6: Berichtskategorie
Name Beschreibung
HIPAA Sicherheitsberichte, die für die Einhaltung des HealthInsurance Portability and Accountability Act (USA)erforderlich sind.
GLBA Sicherheitsberichte, die für die Einhaltung des Gramm-Leach-Bliley Act (USA) erforderlich sind.
SOX Sicherheitsberichte, die für die Einhaltung desSarbanes-Oxley Act (USA) erforderlich sind.
FISMA Sicherheitsberichte, die für die Einhaltung desFederal Information Security Management Act (USA)erforderlich sind.
PCI Sicherheitsberichte, die für die Einhaltung der PaymentCard Industry Standards erforderlich sind.
NERC CIP v3 Sicherheitsberichte, die für die Einhaltung der NorthAmerican Electric Reliability Corporation CriticalInfrastructure Protection Version 3 Standardserforderlich sind.
CIPA Sicherheitsberichte, die für die Einhaltung desChildren’s Internet Protection Act (USA) erforderlichsind.
Ereignisse Netzwerkereignisse und damit verbundenerSchweregrad.
5.7 EigeneBerichte erstellen, die nur von Ihnen festgelegte Kriterien berücksichtigen.
Sie können die folgenden benutzerspezifischen Berichte erstellen:
• Webbericht. Suchen Sie nach Surfaktivitäten oder Viren. Sie können Benutzer, Domänen undweitere Kriterien angeben.
• E-Mail-Bericht. Suchen Sie nach E-Mail-Nutzung, Spam, und Viren. Sie können das Protokoll,Benutzer und weitere Kriterien angeben.
• FTP-Bericht. Suchen Sie nach FTP-Verwendung und Viren. Sie können die Übertragungsart,Benutzer, Datei oder Quell-IP angeben.
• Benutzerbericht Suchen Sie nach Nutzungsinformationen wie Hochrisikoanwendungen,unproduktive Internetdomänen und erkannte Viren. Sie können Benutzernamen, Quellhost undweitere Kriterien angeben.
• Webserver-Bericht. Suchen Sie nach Webserver-Aktivitäten wie Zeit, Benutzer und URI. Siekönnen auch nach Aktivitäten der Web Server Protection suchen.
Die folgenden Kriterien werden verwendet, um nach der Erkennung eines bestimmten Virus aufeiner Domäne zu suchen, welche durch die Firewall geschützt wird.
30 Copyright © 2018 Sophos Limited
XG Firewall
5.8 LesezeichenLesezeichen ermöglichen Ihnen, schnell auf häufig verwendete Berichte zuzugreifen. Zum Beispielmüssen Sie vielleicht auf einen Bericht zugreifen, der Angriffe in einem bestimmten Zeitraumidentifiziert, um eine bestimmte Bedrohung ausfindig zu machen.
• Um Berichtsdaten zu sehen, wählen Sie eine Lesezeichengruppe aus der Liste Anzeigen aus. Siekönnen die Daten weiter eingrenzen, indem Sie ein Lesezeichen auswählen.
HinweisDamit eine Gruppe verfügbar ist, muss sie mindestens ein Lesezeichen enthalten.
• Um die Berichtsdaten zu aktualisieren, klicken Sie auf Erzeugen.
• Um die Berichtsdaten herunterzuladen, klicken Sie auf eines der verfügbaren Download-Formate.
• Um einen Bericht zeitgesteuert in bestimmten Abständen per E-Mail zu versenden, klicken Sie aufZeitplan.
• Um die Ergebnisse zu filtern, klicken Sie auf die Schaltfläche Filter
( )und legen Sie die Kriterien fest.
Zugehörige AufgabenLesezeichen hinzufügen (Seite 31)
5.8.1 Lesezeichen hinzufügen
1. Sehen Sie einen Bericht an und klicken Sie auf Lesezeichen.
2. Geben Sie einen Namen ein.
3. Wählen Sie eine Lesezeichengruppe aus.
Wenn Sie noch keine Gruppen erstellt haben, weisen sie das Lesezeichen der Standardgruppe zu.
4. Klicken Sie auf Speichern.
Das folgende Lesezeichen zeigt Angriff aus einem bestimmten Zeitraum.
Copyright © 2018 Sophos Limited 31
XG Firewall
Zugehörige KonzepteLesezeichen (Seite 31)Lesezeichen ermöglichen Ihnen, schnell auf häufig verwendete Berichte zuzugreifen. Zum Beispielmüssen Sie vielleicht auf einen Bericht zugreifen, der Angriffe in einem bestimmten Zeitraumidentifiziert, um eine bestimmte Bedrohung ausfindig zu machen.
5.9 BerichtseinstellungenBerichtseinstellungen lassen Sie Konfigurationsoptionen für Berichte festlegen. Sie könnenzum Beispiel festlegen, welche Daten in Ihren eigenen Berichten angezeigt werden sollen, undBerichtzeitpläne für alle Berichtsgruppen verwalten. Andere Optionen lassen Sie festlegen, wie langeDaten aufbewahrt werden sollen, und Daten bereinigen.
5.9.1 Eigene Ansicht
Eigene Ansichten erlauben Ihnen, Berichtsgruppen auszuwählen, so dass in einem Bericht alleInformationen angezeigt werden, die Sie benötigen. Sie wollen zum Beispiel vielleicht SandstormSchutzmaßnahmen und Internetnutzer in einem gemeinsamen Bericht ansehen.
Zugehörige AufgabenEigene Ansicht hinzufügen (Seite 32)
Eigene Ansicht hinzufügen
1. Gehen Sie zu Berichte > Berichtseinstellungen anzeigen > Eigene Ansicht und klicken Sie aufHinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie Berichtsgruppen aus.
4. Klicken Sie auf Speichern.
Die eigene Ansicht ist unter Berichte > Eigene verfügbar.
32 Copyright © 2018 Sophos Limited
XG Firewall
Zugehörige KonzepteEigene Ansicht (Seite 32)Eigene Ansichten erlauben Ihnen, Berichtsgruppen auszuwählen, so dass in einem Bericht alleInformationen angezeigt werden, die Sie benötigen. Sie wollen zum Beispiel vielleicht SandstormSchutzmaßnahmen und Internetnutzer in einem gemeinsamen Bericht ansehen.
5.9.2 Zeitgesteuerte Berichte
Berichtzeitpläne legen Berichtsgruppen, E-Mail-Empfänger und E-Mail-Häufigkeit fest. Sie können einebeliebige Standard- oder selbstdefinierte Berichtsgruppe auswählen. Berichte werden im PDF-Formatgesendet. ConnectWise- und Sicherheitsaudit-Optionen sind verfügbar.
• Um die Mailserver-Konfiguration zu überprüfen, wählen Sie einen Bericht aus und klicken Sie aufTest-E-Mail senden.
• Um einen Bericht zu erzeugen und zu versenden, klicken Sie auf Jetzt erzeugen.
Zeitgesteuerte Berichte
Der Standardberichtstyp legt die Berichtsgruppe oder die Lesezeichendaten fest.
An E-Mail-Adresse E-Mail-Adressen der Empfänger, mit Kommagetrennt.
Berichtstyp Berichtsgruppe- oder Lesezeichen-Informationen,die in den Bericht eingebunden werden sollen.
Sortierkriterien Sortieren Sie Berichtsdaten gegebenenfalls nachTreffern oder Bytes.
E-Mail-Häufigkeit Berichtszeitplan Berichte können täglich oderwöchentlich versendet werden.
Sicherheitsaudit-Bericht
Sicherheitsaudit-Berichte sind vordefinierte Berichte, die Informationen zu sicherheitsrelevantenAktivitäten enthalten.
Organisationsname Organisationsname, der in den Berichteingetragen werden soll.
An E-Mail-Adresse E-Mail-Adressen der Empfänger, mit Kommagetrennt.
Berichtstyp Berichtsgruppe- oder Lesezeichen-Informationen,die in den Bericht eingebunden werden sollen.
E-Mail-Häufigkeit Berichtszeitplan Berichte können täglich oderwöchentlich versendet werden.
ConnectWise-Zeitplan
Sie können vordefinierte ConnectWise-Berichte erstellen. ConnectWise-Integration muss aktiviertsein.
Copyright © 2018 Sophos Limited 33
XG Firewall
Bericht Vorkonfigurierter ConnectWise-Bericht.Verfügbare Berichte sind Top-Websites, GefilterteWebsites, Bandbreitennutzung und Top-Angriffe.
Anzahl Einträge Anzahl der Datensätze, die im Bericht erstelltwerden sollen.
Häufigkeit Berichtszeitplan. Bericht können täglich zufestgelegten Intervallen per E-Mail versendetwerden.
Zugehörige AufgabenBerichtszeitplan hinzufügen (Seite 34)Test-E-Mail senden (Seite 34)Überprüfen Sie die Mailserver-Konfiguration.
Berichtszeitplan hinzufügen
1. Gehen Sie zu Berichte > Berichtseinstellungen anzeigen > Zeitgesteuerte Berichte undklicken Sie auf Hinzufügen.
2. Wählen Sie einen Berichtstyp aus und legen Sie Einstellungen fest.
Option Beschreibung
Bericht Der Standardberichtstyp legt die Berichtsgruppeoder die Lesezeichendaten fest. Legen Sieeine Berichtsgruppe oder ein Lesezeichen,Sortierkriterien, einen E-Mail-Empfänger undeine E-Mail-Häufigkeit fest.
ConnectWise-Bericht Sie können vordefinierte ConnectWise-Berichte erstellen. ConnectWise-Integrationmuss aktiviert sein. Verfügbare Berichtesind Top-Websites, Gefilterte Websites,Bandbreitennutzung und Top-Angriffe. LegenSie die Anzahl der Einträge und die E-Mail-Häufigkeit fest.
Sicherheitsaudit-Bericht Sicherheitsaudit-Berichte sind vordefinierteBerichte, die Informationen zusicherheitsrelevanten Aktivitäten enthalten.Legen Sie einen Organisationsnamen, E-Mail-Empfänger und eine E-Mail-Häufigkeit fest.
3. Klicken Sie auf Speichern.
Zugehörige KonzepteZeitgesteuerte Berichte (Seite 33)Berichtzeitpläne legen Berichtsgruppen, E-Mail-Empfänger und E-Mail-Häufigkeit fest. Sie können einebeliebige Standard- oder selbstdefinierte Berichtsgruppe auswählen. Berichte werden im PDF-Formatgesendet. ConnectWise- und Sicherheitsaudit-Optionen sind verfügbar.
Test-E-Mail senden
Überprüfen Sie die Mailserver-Konfiguration.
1. Gehen Sie zu Berichte > Berichtseinstellungen anzeigen > Zeitgesteuerte Berichte.
34 Copyright © 2018 Sophos Limited
XG Firewall
2. Wählen Sie einen Bericht aus und klicken Sie auf Test-E-Mail senden.
3. Geben Sie eine E-Mail-Adresse ein.
4. Klicken Sie auf Senden.
Zugehörige KonzepteZeitgesteuerte Berichte (Seite 33)Berichtzeitpläne legen Berichtsgruppen, E-Mail-Empfänger und E-Mail-Häufigkeit fest. Sie können einebeliebige Standard- oder selbstdefinierte Berichtsgruppe auswählen. Berichte werden im PDF-Formatgesendet. ConnectWise- und Sicherheitsaudit-Optionen sind verfügbar.
5.9.3 Datenverwaltung
Die Firewall protokolliert Aktivitäten, die für die Berichterstellung verwendet werden. Sie könnenProtokollaufbewahrungseinstellungen festlegen, um Ihre Festplattennutzung zu optimieren.
AchtungÜberprüfen Sie Ihre Einhaltungsanforderungen, bevor Sie die Einstellungen zurProtokollaufbewahrung ändern.
Berichtszeitraum für Protokollaufbewahrung Datenaufbewahrungszeitraum für Berichtsdaten.Änderungen an den Aufbewahrungseinstellungentreten um 0 Uhr des nächsten Tages in Kraft.
Anpassung exportieren Erlauben Sie die Auswahl von Berichten undAnzahl der Einträge je Bericht während Berichteexportiert werden.
5.9.4 Manuelles Löschen
Sie können Protokollaufbewahrungseinstellungen festlegen, um Ihre Festplattennutzung zu optimieren.Manuelles Bereinigen wird sofort ausgeführt.
AchtungÜberprüfen Sie Ihre Compliance-Anforderungen, bevor Sie löschen.
Berichtsmodul Zu löschende Berichte.
Kriterien Angepasste Dauer oder alle löschen.
5.9.5 Lesezeichenverwaltung
Lesezeichengruppen bieten eine bequeme Möglichkeit, Ihre Lesezeichen zu verwalten. Sie wollen zumBeispiel vielleicht alle Lesezeichen für alle Anwendungstechnologien und Netzwerkbedrohungen ineiner Gruppe organisieren.
Zugehörige AufgabenLesezeichengruppe hinzufügen (Seite 36)
Copyright © 2018 Sophos Limited 35
Lesezeichengruppe hinzufügen
1. Gehen Sie zu Berichte > Berichtseinstellungen anzeigen > Lesezeichenverwaltung undklicken Sie auf Lesezeichengruppe hinzufügen.
2. Geben Sie einen Namen ein.
3. Klicken Sie auf Speichern.
Zugehörige KonzepteLesezeichenverwaltung (Seite 35)Lesezeichengruppen bieten eine bequeme Möglichkeit, Ihre Lesezeichen zu verwalten. Sie wollen zumBeispiel vielleicht alle Lesezeichen für alle Anwendungstechnologien und Netzwerkbedrohungen ineiner Gruppe organisieren.
5.9.6 ConnectWise
Um vordefinierte ConnectWise-Berichte zu erstellen, müssen Sie ConnectWise aktivieren undEinstellungen wie Server-URL und Benutzerzugangsdaten vornehmen.
5.9.7 Eigenes Logo
Wählen Sie ein eigenes Logo aus, das auf Ihren erzeugten Berichten angezeigt werden soll.
Kapitel 6
6 DiagnoseDieses Menü ermöglicht es, den Systemzustand der Appliance in einer Momentaufnahme zuüberprüfen. Die Information kann zur Fehlersuche und Diagnose von Problemen verwendet werden,die in Ihrer Appliance gefunden wurden.
6.1 ToolsAuf der Seite Tools können Sie Statistiken für die Diagnose von Konnektivitäts- undNetzwerkproblemen abrufen und die Netzwerkkommunikation testen. Diese Informationen helfenbei der Behebung von Problemen wie Systemabsturz, Paketverlust, Konnektivität, Diskrepanzen imNetzwerk.
Ping
Ping ist das gängigste Utility für die Netzwerkadministration, das dem Testen der Erreichbarkeiteines Hosts in einem Internet Protocol (IP)-Netzwerk und der Messung der Paketumlaufzeit beimVersand von Nachrichten von einem Host zu einem Zielcomputer dient.
Beim Pingen wird ein ICMP Echo Request gesendet und auf ein Echo Reply gewartet, um dieVerbindung zu anderen Hosts zu testen. Mit dem Standard-ICMP-Ping können Sie überprüfen, obder Server antwortet. Der Ping bestätigt, dass der Server auf einen ICMP Ping-Request antwortenkann.
Verwenden Sie den Ping zu Diagnosezwecken, um:
• Sicherzustellen, dass ein Hostcomputer, den Sie erreichen möchten, tatsächlich funktionsfähigist, oder um zu überprüfen, ob die Adresse erreichbar ist
• Zu überprüfen, wie lange es dauert, bis eine Antwort empfangen wird
• Die IP-Adresse des Domänennamens abzufragen
• Eine Überprüfung auf Paketverlust vorzunehmen
Verwendete Parameter:
IP-Adresse/Hostname Geben Sie die IP-Adresse (IPv4/IPv6) oder denFully Qualified Domain Name (FQDN) an, derangepingt werden soll.
Mit dem Ping wird die Netzwerkverbindungzwischen der Appliance und einem Host imNetzwerk überprüft. Dabei wird festgestellt, obeine Antwort empfangen wurde, die Paketeübertragen und empfangen wurden, einPaketverlust stattgefunden hat und wie langedie Paketumlaufzeit ist. Wenn ein Host nichtantwortet, meldet der Ping einen 100 %igenPaketverlust.
IP-Familie Wählen Sie aus den verfügbaren Optionen denTyp der IP-Familie aus:
XG Firewall
Verfügbare OptionenIPv4IPv6
Schnittstelle Wählen Sie die Schnittstelle aus, über die dieICMP Echo Requests gesendet werden sollen.
Größe Geben Sie die Paketgröße für den Ping in Bytean.
Standard: 32 Byte
Wertebereich: 1 bis 65507
Traceroute
Traceroute ist ein nützliches Tool, um festzustellen, ob ein Paket oder ein Kommunikationsstrom aufder Appliance gestoppt wurde oder im Internet verloren gegangen ist, indem der Weg eines Paketsvom Quell- zum Zielsystem über das Internet verfolgt wird.
Sie können Traceroute verwenden, um:
• Abweichungen im Netzwerk oder ISP-Netzwerk in Millisekunden festzustellen
• Den Weg eines Pakets vom Quell- zum Zielsystem über das Internet zu verfolgen.
Verwendete Parameter:
IP-Adresse/Hostname Geben Sie die IP-Adresse (IPv4/IPv6) oder denFully Qualified Domain Name (FQDN) an.
Mit Traceroute wird die Netzwerkverbindungzwischen der Appliance und einem Host imNetzwerk überprüft. Die Datenausgabe enthältInformationen über alle Router, die von denDatenpaketen auf ihrem Weg vom Quell- zumZielsystem passiert werden, die maximaleAnzahl der Hops und die Gesamtdauer, bis dasPaket zurückkommt, in Millisekunden.
IP-Familie Wählen Sie aus den verfügbaren Optionen denTyp der IP-Familie aus:
Verfügbare OptionenIPv4IPv6
Schnittstelle Wählen Sie die Schnittstelle aus, über die dieRequests gesendet werden sollen.
Namensauflösung
Mit der Namensauflösung werden beim Domain Name Service Informationen über Domänennamenund IP-Adressen abgefragt. Dabei wird ein Domänenname-Abfragepaket an einen konfiguriertenDomain Name System (DNS)-Server gesendet. Bei Eingabe eines Domänennamens wirddie entsprechende IP-Adresse zurückgegeben und bei Eingabe einer IP-Adresse wird derentsprechende Domänenname zurückgegeben. Mit anderen Worten: Mit der Namensauflösung wirdüber das Internet ein DNS-Lookup von einem autorisierten Name Server vorgenommen und dieInformationen werden in einem für den Benutzer verständlichen Format angezeigt.
Die Parameter und deren Beschreibungen lauten wie folgt:
IP-Adresse/Hostname IP-Adresse (IPv4/IPv6) oder Fully QualifiedDomain Name (FQDN), der aufgelöst werdensoll.
38 Copyright © 2018 Sophos Limited
XG Firewall
DNS-Server-IP Wählen Sie den DNS-Server aus, über den dieAnfrage gesendet werden soll.
Wählen Sie Auflösung mithilfe allerkonfigurierten Server, um alle verfügbaren undauf der Appliance konfigurierten DNS-Serveranzuzeigen. Mit Auswahl dieser Option werdenauch Informationen darüber bereitgestellt, wielange es dauert, bis die einzelnen DNS-Serverdie Anfrage aufgelöst haben. Basierend auf derAntwortzeit des betreffenden Servers können Sieden DNS-Server priorisieren.
Routenauflösung
Wenn Ihre Netzwerke routingfähig sind und Sie feststellen möchten, über welche Schnittstelle dieAppliance den Datenverkehr leitet, lösen Sie die Route für die IP-Adresse (IPv4/IPv6) auf.
Konsolidierter Fehlermeldungsbericht
Damit das Supportteam Systemprobleme untersuchen kann, kann ein Fehlermeldungsberichterzeugt werden, der aus der aktuellen Statusdatei und den Protokolldateien des Systems besteht.Die Datei enthält in verschlüsselter Form Informationen wie eine Liste aller Prozesse, die aktuell aufdem System laufen, Ressourcennutzung usw.
Der Administrator muss die Datei erzeugen, speichern und zur Diagnose und Problembehebung anden Support schicken.
Die Datei wird mit folgendem Namen erzeugt: CTR_<APPKEY>__<MM_DD_YY>_<HH_MM_SS>Dabei gilt:
• APPKEY ist der Appliance-Schlüssel der Appliance, für die der Bericht erzeugt wird.
• MM_DD_YY ist das Datum (Monat Tag Jahr), an dem der Bericht erzeugt wird.
• HH_MM_SS ist die Uhrzeit (Stunde Minute Sekunde), zu der der Bericht erzeugt wird.
Standardmäßig ist der Debug-Modus für alle Subsysteme deaktiviert. Aktivieren Sie vor derErzeugung einer Protokolldatei den Debug-Modus, indem Sie folgenden Befehl über die Befehlszeileausführen:
console> diagnostics subsystems <subsystem name> debug on
HinweisDer Fehlersuchmodus kann nicht aktiviert werden, wenn Sie nur eine System-Momentaufnahmeerzeugen möchten.
Verwendete Parameter:
Fehlermeldungsbericht (CTR) erzeugen für Aktivieren Sie die Optionen, für die derFehlermeldungsbericht erzeugt werden soll.
Verfügbare Optionen:System-Momentaufnahme Hier werdenMomentaufnahmen erzeugt, um Probleme im
Copyright © 2018 Sophos Limited 39
XG Firewall
System aufzuzeigen.Protokolldateien Hierwerden Protokolldateien erzeugt.
Ursache Geben Sie die Ursache für die Erzeugung desFehlermeldungsberichts an.
Erzeugen Klicken Sie hier, um den Fehlermeldungsberichtzu generieren.
6.2 SystemdiagrammeDie Seite Systemdiagramme zeigt Grafiken zu mit dem System verbundenen Aktivitäten fürunterschiedliche Zeiträume.
Diagnose > Systemdiagramme
Die Systemdiagramme zeigen Informationen für den ausgewählten Zeitraum an: Diese Diagrammesind dieselben, die auch für die Utility angezeigt werden. Sie werden nach Zeitintervall neu gruppiert.
6.2.1 Diagramme zur CPU-Nutzung
Anhand von CPU-Diagrammen kann der Administrator die CPU-Nutzung durch die Benutzerund Systemkomponenten überwachen. Die Diagramme geben Auskunft über die minimale,maximale, durchschnittliche und aktuelle CPU-Nutzung für Benutzer und das System sowie dieCPU-Inaktivitätszeit (in Prozent).
• X-Achse – Minuten/Stunden/Tage/Monate (je nach ausgewähltem Zeitraum)
• Y-Achse – % Nutzung
Legende:
• Orange – Vom Benutzer genutzte CPU
• Lila – Vom System genutzte CPU
• Grün – CPU-Inaktivitätszeit
40 Copyright © 2018 Sophos Limited
XG Firewall
Abbildung 1: CPU-Nutzung
6.2.2 Diagramme zur Speichernutzung
Mithilfe des Diagramms zur Speichernutzung kann der Administrator die Speichernutzungin Megabyte (MB) überwachen. Im Diagramm werden der minimale, der maximale, derdurchschnittliche und der aktuell verwendete Arbeitsspeicher, der freie Arbeitsspeicher und derinsgesamt verfügbare Arbeitsspeicher in Prozent angezeigt.
• X-Achse – Minuten/Stunden/Tage/Monate (je nach ausgewähltem Zeitraum)
• Y-Achse – Verwendeter Arbeitsspeicher in MB
Erklärung:
• Orange – Verwendeter Arbeitsspeicher
• Violett – Freier Arbeitsspeicher
• Grün – Arbeitsspeicher insgesamt
Abbildung 2: Speichernutzung
Copyright © 2018 Sophos Limited 41
XG Firewall
6.2.3 Diagramme zur Durchschnittslast
Mithilfe von Durchschnittslast-Diagrammen kann der Administrator die Auslastung des Systemsüberwachen.
Im Diagramm wird die minimale, maximale durchschnittliche und aktuelle Auslastung des Systemsnach Intervallen von einer Minute, fünf Minuten und fünfzehn Minuten angegeben.
• X-Achse – Minuten/Stunden/Tage/Monate (je nach ausgewähltem Zeitraum)
• Y-Achse – Index der Durchschnittslast
Erklärung:
• Orange – Eine Minute
• Violett – Fünf Minuten
• Grün – Fünfzehn Minuten
Abbildung 3: Durchschnittslast
6.2.4 Diagramme zur Festplattennutzung
Mithilfe der Diagramme zur Festplattennutzung kann der Administrator die Festplattennutzung inProzent überwachen.
Diagramme geben Auskunft über die minimale, maximale, durchschnittliche und momentan genutzteprozentuale Festplattennutzung durch Signaturen, Konfigurationen, Berichte und temporäre Dateien.
• X-Achse – Minuten/Stunden/Tage/Monate (je nach ausgewähltem Zeitraum)
• Y-Achse – % Nutzung
Legende
• Orange – Von Signaturen genutzter Festplattenspeicher
• Lila – Von Konfigurationsdateien genutzter Festplattenspeicher
• Grün – Von Berichten genutzter Festplattenspeicher
• Blau – Von temp genutzter Festplattenspeicher
42 Copyright © 2018 Sophos Limited
XG Firewall
Abbildung 4: Festplattennutzung
6.2.5 Diagramme zu Live-Benutzern
Mithilfe der Diagramme zu Live-Benutzern kann der Administrator für einen ausgewählten Zeitraumdie Anzahl der Live-Benutzer überwachen.
Die Diagramme zeigen die Anzahl der momentan mit dem Internet verbundenen Benutzer.Zusätzlich wird die minimale, maximale und durchschnittliche Anzahl der Benutzer, die während desausgewählten Zeitraums verbunden waren, angezeigt.
So kann der Administrator die Spitzenzeiten am Tag ermitteln.
• X-Achse – Minuten/Stunden/Tage/Monate (je nach ausgewähltem Zeitraum)
• Y-Achse – Anzahl der Benutzer
Legende
• Orange – Anzahl der verbundenen Live-Benutzer
Abbildung 5: Live-Benutzer
Copyright © 2018 Sophos Limited 43
XG Firewall
6.2.6 Diagramme zur Datenübertragung über WAN-Zone
Es gibt drei Diagramme zur Datenübertragung für die WAN-Zone, die Informationen zurDatenübertragung über WAN-Zone bereitstellen.
1. Gesamter Upload-/Download-Datentransfer des ausgewählten Zeitraums – DiesesDiagramm gibt Auskunft über den Upload- und Download-Datentransfer. Der Upload- undDownload-Datentransfer lässt sich anhand der Farben unterscheiden. Darüber hinaus wird derminimale, maximale und durchschnittliche Datentransfer getrennt für Upload- und Download-Datenverkehr angezeigt.
• X-Achse – Minuten/Stunden/Tage/Monate (je nach ausgewähltem Zeitraum)
• Y-Achse – Upload/Download in kbit/Sekunde
Legende
• Orange – Upload-Datenverkehr
2. Gesamter Datentransfer des ausgewählten Zeitraums – Dieses Diagramm gibt Auskunft überden gesamten Datentransfer aus der WAN-Zone. Darüber hinaus wird der minimale, maximaleund durchschnittliche Datentransfer angezeigt.
• X-Achse – Minuten/Stunden/Tage/Monate (je nach ausgewähltem Zeitraum)
• Y-Achse – Upload/Download in kbit/Sekunde
Legende
• Orange – Gesamter Datenverkehr (Upload + Download)
• Lila – Download-Datenverkehr
3. Gesamter Upload-/Download-Datentransfer des ausgewählten Zeitraums – DiesesDiagramm gibt Auskunft über den Datentransfer aus der WAN-Zone nach Gateway. Darüberhinaus wird der minimale, maximale und durchschnittliche Datentransfer jedes Gatewaysangezeigt.
• X-Achse – Minuten/Stunden/Tage/Monate (je nach ausgewähltem Zeitraum)
• Y-Achse – Upload/Download in kbit/Sekunde
Legende
• Verschiedene Farben für die einzelnen Gateways
44 Copyright © 2018 Sophos Limited
XG Firewall
Abbildung 6: WAN-Datentransfer
6.2.7 Schnittstellen-Infodiagramme
Das Diagramm Schnittstelleninfo zeigt die folgenden Traffic-Statistiken für alle Schnittstellen an(physikalische Schnittstellen, VLAN-Schnittstellen, WLAN- und WAN-Schnittstellen):
1. Anzahl der Bits, die über die Schnittstelle empfangen und übertragen wurden
2. Fehler, die beim Übertragen und Empfangen der Pakete über die Schnittstelle aufgetreten sind
3. Pakete , die beim Übertragen und Empfangen der Pakete über die Schnittstelle verworfenwurden
4. Kollisionen, die beim Übertragen und Empfangen der Pakete über die Schnittstelle aufgetretensind
Die Grafik zeigt an:
• X-Achse – Minuten/Stunden/Tage/Monate (je nach ausgewähltem Zeitraum)
• Y-Achse – kBits/Sek
Legende
• Orange – Empfangene Bits (kBits/Sek)
• Violett – Übertragene Bits (kBits/Sek)
• Hellgrün – Empfangene Bits (kBits/Sek)
• Blau – Übertragene Bits, die verworfen wurden
• Pink – Kollisionen
• Rot – Fehler bei der Übertragung
• Dunkelgrün – Empfangene Bits, die verworfen wurden
Copyright © 2018 Sophos Limited 45
XG Firewall
Abbildung 7: Schnittstellendiagramm
Hinweis• Die Diagramme von heute und gestern werden durchschnittlich alle 5 Minuten
aufgezeichnet.
• Das Wochendiagramm wird durchschnittlich alle 15 Minuten aufgezeichnet.
• Das Monatsdiagramm wird durchschnittlich alle 6 Stunden aufgezeichnet.
• Das Jahresdiagramm wird durchschnittlich einmal am Tag aufgezeichnet.
6.3 URL-Kategoriensuche
Mit der URL-Kategoriensuche können Sie herausfinden, ob die URL kategorisiert ist oder nicht.Nach der angegebenen URL wird gesucht und im Erfolgsfall wird sie mit dem Namen der Kategorie,der sie zugeordnet ist, sowie der Beschreibung der Kategorie angezeigt.
Wenn die Domäne/URL als eigene Kategorie und als Standardkategorie eingestuft ist, wird derName der eigenen Kategorie in den Suchergebnissen angezeigt.
Nach einer URL suchen:
1. Gehen Sie zu Diagnose > URL-Kategoriensuche.
2. Geben Sie die URL, nach der gesucht werden soll, in URL suchen ein.
3. Klicken Sie auf Suchen.
6.4 Paketerfassung
Auf dieser Seite werden für die gewünschte Schnittstelle die Paketinformationen angezeigt. Hierfinden Sie Informationen zur Verbindung und den Paketen, die von den einzelnen Modulpaketen,z. B. Firewall oder IPS, verarbeitet werden, sowie Daten wie Firewallregelnummern, Benutzer,
46 Copyright © 2018 Sophos Limited
XG Firewall
Richtliniennummern von Web- und Anwendungsfiltern usw. Mit diesen Informationen könnenAdministratoren fehlerhafte Firewallregeln einfacher reparieren.
Sie können:
• Die Filtereinstellungen für die Erfassung von Paketen konfigurieren.
• Die Paketinformationen ansehen.
• Die Filterbedingungen für die Pakete angeben.
• Start/Stopp – Starten und stoppen Sie die Paketerfassung.
• Aktualisieren – Aktualisieren Sie die Liste.
• Löschen – Löschen Sie die Daten der erfassten Pakete.
Paketerfassung
Nachverfolgung ein/aus Mit diesem Schieberegler aktivieren/deaktivierenSie die Paketerfassung.
Der Status, die Puffergröße und der für dieErfassung verwendete Puffer werden angezeigt:
• Nachverfolgung an - Paketerfassungaktiviert.
• Nachverfolgung aus - Paketerfassungdeaktiviert.
• Puffergröße: 2048 KB
• Genutzter Puffer: 0 bis 2048 KB
Die erfassten Pakete füllen den Puffer bis zu einerGröße von 2048 KB. Wenn die Paketerfassungan ist und der verwendete Puffer die angegebenePuffergröße übersteigt, wird die Paketerfassungautomatisch gestoppt. In diesem Fall müssenSie den Puffer manuell löschen, um ihn weiterverwenden zu können.
HinweisDie Details der Paketerfassung werden ineinem neuen Fenster der Protokollansichterst nach der Aktivierung der Paketerfassungangezeigt.
Konfigurieren Klicken Sie diese Option, um die Paketerfassungzu konfigurieren.
Der Capture-Filter kann anhand der folgendenParametern konfiguriert werden:Anzahl der zuerfassenden Bytes (je Paket)PufferpackungBPF-String
Es gibt verschiedene Filterbedingungen zurErfassung von Paketen. Der BPF-String wirdverwendet, um die Paketerfassung zu filtern.Beispiel: Host 192.168.1.2 und Port 137.
Copyright © 2018 Sophos Limited 47
XG Firewall
Erfasste Pakete
Im Abschnitt Erfasste Pakete sehen Sie eine Liste aller erfassten Pakete. Für jedes Paket zeigt dieListe Folgendes an:
Zeit Erfassungszeit des Pakets.
Ein-Schnittstelle Schnittstelle, von welcher das Paket kommt.
Ausgehende Schnittstelle Schnittstelle, an welche das Paket gesendetwird.
Ethernet-Art Ethertype: IPv4 oder IPv6 oder ARP
Ethertype ist ein Feld in einem Datenframe.Gibt an, welches Protokoll im Datenframeeingekapselt ist.
Quell-IP Quell-IP-Adresse (IPv4/IPv6) des Pakets.
ZielIP Ziel-IP-Adresse (IPv4/IPv6) des Pakets.
Pakettyp Typ des Pakets: ARP-Anfrage oder UDP.
Ports [Quelle, Ziel] Ports der Quelle und des Ziels.
Regel-ID ID der Firewallregel.
Status Möglicher Paketstatus:
• Eingehend: Pakete, die an einer WAN- oderLAN-Schnittstelle empfangen werden.
• Weitergeleitet: Pakete, die an dieausgehende Schnittstelle weitergeleitetwerden.
• Verbraucht: Pakete, die an die Applianceaddressiert sind oder von dieser verwendetwerden.
• Erzeugt: Pakete, die von der Applianceerzeugt werden.
• Verstoß: Im Fall eines Verstoßes gegeneine Richtlinie verwirft die Appliance dasPaket und zeigt den Status Verstoß an.
Ursache Warum das Paket verworfen wurde, wenn esverworfen wurde.
Verbindungsstatus Staus der Verbindung.
Verfügbar durch Gibt für die Verbindung die Eigenschaft„Hergestellt“, TIME_WAIT oder NONE an.
Webfilter-ID ID der auf den Datenverkehr der Verbindungangewendeten Webfilter-Richtlinie.
Verbindungsflags System-Flags
Anwendungs-ID ID der auf den Datenverkehr der Verbindungangewendeten Anwendung.
48 Copyright © 2018 Sophos Limited
XG Firewall
Anwendungskategorie-ID ID der auf den Datenverkehr der Verbindungangewendeten Anwendungskategorie.
Verbindungs-ID Eindeutige ID einer Verbindung.
Gateway-ID ID des Gateways, über welchen derDatenverkehr geleitet wird.
Fernzugriffs-Richtlinien-ID ID der Fernzugriffs-Richtlinie, die für denDatenverkehr der Verbindung angewendet wird.
Bandbreiten-Richtlinien-ID ID der auf den Datenverkehr der Verbindungangewendeten Bandbreiten-Richtlinie.
Benutzergruppe Mitgliedschaft der Benutzer.
IPS-Richtlinien-ID ID der auf den Datenverkehr der Verbindungangewendeten IPS-Richtlinie.
Anwendungsfilter-ID ID der auf den Datenverkehr der Verbindungangewendeten Anwendungsfilter-Richtlinie.
Webkategorie-ID ID der auf den Datenverkehr der Verbindungangewendeten Web-Kategorie.
Master-Verbindungs-ID Master-Verbindungs-ID der aktuellenVerbindung.
Benutzername Name des Benutzers, der die Verbindungherstellt.
Filter anzeigen Anklicken, um die Filterkriterien festzulegen.
Die Paketerfassung kann nach folgendenKriterien gefiltert werden: Schnittstellenname,Ethertype, Pakettyp, Quell-IP, Quell-Port, Ziel-IP und Ziel-Port, Ursache, Status, Regel-ID,Benutzer und Verbindungs-ID.
Paketdaten
Paketdaten Zu den Paketdaten gehören dieKopfzeileninformationen und Einheiten wieFirewallregeln und -Richtlinien.
Hex & ASCII Details
Hex & ASCII Details Paketinformationen in Hex- und ASCII-Werten.
6.4.1 Capture-Filter konfigurieren
Auf der Seite Capture-Filter konfigurieren kann die Anzahl der Bytes eingestellt werden, die jePaket erfasst werden sollen.
1. Gehen Sie zu Diagnose > Paketerfassung und klicken Sie auf Konfigurieren.
2. Geben Sie die Daten zum Konfigurieren des Capture-Filters ein.
Copyright © 2018 Sophos Limited 49
XG Firewall
Anzahl der zu erfassenden Bytes (je Paket) Legen Sie die Anzahl der zu erfassenden Bytespro Paket fest.
Pufferpackung Aktivieren Sie diese Option, damit Pakete auchdann weiter erfasst werden, wenn der Puffervoll ist. Wenn das Auswahlkästchen aktiviert ist,beginnt die Paketerfassung wieder am Anfangdes Puffers.
BPF-String eingeben Legen Sie einen BPF-String fest. Der BPF(Berkeley Packet Filter) befindet sich zwischendem Link-Level-Treiber und dem Userspace.BPF ist protokollunabhängig und basiertauf einem Ansatz, wonach erst gefiltert unddann gepuffert wird. Die Rechnerabstraktionermöglicht eine effiziente Filterung. Beispiel:Host 192.168.1.2 und Port 137. Unter BPF-String-Parameter finden Sie Informationenzum Filtern spezifischer Pakete.
Tabelle 7: BPF-String-Parameter
Überprüfung der Pakete von (einem) Beispiel
spezifischen Host host 10.10.10.1
spezifischen Quell-Host src host 10.10.10.1
spezifischen Ziel-Host dst host 10.10.10.1
spezifischen Netzwerk net 10.10.10.0
spezifischen Quell-Netzwerk src net 10.10.10.0
spezifischen Ziel-Netzwerk dst net 10.10.10.0
spezifischen Port port 20 or port 21
spezifischer Quell-Port src port 21
spezifischen Ziel-Port dst port 21
spezifischen Host für den bestimmten Port host 10.10.10.1 and port 21
spezifischen Host für alle Ports außer SSH host 10.10.10.1 and port not 22
spezifischen Protokoll proto ICMP, proto UDP, proto TCP
3. Klicken Sie auf Speichern.
6.4.2 Filter anzeigen
Auf dieser Seite wird die Paketerfassung auf bestimmte Pakettypen beschränkt. Es gibt weitereFilterbedingungen wie Schnittstellentyp, Ethernet-Art, Quell-IP-Adresse und Ziel-IP-Adresse.
1. Gehen Sie zu Diagnose > Paketerfassung und klicken Sie auf Filter anzeigen.
2. Geben Sie die Daten zum Konfigurieren des Anzeigefilters ein.
Schnittstellenname Wählen Sie aus der Liste die für das Filternder Paketprotokolle genutzte physikalischeSchnittstelle aus.
50 Copyright © 2018 Sophos Limited
XG Firewall
Ethernet-Art Wählen Sie die Ethernet-Art aus: IPv4 oderIPv6 oder ARP.
Ethernet-Art ist ein Feld in einem Ethernet-Frame. Es dient als Verweis auf das imEthernet-Frame eingekapselte Protokoll.
Pakettyp Wählen Sie aus der Liste den Pakettyp für dasFiltern der Pakete aus.
Quell-IP Geben Sie die Quell-IP-Adresse an (IPv4/IPv6).
Quellport Geben Sie die Quellport-Nummer an.
ZielIP Geben Sie die Ziel-IP-Adresse an (IPv4/IPv6).
Zielport Geben Sie die Zielport-Nummer an.
Ursache Wählen Sie aus den verfügbaren Optionen dieUrsache für die Anzeige des Filters.
• Firewall
• LOCAL_ACL
• DOS_ATTACK
• INVALID_TRAFFIC
• INVALID_FRAGMENTED_TRAFFIC
• ICMP_REDIRECT
• SOURCE_ROUTED_PACKET
• FRAGMENTED_TRAFFIC
• APPLICATION_FILTER
• USER_IDENTITY
• IPS
• MAC_FILTER
• IPMAC_FILTER
• IP_SPOOF
• NEIGHBOR_POISONING
• SSL_VPN_ACL_VIOLATION
• VIRTUAL_HOST
• ICMP ERROR MESSAGE
Status Wählen Sie aus den verfügbaren Optionen denStatus des Filters aus.
• Allowed
• Violation
• Consumed
• Generated
• Incoming
• Forwarded
Copyright © 2018 Sophos Limited 51
XG Firewall
Regel-ID Geben Sie die ID für die Regel an.
Benutzer Wählen Sie aus der Liste der bereitsvorhandenen Benutzer einen Benutzer aus.
Verbindungs-ID Geben Sie eine Verbindungs-ID an.
Löschen Klicken Sie hier, um die Filtereinstellungen zuentfernen.
3. Klicken Sie auf Speichern.
6.5 Verbindungsliste
Auf dieser Seite wird der aktuelle oder „Live“-Verbindungsstatus Ihrer Appliance in Listenformangezeigt. Neben den Verbindungsinformationen enthält die Liste auch Angaben wie ID derFirewallregel, Benutzer-ID und Verbindungs-ID nach Verbindung. Die Verbindungsliste kannentsprechend den Anforderungen gefiltert werden. Klicken Sie auf den Verbindungs-ID-Link um dieLive-Momentaufnahme einer bestimmten Verbindung in Ihrem Fenster anzusehen.
Der Administrator kann das Aktualisierungsintervall so festlegen, dass die Liste zum eingestelltenZeitintervall automatisch aktualisiert wird, oder die Liste manuell über die Schaltfläche Aktualisierenerneuern. Um die Verbindungsliste zu filtern, klicken Sie auf Filter anzeigen und legen Sie dieParameter fest.
Verbindungsliste
Zeit Dauer des Verbindungsaufbaus im FormatHH:MM:SS.
Verbindungs-ID Eindeutige ID, die einer Verbindung zugewiesenist.
Ein-Schnittstelle Port, der für die eingehende Verbindung genutztwird.
Ausgehende Schnittstelle Port, der von der ausgehenden Verbindunggenutzt wird.
Quell-IP Quell-IP-Adresse (IPV4/IPv6) der Verbindung.
ZielIP Ziel-IP-Adresse (IPV4/IPv6) der Verbindung.
Protokoll Von der Verbindung genutztes Protokoll wie z.B.TCP oder UDP.
Anwendungsname Name der Anwendung, die die Verbindungaufgemacht hat.
Der Name wird für die Anwendungen angezeigt,die von SFOS identifiziert wurden. Wenn SecurityHeartbeat unter Komplexe Bedrohungen> Security Heartbeat aktiviert ist, wird fürAnwendungen, die nicht identifiziert werdenkonnten, der Link Anwendungsinformationanfordern angezeigt. Klicken Sie auf den Link,um Anwendungsinformationen vom Endpointabzufragen.
52 Copyright © 2018 Sophos Limited
XG Firewall
Wenn Security Heartbeat nicht aktiviert ist oderkeine Endpoints verbunden sind, wird KeineInformation verfügbar angezeigt.
Quellport Quellport der Verbindung.
Zielport Zielport der Verbindung.
Master-Verbindungs-ID Master-Verbindungs-ID der aktuellen Verbindung.
Regel-ID ID der Firewallregel, die die Sitzung erlaubt.
Benutzername Name des Benutzers, der eine Verbindungherstellt.
Verbindungsstatus Zeigt den Status der Verbindung an.
Flags System-Flag
Benutzergruppe Zugehörigkeit zu Benutzergruppen.
Webfilter-ID ID der Webfilter-Richtlinie, die für denDatenverkehr der Verbindung angewendet wird.
Anwendungsfilter-ID ID der Anwendungsfilter-Richtlinie, die für denDatenverkehr der Verbindung angewendet wird.
IPS-Richtlinien-ID ID der IPS-Richtlinie, die für den Datenverkehrder Verbindung angewendet wird.
Traffic-Shaping-Richtlinien-ID ID der QoS-Richtlinie, die für den Datenverkehrder Verbindung angewendet wird.
Fernzugriffs-Richtlinien-ID ID der Fernzugriffs-Richtlinie, die für denDatenverkehr der Verbindung angewendet wird.
Gateway-ID ID des Gateways, über das der Datenverkehr derVerbindung geleitet wird.
Webkategorie-ID ID der Webkategorie, die für den Datenverkehrder Verbindung angewendet wird.
Anwendungs-ID ID der Anwendung für den Datenverkehr derVerbindung.
Anwendungskategorie-ID ID der Anwendungskategorie für denDatenverkehr der Verbindung.
Verbindung verfügbar durch Die Firewall, die die Verbindung bereitstellt.
Übersetzte Quelle Übersetzte Quell-IP-Adresse für ausgehendenDatenverkehr.
Übersetztes Ziel Übersetzte Ziel-IP-Adresse für ausgehendenDatenverkehr.
Abgelaufen in (Sekunden) Die Verbindung wird nach Ablauf der angezeigtenSekunden getrennt, wenn sie nicht genutzt wird.
Rx Bytes Datenmenge in Byte, die während dieser Sitzungempfangen wurde.
Tx Bytes Datenmenge in Byte, die während dieser Sitzunggesendet wurde.
Rx Pakete Anzahl der Pakete, die während dieser Sitzungempfangen wurden.
Copyright © 2018 Sophos Limited 53
XG Firewall
Tx Pakete Anzahl der Pakete, die während dieser Sitzunggesendet wurden.
Verbindungsstatus Zeigt den Staus der Verbindung an.
6.5.1 Filter anzeigen
Auf der Seite Filter anzeigen können Sie Filterkriterien für die Anzeige der Verbindungslistefestlegen.
1. Gehen Sie zu Diagnose > Verbindungsliste und klicken Sie auf Filter anzeigen.
2. Filterparameter eingeben
Ein-Schnittstelle Schnittstelle, die von der eingehendenVerbindung genutzt wird.
Ausgehende Schnittstelle Schnittstelle, die von der ausgehendenVerbindung genutzt wird.
Benutzer Name des Benutzers, der eine Verbindungherstellt.
Netzwerkprotokoll Wählen Sie das Netzwerkprotokoll aus, das fürdie Herstellung einer Verbindung genutzt wird.
Verfügbare Optionen:IPv4IPv6
Quell-IP IP-Adresse (IPv4/IPv6), von der aus dieVerbindung hergestellt wurde.
ZielIP IP-Adresse (IPv4/IPv6), zu der die Verbindunghergestellt wurde.
Pakettyp Wählen Sie den Pakettyp aus, der für dieVerbindung genutzt wird.
Quellport Quellport der Verbindung.
Zielport Zielport für die Verbindung.
Regel-ID ID der Firewallregel.
Löschen Klicken Sie hier, um die Filtereinstellungen zuentfernen.
6.5.2 Zugehörige Verbindungen
Auf dieser Seite wird eine Live-Momentaufnahme der ausgewählten Verbindung angezeigt. Nebenden Verbindungsinformationen enthält die Liste auch Angaben zur ausgewählten Verbindung wie dieFirewallregel-ID, Benutzer-ID, Verbindungs-ID, Webfilter-ID und so weiter.
6.6 Support-ZugriffVerwenden Sie die Seite Support-Zugriff, um einem Sophos Support Teammitglied zurFehlerbehebung zeitweisen Zugriff auf Ihre Firewall zu gestatten.
54 Copyright © 2018 Sophos Limited
XG Firewall
Support-Zugriff ermöglicht es dem Sophos Support, sich ohne Administrator-Zugangsdaten mitder Web-Admin-Oberfläche auf Ihrer Firewall zu verbinden. Wenn diese Funktion aktiviert ist, wirdeine Zugriffs-ID erzeugt, mit der das Support-Teammitglied auf Ihre Appliance zugreifen kann. DerAdministrator muss diese ID an den Support übermitteln.
Wenn Support-Zugriff aktiviert ist, kann der Support vom WAN aus über HTTPS auf TCP-Port 22 aufIhre XG Firewall zugreifen. Alle Verbindungen zwischen XG Firewall und dem Support werden vonIhrer XG Firewall initiiert.
Legen Sie folgendes fest:
1. Aktivieren Sie den Support-Zugriff auf Sophos XG Firewall unter Diagnose > Support-Zugriff undklicken Sie auf den Schalter.
2. Bestätigen Sie die Aktivieren-Meldung mit OK.
3. Über die Auswahlliste Zugriff gewähren für legen Sie fest, wie lange der Zugriff gültig ist.
4. Klicken Sie auf Übernehmen, um die Einstellungen zu aktualisieren.
5. Klicken Sie auf OK.
Sophos XG Firewall baut eine sichere Verbindung zur APU (Access Proxy für UTM) auf undüberträgt eine eindeutige Zugriffs-ID.
6. Teilen Sie dem Support die Zugriffs-ID mit.
Der Support nutzt diese Zugriffs-ID, um sich an Ihrer XG Firewall anzumelden. Die Steuerverbindungbleibt für die angegebene Zeit, die neben Zugriff bis angezeigt wird, erhalten.
Sie können die Verbindung jederzeit manuell trennen, indem Sie auf den Umschalter klicken und dieMeldung mit OK bestätigen.
Copyright © 2018 Sophos Limited 55
XG Firewall
Kapitel 7
7 FirewallFirewallregeln sind Sets an Sicherheitsregeln, die das Verhalten von Benutzern, Anwendungen oderNetzwerkobjekten in einer Organisation steuern. Mithilfe der Firewallregel können Sie pauschale oderspezifische Regeln zur Datenübertragung je nach Ihren Anforderungen erstellen. Die Regeltabelleermöglicht die zentralisierte Verwaltung von Firewallregeln.
Firewallregeln
Sie können bestehende Firewallregeln aktualisieren oder neue Firewallregeln hinzufügen. Siekönnen die Position von eigenen Firewallregeln in der Regeltabelle ändern. Die Firewall wertet dieRegeln von oben nach unten aus.
• Um eine Firewallregel hinzuzufügen, wählen Sie das Protokoll IPv4 oder IPv6 aus undklicken Sie auf + Firewallregel hinzufügen. Wählen Sie Benutzer-/Netzwerkregel oderGeschäftsanwendungsregel aus.
• Um eine Regel zu klonen, klicken Sie auf
und klicken Sie auf Oberhalb klonen oder Unterhalb klonen.
• Um eine neue Netzwerk- oder Geschäftsanwendungsregel von der Regeltabelle hinzuzufügen,klicken Sie auf
und klicken Sie auf die Regeltyp, die Sie hinzufügen wollen.
• Um eine Regel zu aktivieren oder deaktivieren, klicken Sie auf
und klicken Sie auf den Schalter.
• Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf
und wählen Sie die Maßnahme aus.
• Um die Position der Regel zu ändern, klicken Sie auf die Verschiebepunkte( )und ziehen Sie die Regel an den gewünschten Platz.
Tabelle 8: Status von Regeln
Status Beschreibung
Ungenutzt Die Firewall hat in den letzten 24 Stunden keinen Verkehr gefunden, der zu derRegel passt.
Deaktiviert Manuell deaktiviert.
Geändert In den letzten 24 Stunden aktualisiert.
Neu In den letzten 24 Stunden erstellt.
Sie können Firewallregeln filtern.
• Um Regeln basierend auf dem Protokoll zu filtern, klicken Sie auf IPv4 oder IPv6.
56 Copyright © 2018 Sophos Limited
XG Firewall
• Um Filter einzustellen, klicken Sie auf Filter aktivieren, wählen Sie die Filter und klicken Sie aufÜbernehmen. Um eine bestimmte Regel zu sehen, geben Sie die Regel-ID ein.
• Um alle Filter zurücksetzen, klicken Sie auf Filter zurücksetzen.
• Um die Filteransicht zu schließen, klicken Sie auf Filter deaktivieren.
• Um die Regelinformationen in der Regeltabelle zu sehen, lassen Sie den Mauszeiger über denSymbolen unter Funktionen ruhen.
Firewallregelgruppen
Sie können Firewallregelgruppen von der Regeltabelle und von der Regelvorlage erstellen. Siekönnen eine Firewallregel zu einer Regelgruppe hinzufügen oder von einer Gruppe lösen. Benutzer-,Netzwerk- und Geschäftsanwendungsregeln können Mitglieder einer einzigen Regelgruppe sein. Siekönnen die Regel ziehen und fallen lassen, um ihre Position zu ändern.
• Um eine neue Regelgruppe aus der Regeltabelle zu erstellen, klicken Sie auf
neben einer Regel und klicken Sie auf Neue Gruppe. Geben Sie einen Namen ein und klickenSie auf Verschieben.
• Um eine Firewallregel zu einer bestehenden Regelgruppe hinzuzufügen, klicken Sie auf
.Wählen Sie unter Zu Gruppe hinzufügen die Regelgruppe aus, in welche die Firewallregelverschoben werden soll.
• Um eine Firewallregel von einer Regelgruppe zu lösen, klicken Sie auf
und klicken Sie auf Lösen.
• Um eine bestehende Firewallregelgruppe zu bearbeiten, klicken Sie auf
,bearbeiten Sie die Informationen und klicken Sie dann auf Aktualisieren. Sie können denNamen, die Beschreibung, den Regeltyp, die Quell- und die Zielzone bearbeiten.
HinweisLeere Regelgruppen kann es nicht geben. Wenn Sie die letzte Regel aus einer Regelgruppelöschen, löscht die Firewall die Regelgruppe.
HinweisRegelgruppen bestimmen nicht die Regelpriorität. Die Firewall wertet die Regeln von oben nachunten aus.
Automatisches Gruppieren von Firewallregeln
Sie können eine Firewallgruppe erstellen, indem Sie Abgleichkriterien, wie Regeltyp, Quell- undZielzone festlegen.
Wenn Sie eine Firewallregel erstellen, wählen Sie Automatisch in Regelgruppe, um die Regel aufBasis der Abgleichkriterien zu gruppieren.
Copyright © 2018 Sophos Limited 57
XG Firewall
HinweisXG Firewall verwendet die Gruppen-Abgleichkriterien nicht, um Netzwerkverkehr zu verwalten,sondern nur zum Gruppieren von Firewallregeln.
Standard-Firewallregeln
Wenn Sie den Netzwerkkonfigurationsassistent während der ersten Einrichtung verwenden,erstellt XG Firewall eine Standard-Firewallregel namens #Default_Network_Rule.
Standard-Firewallgruppen
Wenn Sie den Netzwerkkonfigurationsassistent während der ersten Einrichtung verwenden,erstellt XG Firewall diese Standard-Firewallregelgruppen mit einer deaktivierten Firewallregel:
Traffic to DMZ (Verkehr zur DMZ): Eingehender Verkehr wird in die DMZ geroutet. Wenn SieAutomatisch in Regelgruppe angegeben haben, werden Firewallregeln mit der Zielzone DMZautomatisch zu dieser Gruppe hinzugefügt, aufgrund der Gruppen-Abgleichkriterien.
Traffic to WAN (Verkehr zum WAN): Ausgehender Verkehr wird ins WAN geroutet. Wenn SieAutomatisch in Regelgruppe angegeben haben, werden Firewallregeln mit der Zielzone WANautomatisch zu dieser Gruppe hinzugefügt, aufgrund der Gruppen-Abgleichkriterien.
Traffic to Internal Zones (Verkehr zu internen Zonen): Verkehr wird ins LAN, WLAN, VPN oderDMZ geroutet. Wenn Sie Automatisch in Regelgruppe angegeben haben, werden Firewallregeln mitder Zielzone LAN, WLAN, VPN oder DMZ automatisch zu dieser Gruppe hinzugefügt, aufgrund derGruppen-Abgleichkriterien.
HinweisStandardmäßig sind Regeltyp, Quellzone und Zielzone auf „Any“ (beliebig) gestellt.
HinweisXG Firewall kann keine leeren Firewallregelgruppen haben. Daher gibt es in jederStandardregelgruppe eine deaktivierte Firewallregel. Sie wirkt sich nicht auf den Verkehr aus, dasie deaktiviert ist. Sie können sie aber aktivieren, ändern oder löschen.
Liste der Firewallregeln verstehen
Alle hinzugefügten Regeln sind in Form einer Liste verfügbar. Für jede Regel in der Liste ist einekurze Übersicht verfügbar. Welche Elemente in der verkleinerten oder erweiterten Ansicht verfügbarsind, sehen Sie unten.
Symbole in der verkleinerten Ansicht:
• ID: ID der Regel
• Name: Name der Regel
— Eingehend/Ausgehend: Menge des Verkehrs (in Bytes), der über eine bestimmte Regelaus- oder eingeht
• Quelle: Quellzone
• Ziel: Zielzone
58 Copyright © 2018 Sophos Limited
XG Firewall
• Was: Zeigt geschützte Domänen/Dienste an
• Maßnahme: Status der geschützten Server, Status der Web und Application Protection fürBenutzer
• Funktionen: Status des Zeitplans, des Heartbeats, IPS und Traffic-Shaping
Um die Regelinformationen zu sehen, lassen Sie den Mauszeiger über Funktionen ruhen.
Symbole verstehen
Symbole Bedeutung
Geschäftsanwendungsregel ist aktiviert.
Geschäftsanwendungsregel ist deaktiviert.
Benutzerregel ist deaktiviert und Maßnahme ist Annehmen.
Benutzerregel ist deaktiviert und Maßnahme ist Verwerfen oder Ablehnen.
Benutzerregel ist aktiviert und Maßnahme ist Verwerfen oder Ablehnen.
Benutzerregel ist aktiviert.
Netzwerkregel ist aktiviert.
Netzwerkregel ist deaktiviert und Maßnahme ist Annehmen.
Netzwerkregel ist deaktiviert und Maßnahme ist Verwerfen oder Ablehnen.
Netzwerkregel ist aktiviert und Maßnahme ist Verwerfen oder Ablehnen.
Antiviren-Scans sind deaktiviert.
Antiviren-Scans sind aktiviert.
Anwendungsüberwachung ist deaktiviert.
Anwendungsüberwachung ist für alle Zulassen.
Anwendungsüberwachung ist für alle Ablehnen.
Anwendungsüberwachung ist Verwerfen.
Copyright © 2018 Sophos Limited 59
XG Firewall
Symbole Bedeutung
Security Heartbeat™ ist deaktiviert oder es gibt keine Beschränkung.
Security HeartbeatTM ist aktiviert und grün.
Security HeartbeatTM ist aktiviert und gelb.
Security HeartbeatTM Keine Beschränkung und kein Heartbeat.
Security HeartbeatTM Keine Beschränkung und grün.
Security HeartbeatTM Keine Beschränkung und gelb.
Intrusion Prevention ist deaktiviert.
Intrusion Prevention ist aktiviert.
NAT ist deaktiviert.
NAT ist aktiviert.
Traffic-Shaping-Richtlinie ist deaktiviert.
Traffic-Shaping-Richtlinie ist aktiviert.
Internetrichtlinie ist deaktiviert.
Internetrichtlinie ist Annehmen.
Internetrichtlinie ist Ablehnen.
Internetrichtlinie ist Verwerfen.
Routing ist aktiviert.
Routing ist deaktiviert.
Firewallregel ist aktiviert. Klicken, um die Regel zu deaktivieren.
Firewallregel ist deaktiviert. Klicken, um die Regel zu aktivieren.
Klappen Sie die Regel auf für weitere Informationen.
Eine Regel zuklappen.
Eine Regel oder Gruppe bearbeiten.
Eine Regel löschen (gilt nicht für Standardregeln).
Ziehen Sie eine Regel, um ihre Reihenfolge zu ändern.
60 Copyright © 2018 Sophos Limited
XG Firewall
Symbole Bedeutung
Farbschlüssel
Rot Abgelehnt oder verworfen.
Grün Angenommen oder zugelassen.
Gelb Verworfen (in Bezug auf Richtlinien).
Blau An oder aktiviert.
Grau Aus oder deaktiviert.
Klicken Sie auf
,damit folgende Optionen erscheinen:
• An
• Aus
• Bearbeiten: Bearbeiten Sie eine Firewallregel
• Oberhalb klonen
• Unterhalb klonen
• Netzwerkregel oberhalb hinzufügen
• Geschäftsregel oberhalb hinzufügen
• Netzwerkregel unterhalb hinzufügen
• Geschäftsregel unterhalb hinzufügen
• Zu Gruppe hinzufügen: Führt bestehende Gruppen auf. Sie können eine Firewallregel zueiner neuen oder bestehenden Gruppe hinzufügen. Sie können auch eine Gruppe aus der Listelöschen.
— Neue Gruppe Erstellt eine Firewallgruppe mit Namen, Beschreibung, Regeltyp, Quell- undZielzone. Sie können bestehende Firewallregeln zur Gruppe hinzufügen.
• Lösen: Löst eine Firewallregel von einer Gruppe.
• Löschen
Zugehörige KonzepteNAT (Seite 495)Mit Richtlinien für die Netzwerkadressübersetzung (NAT) können Sie internen Hosts gestatten, überdie öffentlichen IP-Adressen der Firewall auf das Internet zuzugreifen. Die Firewall bildet interne IP-Adressen auf die öffentlichen IP-Adressen ab.
7.1 Benutzer-/NetzwerkregelBenutzer-/Netzwerkregeln werden verwendet, um die Zugriffsrechte auf Objekte und Hosts imNetzwerk festzulegen und diese zu schützen. Kurz zusammengefasst empfiehlt sich die Verwendungeiner Netzwerkregel, wenn Sie den Datenverkehr nach Quelle, Dienst, Ziel und Zone steuern möchten.Zudem hat der Administrator die Möglichkeit, zu einer Regel eine Benutzeridentität hinzuzufügen, umden Zugriff auf bestimmte Hosts und Server weiter anzupassen. Diese auf Identitäten basierendenRegeln werden Benutzerregeln genannt.
Copyright © 2018 Sophos Limited 61
XG Firewall
7.1.1 Benutzer-/Netzwerkregel hinzufügen (IPv4)
Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv4-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.
1. Gehen Sie zu Firewall und klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
2. Geben Sie die Daten für die Regeleinführung ein.
Regelname Geben Sie einen Namen für die Regel ein.
Beschreibung Geben Sie eine Beschreibung für die Regel ein.
Position der Regel Wählen Sie aus den verfügbaren Optionen diePosition der Regel aus.
Verfügbare Optionen:
• Oben
• Unten
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
Maßnahme Wählen Sie aus den verfügbaren Optionen eineMaßnahme für den Datenverkehr der Regelaus.
• Annehmen: Zugriff zulassen
• Verwerfen: Ohne Benachrichtigungverwerfen
62 Copyright © 2018 Sophos Limited
XG Firewall
• Ablehnen: Zugriff verweigern (an die Quellewird die Meldung „ICMP port unreachable“gesendet)
Wenn eine Antwort gesendet wird, ist esmöglich, dass diese über eine andereSchnittstelle versendet wird als die Anfrageerhalten wurde. Dies hängt von der Routing-Konfiguration der Appliance ab.
Zum Beispiel: Wenn die Anfrage auf einemLAN-Port über eine gefälschte IP-Adresseempfangen wurde (öffentliche IP-Adresse odereine IP-Adresse außerhalb des LAN-Netzwerks)und keine bestimmte Route festgelegt ist,sendet die Appliance eine Antwort an dieseHosts über die Standard-Route. Das bedeutet,dass die Antwort über den WAN-Port versendetwird.
3. Geben Sie Details zur Quelle ein.
Quellzonen Wählen Sie, welche Quellzonen dem Benutzererlaubt sind.
Eine neue Zone kann direkt auf dieser Seiteoder über die Seite Netzwerk > Zonen erstelltwerden.
Quellnetzwerke und -geräte Wählen Sie, welche Netzwerke/Geräte demBenutzer erlaubt sind.
Ein neuer Netzwerk-Host kann direkt auf dieserSeite oder über die Seite Hosts und Diensteerstellt werden.
Im geplanten Zeitraum Wählen Sie, welcher Zeitplan dem Benutzererlaubt ist.
Ein neuer Zeitplan kann direkt auf dieser Seiteoder über die Seite Profile > Planer erstelltwerden.
4. Legen Sie Ziel- und Dienstinformationen fest.
Zielzonen Wählen Sie, welche Zielzonen dem Benutzererlaubt sind.
Zielnetzwerke Wählen Sie, welche Zielnetzwerke demBenutzer erlaubt sind.
Ein neuer Netzwerk-Host kann direkt aufdieser Seite oder über die Seite Hosts undDienste erstellt werden.
Dienste Wählen Sie, welche Dienste dem Benutzererlaubt sind.
Ein neuer Dienst kann direkt auf dieser Seiteoder über die Seite Hosts und Dienste >Dienste erstellt werden.
5. Geben Sie Details zur Identität ein. Folgen Sie diesen Schritten, wenn Sie eine Benutzerregelkonfigurieren möchten.
Copyright © 2018 Sophos Limited 63
XG Firewall
Übereinstimmung mit bekannten Benutzern Wählen Sie diese Option, um eine Regel aufBasis der Benutzeridentität zu aktivieren.
Captive-Portal unbekannten Benutzernanzeigen (nur wenn Übereinstimmung mitbekannten Benutzern ausgewählt ist)
Aktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzernzuzulassen. Die Captive-Portal-Seite wirddem Benutzer angezeigt. Dort kann er sichanmelden, um auf das Internet zuzugreifen.
Deaktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzern zuverwerfen.
Benutzer oder Gruppen (nur wennÜbereinstimmung mit bekannten Benutzernausgewählt ist)
Wählen Sie die Benutzer oder Gruppen aus derListe der verfügbaren Optionen.
Schließen Sie diese Benutzeraktivität vonder Datenverarbeitung aus. (nur wennÜbereinstimmung mit bekannten Benutzernausgewählt ist)
Wählen Sie die Option, umDatenverkehrsaktivitäten des Benutzers aus derDatenerfassung auszuschließen. Mit anderenWorten, der Datenverkehr, der von dieser Regelzugelassen wird, wird für den Datentransferdieses Benutzer nicht erfasst.
Standardmäßig wird Der Netzwerkdatenverkehrdes Benutzers bei der Datenverarbeitungberücksichtigt.
6. Legen Sie Details für Internet-Schadprogramm-/ und Inhaltsscans fest (nur verfügbar wenn diegewählte Maßnahme für den Datenverkehr Annehmen ist).
HTTP scannen Aktiviert das Scannen von HTTP-Verkehr.
HTTPS entschlüsseln und scannen Aktiviert das Entschlüsseln und Scannen vonHTTPS-Verkehr.
Google QUIC blockieren (Quick UDP InternetConnections)
Verkehr über das QUIC-Protokoll für Google-Dienste deaktivieren.
Zero-Day-Bedrohungen erkennen mitSandstorm
Mittels HTTP oder HTTPS heruntergeladeneDateien zur Analyse an Sandstormsenden. Sandstorm schützt Ihr Netzwerkvor unbekannten und unveröffentlichtenBedrohungen („Zero-Day“-Bedrohungen).
FTP scannen Aktiviert das Scannen von FTP-Verkehr.
7. Legen Sie Details für erweiterte Einstellungen fest (nur verfügbar wenn die gewählte Maßnahmefür den Datenverkehr Annehmen ist).
a) Legen Sie die Richtlinien für Benutzeranwendungen fest.
Angriffsvorbeugung Wählen Sie eine IPS-Richtlinie für dieRegel aus. Eine neue IPS-Richtlinie kanndirekt auf dieser Seite oder über die SeiteAngriffsvorbeugung > IPS-Richtlinienerstellt werden.
Traffic-Shaping-Richtlinie Die Traffic-Shaping-Richtlinie des Benutzerswird automatisch angewendet, wennÜbereinstimmung mit bekanntenBenutzern ausgewählt ist.
64 Copyright © 2018 Sophos Limited
XG Firewall
Sie müssen eine Traffic-Shaping-Richtliniefür die Regel auswählen oder eine neueerstellen, wenn Übereinstimmung mitbekannten Benutzern nicht ausgewählt ist.
Sie können eine neue Richtlinie unter Neuerstellen > Traffic-Shaping-Richtlinie(QoS) hinzufügen erstellen. Sie könnendie Richtlinien-Zuordnung festlegenund die Richtlinie nach Bedarf entwederWebkategorien oder Anwendungenzuweisen.
Internetrichtlinien Wählen Sie für die Regel eineInternetrichtlinie aus.
Eine neue Internetrichtlinie kann direkt aufdieser Seite oder über die Seite Web >Richtlinien erstellt werden.
Traffic-Shaping-Richtlinie basierend aufWebkategorie übernehmen
Klicken, um die Bandbreite für URLs, dieder Webkategorie zugeordnet sind, zubeschränken.
Anwendungsüberwachung Wählen Sie für die Regel eineAnwendungsfilter-Richtlinie aus. Eineneue Anwendungsfilter-Richtlinie kanndirekt auf dieser Seite oder über die SeiteAnwendungen > Anwendungsfilter erstelltwerden.
Anwendungsbasierte Traffic-Shaping-Richtlinie übernehmen
Klicken, um die Bandbreite für Anwendungen,die in der Anwendungskategorie zugeordnetsind, zu beschränken.
b) Einstellungen der synchronisierten Sicherheit konfigurieren.
Minimal zulässige Quell-HBs Wählen Sie, welchen Systemzustand eineQuell-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein.Wenn ein Statuskriterium nicht eingehaltenwird, werden die in dieser Regel definiertenBerechtigungen und Zugriffsrechte demBenutzer nicht gewährt.
Clients ohne Heartbeat blockieren Mit Heartbeat kompatible Geräte können sokonfiguriert werden, dass sie Informationenzu ihrem Status in definierten Intervallenversenden. Diese werden Herzschlag(Heartbeat) genannt.
Auf Basis dieser Informationen könnenSie den Zugriff eines Geräts, von dem derDatenverkehr stammt, auf bestimmte Diensteund Netzwerke beschränken.
Aktivieren/deaktivieren Sie die Option, umdie Versendung von Heartbeats erforderlichzu machen.
Copyright © 2018 Sophos Limited 65
XG Firewall
Minimal zulässige Ziel-HBs (nichtverfügbar wenn als einzige GeschützteZone WAN ausgewählt ist)
Wählen Sie, welchen Systemzustand eineZiel-Appliance mindestens besitzen muss, ummit dieser Richtlinie übereinzustimmen. DerIntegritätsstatus kann entweder Grün, Gelboder Keine Beschränkung sein. Wenn einStatuskriterium nicht eingehalten wird, werdendie in dieser Regel definierten Berechtigungenund Zugriffsrechte dem Benutzer nichtgewährt.
HinweisSie können die Option verwenden, wennSie mehrere Zonen zusammen mit WANausgewählt haben.
Anfrage zu einem Ziel ohne Heartbeatblockieren (nicht verfügbar wenn alseinzige Zielzone WAN ausgewählt ist)
Mit Heartbeat kompatible Geräte können sokonfiguriert werden, dass sie Informationenzu ihrem Status in definierten Intervallenversenden. Diese werden Herzschlag(Heartbeat) genannt.
Basierend auf dieser Information könnenSie Anfragen zu Richtungen blockieren, diekeinen Heartbeat senden.
Aktivieren/deaktivieren Sie die Option, umdie Versendung von Heartbeats erforderlichzu machen.
HinweisSie können die Option verwenden,wenn Sie mehrere Zonen zusammenmit WAN ausgewählt haben.
c) Geben Sie NAT- und Routing-Details ein.
Quelladresse umschreiben (Maskieren) Wählen Sie aus, ob Sie die Quelladresseumschreiben oder die NAT-Richtliniefestlegen möchten.
Standard: Deaktiviert
Gatewayspezifische Standard-NAT-Richtlinie verwenden (nur verfügbar wennMaskieren ausgewählt ist)
Auswählen, um die Standard-NAT-Richtliniedurch eine gatewayspezifische Richtlinie zuüberschreiben.
Standard-NAT-Richtlinie durcheine gatewayspezifische Richtlinieüberschreiben (nur verfügbar wennGatewayspezifische Standard-NAT-Richtlinie verwenden ausgewählt ist)
Wählen Sie diese Option, um einen Gatewayund eine dazugehörige NAT-Richtliniefestzulegen. Es können mehrere Gatewaysund NAT-Richtlinien hinzugefügt werden.
Ausgehende Adresse verwenden (nurverfügbar wenn Quelladresse umschreibenausgewählt ist.
Wählen Sie, welche NAT-Richtlinieangewendet werden soll. Nutzen Sie die Listeder verfügbaren NAT-Richtlinien.
66 Copyright © 2018 Sophos Limited
XG Firewall
Eine neue NAT-Richtlinie kann direkt aufdieser Seite oder über die Seite Profile >NAT erstellt werden.
Standard: MASQ
MASQ (Schnittstellen-Standard-IP)
• Die IP-Adresse der Zielzone wie unterNetzwerk > Schnittstellen konfiguriertwird anstelle der (Schnittstellen-Standard-IP) angezeigt, wenn eineeinzelne Zielzone ausgewählt ist.
• (Schnittstellen-Standard-IP) wirdangezeigt, wenn mehrere Zielzonenausgewählt sind.
Primäres Gateway Legen Sie das primäre Gateway fest oderfügen Sie einen Gateway-Host auf der Seiteselbst an. Diese Option ist nur anwendbar,wenn mehr als ein Gateway definiert wurden.
HinweisWenn das Gateway gelöscht wird,zeigt Primäres Gateway WAN-LinkLastverteilung für die WAN Zielzone anund Keine für andere Zonen. In diesemFall trifft die Firewall keine Routing-Entscheidungen.
Backup-Gateway Geben Sie das Backup-Gateway an. DieseOption ist nur anwendbar, wenn mehr als einGateway definiert wurden.
HinweisWenn das Gateway gelöscht wird, zeigtdas Backup-Gateway Keine an.
DSCP-Markierung Wählen Sie die DSCP-Markierung.
DSCP (DiffServ Code Point) klassifiziertden Strom der Pakete bei Eintritt in daslokale Netzwerk je nach QoS. Der Stromwird über fünf Elemente definiert: IP-Adresseder Quelle, IP-Adresse des Ziels, Quellport,Zielport und Transportprotokoll.
8. Definieren Sie die Protokollierungsoptionen für den Datenverkehr der Benutzeranwendung.
Firewallverkehr protokollieren Wählen Sie die Option, um die Protokollierungdes zugelassenen und abgewiesenenDatenverkehrs zu aktivieren.
9. Klicken Sie auf Speichern.
Zugehörige KonzepteZeitplan (Seite 490)
Copyright © 2018 Sophos Limited 67
XG Firewall
Zeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.
Zentrale Synchronisierung (Seite 287)Durch die Synchronisierung mit Sophos Central können Sie Security Heartbeat verwenden, um Gerätein Ihrem Netzwerk zu ermöglichen, Integritätsinformationen mitzuteilen. Synchronized ApplicationControl lässt Sie Anwendungen in Ihrem Netzwerk erkennen und verwalten. Zusätzlich können Sie IhreXG Firewall Appliances zentral über Sophos Central verwalten.
7.1.2 Benutzer-/Netzwerkregel hinzufügen (IPv6)
Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv6-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.
1. Gehen Sie zu Firewall und wählen Sie IPv6 mithilfe des Filters.
2. Klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
3. Legen Sie die Details für die Richtlinieneinführung fest.
Regelname Geben Sie einen Namen für die Regel ein.
Beschreibung Geben Sie eine Beschreibung für die Regel ein.
Position der Regel Wählen Sie aus den verfügbaren Optionen diePosition der Regel aus.
Verfügbare Optionen:
• Oben
• Unten
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
68 Copyright © 2018 Sophos Limited
XG Firewall
Maßnahme Wählen Sie aus den verfügbaren Optionen eineMaßnahme für den Datenverkehr der Regelaus.
• Annehmen: Zugriff zulassen
• Verwerfen: Ohne Benachrichtigungverwerfen
• Ablehnen: Zugriff verweigern (an die Quellewird die Meldung „ICMP port unreachable“gesendet)
Wenn eine Antwort gesendet wird, ist esmöglich, dass diese über eine andereSchnittstelle versendet wird als die Anfrageerhalten wurde. Dies hängt von der Routing-Konfiguration der Appliance ab.
Zum Beispiel: Wenn die Anfrage auf einemLAN-Port über eine gefälschte IP-Adresseempfangen wurde (öffentliche IP-Adresse odereine IP-Adresse außerhalb des LAN-Netzwerks)und keine bestimmte Route festgelegt ist,sendet die Appliance eine Antwort an dieseHosts über die Standard-Route. Das bedeutet,dass die Antwort über den WAN-Port versendetwird.
4. Legen Sie die Quelleninformationen fest.
Quellzonen Wählen Sie, welche Quellzonen dem Benutzererlaubt sind.
Quellnetzwerke und Geräte Wählen Sie, welche Netzwerke/Geräte demBenutzer erlaubt sind.
Ein neuer Netzwerkhost kann direkt auf dieserSeite erstellt werden, indem Sie auf Neuerstellen klicken, oder auf der Seite Hosts undDienste.
Im geplanten Zeitraum Wählen Sie, welcher Zeitplan dem Benutzererlaubt ist.
Ein neuer Zeitplan kann direkt auf dieser Seiteoder über die Seite Profile > Planer erstelltwerden.
5. Legen Sie die Ziel- und Dienstinformationen fest.
Zielzonen Wählen Sie, welche Zielzonen dem Benutzererlaubt sind.
Zielnetzwerke Wählen Sie, welche Zielnetzwerke demBenutzer erlaubt sind.
Ein neuer Netzwerkhost kann direkt auf dieserSeite erstellt werden, indem Sie auf Neuerstellen klicken, oder auf der Seite Hosts undDienste.
Dienste Wählen Sie, welche/r Dienst(e) dem Benutzererlaubt ist/sind.
Copyright © 2018 Sophos Limited 69
XG Firewall
Ein neuer Dienst kann direkt auf dieser Seiteoder über die Seite Hosts und Dienste >Dienste erstellt werden.
6. Geben Sie Identitätsinformationen an.
Übereinstimmung mit bekannten Benutzern Wählen Sie diese Option, um eine Regel aufBasis der Benutzeridentität zu aktivieren.
Unbekannten Benutzern das Captive-Portalanzeigen
Aktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzernzuzulassen. Die Captive-Portal-Seite wirddem Benutzer angezeigt. Dort kann er sichanmelden, um auf das Internet zuzugreifen.
Deaktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzern zuverwerfen.
Benutzer oder Gruppen (nur wennÜbereinstimmung mit bekannten Benutzernausgewählt ist)
Wählen Sie die Benutzer oder Gruppen aus derListe der verfügbaren Optionen.
Schließen Sie diese Benutzeraktivität vonder Datenverarbeitung aus. (nur wennÜbereinstimmung mit bekannten Benutzernausgewählt ist)
Wählen Sie die Option, um den Traffic derBenutzeraktivität in die Datenverarbeitung ein-oder auszuschließen.
Standardmäßig wird Der Netzwerkdatenverkehrdes Benutzers bei der Datenverarbeitungberücksichtigt. Aktivieren Sie diese Option,um bestimmten Traffic von der Verarbeitungder Benutzerdaten auszuschließen. DerDatenverkehr, der von dieser Regel zugelassenwird, wird für den Datentransfer diesesBenutzer nicht erfasst.
7. Legen Sie die Details für Internet-Schadprogramm- und Inhaltsscans fest. (nur, wenn die Aktionfür den Datenverkehr Annehmen ist)
HTTP scannen Aktiviert das Scannen von HTTP-Verkehr.
HTTPS entschlüsseln und scannen Aktiviert das Entschlüsseln und Scannen vonHTTPS-Verkehr.
Google QUIC blockieren (Quick UDP InternetConnections)
Verkehr über das QUIC-Protokoll für Google-Dienste deaktivieren.
Zero-Day-Bedrohungen erkennen mitSandstorm
Mittels HTTP oder HTTPS heruntergeladeneDateien zur Analyse an Sandstormsenden. Sandstorm schützt Ihr Netzwerkvor unbekannten und unveröffentlichtenBedrohungen („Zero-Day“-Bedrohungen).
8. Legen Sie die Details für die erweiterten Einstellungen fest (nur, wenn die Aktion für denVerkehr Annehmen ist).
a) Legen Sie die Richtlinien für Benutzeranwendungen fest.
Intrusion Prevention (IPS) Wählen Sie eine IPS-Richtlinie für dieRegel aus. Eine neue IPS-Richtlinie kanndirekt auf dieser Seite oder über die Seite
70 Copyright © 2018 Sophos Limited
XG Firewall
Angriffsvorbeugung > IPS-Richtlinienerstellt werden.
Traffic-Shaping-Richtlinie Die Traffic-Shaping-Richtlinie des Benutzerswird automatisch angewendet, wennÜbereinstimmung mit bekanntenBenutzern ausgewählt ist.
Sie müssen eine Traffic-Shaping-Richtliniefür die Regel auswählen oder eine neueerstellen, wenn Übereinstimmung mitbekannten Benutzern nicht ausgewählt ist.
Sie können eine neue Richtlinie unter Neuerstellen > Traffic-Shaping-Richtlinie(QoS) hinzufügen erstellen. Sie könnendie Richtlinien-Zuordnung festlegenund die Richtlinie nach Bedarf entwederWebkategorien oder Anwendungenzuweisen.
Internetrichtlinien Wählen Sie für die Regel eineInternetrichtlinie aus.
Eine neue Internetrichtlinie kann direkt aufdieser Seite oder über die Seite Web >Richtlinien erstellt werden.
Traffic-Shaping-Richtlinie basierend aufWebkategorie übernehmen
Klicken, um die Bandbreite für URLs, dieder Webkategorie zugeordnet sind, zubeschränken.
Anwendungsüberwachung Wählen Sie für die Regel eineAnwendungsfilter-Richtlinie aus. Eineneue Anwendungsfilter-Richtlinie kanndirekt auf dieser Seite oder über die SeiteAnwendungen > Anwendungsfilter erstelltwerden.
Anwendungsbasierte Traffic-Shaping-Richtlinie übernehmen
Klicken, um die Bandbreite für Anwendungen,die in der Anwendungskategorie zugeordnetsind, zu beschränken.
b) Geben Sie die Routing-Details an.
Quelladresse umschreiben (Maskieren) Deaktivieren Sie die Option, wenn Sie dieQuelladresse nicht umschreiben oder dieNAT-Richtlinie festlegen möchten.
Standard: Aktiviert
Gatewayspezifische Standard-NAT-Richtlinie verwenden (nur wenn Maskierenausgewählt ist)
Anklicken, um die Standard-NAT-Richtliniedurch eine gatewayspezifische Richtlinie zuüberschreiben.
Standard-NAT-Richtlinie für einbestimmtes Gateway überschreiben (nur,wenn Gatewayspezifische Standard-NAT-Richtlinie verwenden ausgewählt ist)
Aktivieren Sie diese Option, um einenGateway und eine dazugehörige NAT-Richtlinie festzulegen. Es können mehrereGateways und NAT-Richtlinien hinzugefügtwerden.
Copyright © 2018 Sophos Limited 71
XG Firewall
Ausgehende Adresse verwenden(nur, wenn Quelladresse umschreibenausgewählt ist)
Wählen Sie, welche NAT-Richtlinieangewendet werden soll. Nutzen Sie die Listeder verfügbaren NAT-Richtlinien.
Eine neue NAT-Richtlinie kann direkt aufdieser Seite oder über die Seite Profile >NAT erstellt werden.
Standard: MASQ.
MASQ (Schnittstellen-Standard-IP)
• Die IP-Adresse der Zielzone wie unterNetzwerk > Schnittstellen konfiguriertwird anstelle der (Schnittstellen-Standard-IP) angezeigt, wenn eineeinzelne Zielzone ausgewählt ist.
• (Schnittstellen-Standard-IP) wirdangezeigt, wenn mehrere Zielzonenausgewählt sind.
Primäres Gateway Geben Sie den primären Gateway an. DieseOption ist nur anwendbar, wenn mehr als einGateway definiert wurden.
HinweisWenn das Gateway gelöscht wird,zeigt Primäres Gateway WAN-LinkLastverteilung für die WAN Zielzone anund Keine für andere Zonen. In diesemFall trifft die Firewall keine Routing-Entscheidungen.
Backup-Gateway Geben Sie den Backup-Gateway an. DieseOption ist nur anwendbar, wenn mehr als einGateway definiert wurden.
HinweisWenn das Gateway gelöscht wird, zeigtdas Backup-Gateway Keine an.
DSCP-Markierung Wählen Sie die DSCP-Markierung.
DSCP (DiffServ Code Point) klassifiziertden Strom der Pakete bei Eintritt in daslokale Netzwerk je nach QoS. Der Stromwird über fünf Elemente definiert: IP-Adresseder Quelle, IP-Adresse des Ziels, Quellport,Zielport und Transportprotokoll.
9. Definieren Sie die Protokollierungsoptionen für den Datenverkehr der Benutzeranwendung.
Firewallverkehr protokollieren Anklicken, um die Protokollierung deszugelassenen und abgelehnten Datenverkehrszu aktivieren.
10. Klicken Sie auf Speichern.
72 Copyright © 2018 Sophos Limited
XG Firewall
Zugehörige KonzepteZeitplan (Seite 490)Zeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.
Zentrale Synchronisierung (Seite 287)Durch die Synchronisierung mit Sophos Central können Sie Security Heartbeat verwenden, um Gerätein Ihrem Netzwerk zu ermöglichen, Integritätsinformationen mitzuteilen. Synchronized ApplicationControl lässt Sie Anwendungen in Ihrem Netzwerk erkennen und verwalten. Zusätzlich können Sie IhreXG Firewall Appliances zentral über Sophos Central verwalten.
7.1.3 DSCP-Wert
Der DiffServ Code Point (DSCP) besteht aus 6 Bits, wodurch 2*6 = 64 unterschiedliche Werte möglichsind (0 bis 63). Dies sind die Standardwerte von DSCP. Die restlichen DSCP-Werte können an dieQoS-Anforderung angepasst werden.
Dezimal DSCP Beschreibung
0 Default Best Effort
8 CS1 Class 1 (CS1)
10 AF11 Class 1, Gold (AF11)
12 AF12 Class 1, Silver (AF12)
14 AF13 Class 1, Bronze (AF13)
16 CS2 Class 2 (CS2)
18 AF21 Class 2, Gold (AF21)
20 AF22 Class 2, Silver (AF22)
22 AF23 Class 2, Bronze (AF23)
24 CS3 Class 3 (CS3)
26 AF31 Class 3, Gold (AF31)
28 AF32 Class 3, Silver (AF32)
30 AF33 Class 3, Bronze (AF33)
32 CS4 Class 4 (CS4)
34 AF41 Class 4, Gold (AF41)
36 AF42 Class 4, Silver (AF42)
38 AF43 Class 4, Bronze (AF43)
40 CS5 Class 5 (CS5)
46 EF Expedited Forwarding (EF)
48 CS6 Control (CS6)
56 CS7 Control (CS7)
Copyright © 2018 Sophos Limited 73
XG Firewall
7.2 GeschäftsanwendungsregelDie Geschäftsanwendungsregel wird verwendet, um intern oder öffentlich gehosteteGeschäftsanwendungen oder Server wie SalesForce, Sharepoint, usw. zu schützen.
Hinzufügen einer Geschäftsanwendungsregel
Mithilfe der Geschäftsanwendungsregel kann der Administrator den Schutz von HTTP- und nicht-HTTP-Webservern vor unautorisiertem Zugriff über das Internet konfigurieren. Sie können auch denZugriff von geschützten Servern oder Diensten mithilfe der Geschäftsanwendungsregel kontrollieren.
Es sind einige Vorlagen verfügbar, die die Konfiguration des Schutzes für eine Vielzahlverschiedener Arten von HTTP und nicht-HTTP Webservern und Anwendungen abdecken. EineListe dieser Anwendungsvorlagen erscheint auf der Seite Geschäftsanwendungsregel.
Gehen Sie zu Firewall und wählen Sie IPv4 mithilfe des Filters. Klicken Sie auf +Firewallregelhinzufügen und wählen Sie Geschäftsanwendungsregel. Dann können Sie dieAnwendungsvorlage aus der Liste der verfügbaren Vorlagen auswählen.
Mit der Anwendungsvorlage können Sie die Regel auswählen, die zur Konfiguration dererforderlichen Geschäftsanwendung am besten passt. Nach Auswahl der Vorlage können Sie dieKonfigurationsseite aufrufen, auf welcher die Felder bereits vorausgefüllt sind. Dank der bereitsausgefüllten Werte müssen Sie die Konfiguration zur Sicherung Ihre Geschäftsanwendung nichtmehr manuell eingeben, Sie können die Einstellungen jedoch an Ihr Netzwerk-Setup oder andereAnforderungen anpassen.
1. DNAT-/Full-NAT-/Lastverteilungs-Regel: Sie wird verwendet, um Nicht-Webserver, wie Mail-oder andere Server, die im Netzwerk gehostet werden (LAN oder DMZ), zu schützen. Mit dieserVorlage können Sie die Zugriffsrechte auf diese Server für Benutzer definieren, die den Zugriffüber das WAN oder Internet anfordern. Zudem können Sie die folgende Vorlage für Nicht-Webanwendungen nutzen:
2. Email Servers (SMTP): Die Regel Email Servers (SMTP) wird verwendet, um Mailserver zuschützen, die sich in einem internen Netzwerk befinden und Schutz benötigen.
3. Email Clients (POP & IMAP) Die Regel Email Clients (POP & IMAP) wird verwendet, umMailserver, die öffentlich gehostet werden (WAN) und Schutz benötigen, zu schützen.
HinweisWenn Sie die Regel E-Mail-Clients löschen, werden die E-Mails, die von dieser Regelbearbeitet werden, nicht zugestellt sondern in die Warteschleife verschoben.
Es wird empfohlen, den folgenden Schritten zu folgen, um nicht alle E-Mails zu verlieren, dievon dieser Regel bearbeitet werden:
a) Bevor Sie die Regel löschen, klonen Sie sie mithilfe der Option Obige klonen undändern Sie die Maßnahme in Verwerfen. Diese geklonte Regel gilt für alle eingehendenE-Mails.
b) Gehen Sie zu E-Mail > Mail-Spool und überprüfen Sie, ob der Spool leer ist.
c) Löschen Sie beide Firewallregeln, sobald der Spool leer ist.
74 Copyright © 2018 Sophos Limited
XG Firewall
7.2.1 Anwendungsschutz-Vorlagen für häufige HTTP-basierteAnwendungen
Sophos XG Firewall bietet einige vorkonfigurierte Vorlagen, um eine Schutzregel für häufig verwendeteHTTP-basierte Anwendungen zu erstellen. Sie können eine vordefinierte Vorlage verwenden, um fürdie Webanwendungen eine Richtlinie zu erstellen, die Ihrer Konfiguration am ehesten entspricht, unddiese dann an Ihre Anforderungen anpassen.
Regel für Web Server Protection (WAF) hinzufügen
Auf dieser Seite können Sie den HTTP-Verkehr kontrollieren, der von und zu einer Webanwendungfließt. Mit Hilfe dieser Seite können Sie eine Regel für Web Server Protection (WAF) festlegen, fürVerkehr, der das IPv4-Protokoll verwendet.
1. Gehen Sie zu Firewall und wählen Sie IPv4 mithilfe des Filters.
2. Klicken Sie auf +Firewallregel hinzufügen und Geschäftsanwendungsregel.
3. Geben Sie die grundlegenden Regel-Details ein.
Anwendungsvorlage Wählen Sie Web Server Protection (WAF),um eine Anwendungsfilter-Richtlinie für HTTP-basierte Anwendungen zu definieren.
Regelname Geben Sie einen Namen für die Regel ein.
Beschreibung Geben Sie eine Beschreibung für die Regel ein.
Position der Regel Geben Sie die Position der Regel an.
Verfügbare Optionen:
• Oben
• Unten
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
4. Geben Sie die Daten für den Gehosteten Server ein.
Gehostete Adresse Wählen Sie die Schnittstelle des gehostetenServers aus, auf welchen die Regelangewendet werden soll. Dies ist die öffentlicheIP-Adresse, über welche die Internetnutzer aufden internen Server/Hosts zugreifen können.
Copyright © 2018 Sophos Limited 75
XG Firewall
HinweisWenn ein Client eine Verbindung zumWebserver aufbaut und auf ihn zugreift,erhält der Webserver nicht die wirkliche IP-Adresse des Clients. Der Server erhält dieAdresse der Schnittstelle, die von der WebApplication Firewall (WAF) benutzt wird, dadie Verbindung über die WAF hergestelltwurde. Die wirkliche IP-Adresse des Clientsist in der HTTP-Kopfzeile
Lausch-Port Geben Sie die Nummer des Ports ein, überwelchen der gehostete Webserver externüber das Internet erreicht werden kann. DerStandardwert ist Port 80 für Klartext (HTTP) undPort 443 für Verschlüsselung (HTTPS).
HTTPS Wählen Sie die Option, um Scannen vonHTTPS-Verkehr zu aktivieren oder zudeaktivieren.
HTTPS-Zertifikat (nur verfügbar, wennHTTPS ausgewählt ist)
Wählen Sie, welches HTTPS-Zertifikatverwendet werden soll.
HTTP umleiten (nur verfügbar, wenn HTTPSausgewählt ist)
Klicken, um HTTP-Anfragen umzuleiten.
Domänen (wenn HTTP deakiviert ist): Geben Siedie Domänen, für welche der Webserververantwortlich ist, als FQDN ein, z.B.shop.example.com.
(wenn HTTP akiviert ist): Je nach gewähltemHTTPS-Zertifikat können manche Domänenvorausgewählt sein. Sie können dieseDomänen bearbeiten oder löschen oder neuehinzufügen.
5. Geben Sie die Daten für den/die Geschützte/r Server ein.
Pfad-spezifisches Routing Sie können das Pfad-spezifische Routingaktivieren, um einen Pfad festzulegen, anwelchen eingehende Anfragen von Webservernweitergeleitet werden sollen.
Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webservergesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzer
76 Copyright © 2018 Sophos Limited
XG Firewall
während seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.
Für jeden gehosteten Webserver wirdautomatisch eine standardmäßige Site-Pfad-Route (mit Pfad /) erstellt. Die Appliancewendet die Site-Path-Routen automatisch aufdie effektivste Weise an: beginnend mit denrestriktivsten, d.h. längsten Pfaden bis hin zuden Standard-Pfad-Routen, die nur verwendetwerden, wenn auf die eingehende Anfragekeine spezifischere Pfad-Route passt. DieReihenfolge der Liste der Site-Pfad-Routenist nicht relevant. Wenn auf eine eingehendeAnfrage keine Route passt (wenn zum Beispieldie Standard-Route gelöscht wurde), wird dieAnfrage verweigert.
Neuen Pfad hinzufügen (nur wenn Pfad-spezifische Weiterleitung ausgewählt ist)
Klicken Sie auf Pfad hinzufügen, um einenneuen Pfad zu definieren.
HinweisNeuen Pfad hinzufügen ist erst aktiv,wenn mindestens ein Webserver und eingehosteter Webserver erstellt worden sind.
Webserver (nicht verfügbar wenn Pfad-spezifisches Routing ausgewählt ist)
Mit dieser Option wählen Sie, welcheWebserver geschützt werden sollen. WählenSie einen Webserver aus der Webserver-Liste aus. Der ausgewählte Webserver wirdin der Tabelle rechts unter Ausgewählte(r)Webserver angezeigt.
Ein neuer Webserver kann auf der SeiteWebserver > Webserver erstellt werden.
6. Geben Sie die Zugangsberechtigung an (nicht, wenn Pfad-spezifisches Routing aktivierenausgewählt ist).
Zugelassene Client-Netzwerke Wählen Sie aus, welche Netzwerke zugelassensind und sich mit dem gehosteten Webserververbinden können.
Blockierte Client-Netzwerke Wählen Sie, welche Netzwerke nichtzugelassen sind und von Ihrem gehostetenWebserver blockiert werden sollen.
Authentifizierung Wählen Sie ein Authentifizierungsprofil für eineWebanwendung oder klicken Sie auf Neueerstellen um ein neues Authentifizierungsprofilzu erstellen.
7. Fügen Sie für die Webserver die Pfad-Ausnahmen hinzu.
Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme zu definieren.
8. Legen Sie erweiterte Einstellungen fest.
Copyright © 2018 Sophos Limited 77
XG Firewall
a) Legen Sie Richtlinien für Geschäftsanwendungen fest.
Schutz Geben Sie für den Server eineAnwendungsschutz-Richtlinie ein odererstellen Sie eine neue.
Angriffsvorbeugung Wählen Sie für die Regel eine Intrusion-Prevention-Richtlinie oder erstellen Sie eineneue.
Traffic Shaping Die Traffic-Shaping-Richtlinie weist denBenutzern Bandbreite zur Nutzung zu undbeschränkt diese.
b) Legen Sie zusätzliche Optionen für den hinzugefügten Server fest.
Komprimierungsunterstützungdeaktivieren
Dieses Auswahlkästchen ist standardmäßigdeaktiviert. Der Inhalt wird komprimiertversendet, wenn der Client komprimierteDaten anfordert. Durch die Komprimierungwird die Übertragungsgeschwindigkeit erhöhtund die Ladezeit der Seiten reduziert. Wennjedoch Webseiten falsch angezeigt werdenoder wenn Benutzer beim Zugriff auf IhreWebserver Codierungsfehler in Bezug aufden Inhalt erfahren, kann es notwendig sein,die Unterstützung der Komprimierung zudeaktivieren. Wenn das Auswahlkästchenaktiviert ist, fordert die WAF von denWebservern dieses gehosteten Webserversunkomprimierte Daten an und sendetdiese unkomprimiert an den Client weiter,unabhängig von den Kodierungsparameternder HTTP-Anfrage.
HTML umschreiben Wählen Sie diese Option, wenn dieAppliance die Links der zurückgegebenenWebseiten umschreiben soll, damitdiese gültig bleiben. Beispiel: Eine IhrerWebserverinstanzen hat den Hostnamenyourcompany.local, der Hostname desgehosteten Webservers auf der Applianceist jedoch yourcompany.com. Absolute Linkswie [a href="http://yourcompany.local/"]funktionieren daher erst, wenn der Link vorZustellung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird.Sie müssen diese Option jedoch nichtaktivieren, wenn yourcompany.com auf IhremWebserver konfiguriert ist oder wenn interneLinks auf Ihren Webseiten immer als relativeLinks ausgegeben werden. Wir empfehlendie Verwendung dieser Option bei Zugriffauf Microsoft Outlook Web Access oderSharePoint Portal Server.
78 Copyright © 2018 Sophos Limited
XG Firewall
HinweisDas HTML-Rewriting betrifft alle Dateienmit einer HTTP-Inhaltsart wie text/* oder*xml*, wobei * eine Wildcard ist. StellenSie sicher, dass andere Dateitypen, z.B.binäre Dateien, über die korrekte HTTP-Inhaltsart verfügen, ansonsten werdensie während des HTML-Rewriting-Prozesses beschädigt.
Cookies umschreiben Wählen Sie diese Option, damit das Gerätdie Cookies der zurückgegebenen Webseitenumschreiben kann.
Host-Header durchreichen Wenn Sie diese Option wählen, bleibt dieHost-Kopfzeile wie vom Client angefragterhalten und wird gemeinsam mit derWebanfrage an den Webserver weitergeleitet.Ob das Durchreichen der Host-Kopfzeile inIhrer Umgebung notwendig ist, hängt von derKonfiguration Ihres Webservers ab.
9. Klicken Sie auf Speichern.
HinweisSobald eine neue HTTP-basierte Regelkonfiguration erstellt und gespeichert wurde oder einevorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde, werden alleHTTP-basierten Geschäftsregeln neu gestartet. Jede zugrundeliegende Client-Verbindung,die eine HTTP-basierte Geschäftsregel verwendet, geht verloren und muss wiederhergestelltwerden.
Die Geschäftsanwendungsregel wurde erstellt und erscheint auf der Seite Firewall, wenn der FilterIPv4 eingestellt ist.
Regel für Exchange Autodiscover hinzufügen
(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für ExchangeAutodiscover konfigurieren können.
1. Gehen Sie zu Firewall und wählen Sie IPv4 mithilfe des Filters.
2. Klicken Sie auf +Firewallregel hinzufügen und Geschäftsanwendungsregel.
3. Legen Sie die allgemeinen Regel-Details fest.
Anwendungsvorlage Wählen Sie Exchange Autodiscover, um eineRichtlinie für eine Exchange Autodiscover-Umgebung zu konfigurieren.
Beschreibung Geben Sie eine Beschreibung für die Regel ein.
Position der Regel Geben Sie die Position der Regel an.
Verfügbare Optionen:
• Oben
• Unten
Copyright © 2018 Sophos Limited 79
XG Firewall
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
Regelname Geben Sie einen Namen für die Regel ein.
4. Legen Sie die Details für den Gehosteten Server fest.
Gehostete Adresse Geben Sie die Adresse des gehosteten Serversan, auf welchen die Regel angewendet werdensoll. Dies ist die öffentliche IP-Adresse, überwelche die Internetnutzer auf einen internenServer/Hosts zugreifen können.
HinweisWenn ein Client eine Verbindung zumWebserver aufbaut und auf ihn zugreift,erhält der Webserver nicht die wirkliche IP-Adresse des Clients. Der Server erhält dieAdresse der Schnittstelle, die von der WebApplication Firewall (WAF) benutzt wird, dadie Verbindung über die WAF hergestelltwurde. Die wirkliche IP-Adresse des Clientsist in der HTTP-Kopfzeile
Lausch-Port Geben Sie die Nummer des Ports ein, überwelchen der gehostete Webserver externüber das Internet erreicht werden kann. DerStandardwert ist Port 80 für Klartext (HTTP) undPort 443 für Verschlüsselung (HTTPS).
HTTPS Wählen Sie die Option, um HTTPS-Verkehr zuaktivieren oder zu deaktivieren.
HTTPS-Zertifikat (nur verfügbar, wennHTTPS ausgewählt ist)
Wählen Sie, welches HTTPS-Zertifikatverwendet werden soll.
HTTP umleiten (nur verfügbar wenn HTTPSausgewählt ist)
Wählen Sie diese Option, um HTTP-Anfragenumzuleiten.
Domänen Verwenden Sie FQDN, wenn Sie Domäneneingeben, für die der Webserver verantwortlichist, z.B. shop.example.com.
5. Geben Sie die Daten für den/die Geschützte/r Server ein.
Pfad-spezifisches Routing Sie können das Pfad-spezifische Routingaktivieren, um einen Pfad festzulegen, anwelchen eingehende Anfragen von Webservernweitergeleitet werden sollen.
Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /
80 Copyright © 2018 Sophos Limited
XG Firewall
products/, an einen bestimmten Webservergesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzerwährend seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.
Für jeden gehosteten Webserver wirdautomatisch eine standardmäßige Site-Pfad-Route (mit Pfad /) erstellt. Die Appliancewendet die Site-Path-Routen automatisch aufdie effektivste Weise an: beginnend mit denrestriktivsten, d.h. längsten Pfaden bis hin zuden Standard-Pfad-Routen, die nur verwendetwerden, wenn auf die eingehende Anfragekeine spezifischere Pfad-Route passt. DieReihenfolge der Liste der Site-Pfad-Routenist nicht relevant. Wenn auf eine eingehendeAnfrage keine Route passt (wenn zum Beispieldie Standard-Route gelöscht wurde), wird dieAnfrage verweigert.
Standard: Aktiviert:
Neuen Pfad hinzufügen (nur verfügbar,wennPfad-spezifische Weiterleitungausgewählt ist)
Klicken Sie auf Neuen Pfad hinzufügen, umeinen neuen Pfad zu definieren.
HinweisNeuen Pfad hinzufügen ist erst aktiv,wenn mindestens ein Webserver und eingehosteter Webserver erstellt worden sind.
Standard: /autodiscover, /Autodiscover, /AutoDiscover
Webserver (nicht verfügbar wenn Pfad-spezifisches Routing ausgewählt ist)
Webserver sind die Anwendungsserver, diegeschützt werden sollen. Wählen Sie einenWebserver aus der Liste oder geben Sie einenWebserver ein und klicken Sie auf Erstellen,um ihn hinzuzufügen.
Ein neuer Webserver kann direkt auf dieserSeite oder über die Seite Webserver >Webserver erstellt werden.
6. Geben Sie die Zugangsberechtigung an (nicht, wenn Pfad-spezifisches Routing aktivierenausgewählt ist).
Copyright © 2018 Sophos Limited 81
XG Firewall
Zugelassene Client-Netzwerke Wählen Sie die zugelassenen Hosts oderNetzwerke aus.
Blockierte Client-Netzwerke Wählen Sie das/die blockierte/n Host/s oderNetzwerk/e aus.
Authentifizierung Wählen Sie aus der Liste der verfügbarenProfile das Authentifizierungsprofil derWebanwendung.
Sie können ein neues Authentifizierungsprofilauch direkt auf dieser Seite oder auf der SeiteWebserver > Authentifizierungs-Richtlinienerstellen.
7. Fügen Sie für die Webserver die Pfad-Ausnahmen hinzu.
Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme festzulegen.
Standard: /autodiscover/*,/Autodiscover/*
8. Legen Sie erweiterte Einstellungen fest.
a) Legen Sie Richtlinien für Geschäftsanwendungen fest.
Schutz Geben Sie für den Server eineAnwendungsschutz-Richtlinie ein odererstellen Sie eine neue.
Angriffsvorbeugung Wählen Sie für die Regel eine Intrusion-Prevention-Richtlinie oder erstellen Sie eineneue.
Traffic Shaping Die Traffic-Shaping-Richtlinie weist denBenutzern Bandbreite zur Nutzung zu undbeschränkt diese.
b) Legen Sie zusätzliche Optionen für den hinzugefügten Server fest.
Komprimierungsunterstützungdeaktivieren
Dieses Auswahlkästchen ist standardmäßigdeaktiviert. Der Inhalt wird komprimiertversendet, wenn der Client komprimierteDaten anfordert. Durch die Komprimierungwird die Übertragungsgeschwindigkeit erhöhtund die Ladezeit der Seiten reduziert. Wennjedoch Webseiten falsch angezeigt werdenoder wenn Benutzer beim Zugriff auf IhreWebserver Codierungsfehler in Bezug aufden Inhalt erfahren, kann es notwendig sein,die Unterstützung der Komprimierung zudeaktivieren. Wenn das Auswahlkästchenaktiviert ist, fordert die WAF von denWebservern dieses gehosteten Webserversunkomprimierte Daten an und sendetdiese unkomprimiert an den Client weiter,unabhängig von den Kodierungsparameternder HTTP-Anfrage.
HTML umschreiben Wählen Sie diese Option, wenn dieAppliance die Links der zurückgegebenenWebseiten umschreiben soll, damitdiese gültig bleiben. Beispiel: Eine Ihrer
82 Copyright © 2018 Sophos Limited
XG Firewall
Webserverinstanzen hat den Hostnamenyourcompany.local, der Hostname desgehosteten Webservers auf der Applianceist jedoch yourcompany.com. Absolute Linkswie [a href="http://yourcompany.local/"]funktionieren daher erst, wenn der Link vorZustellung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird.Sie müssen diese Option jedoch nichtaktivieren, wenn yourcompany.com auf IhremWebserver konfiguriert ist oder wenn interneLinks auf Ihren Webseiten immer als relativeLinks ausgegeben werden. Wir empfehlendie Verwendung dieser Option bei Zugriffauf Microsoft Outlook Web Access oderSharePoint Portal Server.
HinweisDas HTML-Rewriting betrifft alle Dateienmit einer HTTP-Inhaltsart wie text/* oder*xml*, wobei * eine Wildcard ist. StellenSie sicher, dass andere Dateitypen, z.B.binäre Dateien, über die korrekte HTTP-Inhaltsart verfügen, ansonsten werdensie während des HTML-Rewriting-Prozesses beschädigt.
Cookies umschreiben Wählen Sie diese Option, damit das Gerätdie Cookies der zurückgegebenen Webseitenumschreiben kann.
Host-Header durchreichen Wenn Sie diese Option wählen, bleibt dieHost-Kopfzeile wie vom Client angefragterhalten und wird gemeinsam mit derWebanfrage an den Webserver weitergeleitet.Ob das Durchreichen der Host-Kopfzeile inIhrer Umgebung notwendig ist, hängt von derKonfiguration Ihres Webservers ab.
9. Klicken Sie auf Speichern.
HinweisSobald eine neue HTTP-basierte Richtlinienkonfiguration erstellt und gespeichert wurdeoder eine vorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde,werden alle HTTP-basierten Geschäftsregeln neu gestartet. Jede zugrundeliegende Client-Verbindung, die eine HTTP-basierte Geschäftsregel verwendet, geht verloren und musswiederhergestellt werden.
Die Exchange Autodiscover Regel wurde erstellt und erscheint auf der Seite Firewall, wenn der FilterIPv4 eingestellt ist.
Copyright © 2018 Sophos Limited 83
XG Firewall
Regel für Exchange Outlook Anywhere hinzufügen
(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für Exchange OutlookAnywhere konfigurieren können.
1. Gehen Sie zu Firewall und wählen Sie IPv4 mithilfe des Filters.
2. Klicken Sie auf +Firewallregel hinzufügen und Geschäftsanwendungsregel.
3. Legen Sie die allgemeinen Richtlinieninformationen fest.
Anwendungsvorlage Wählen Sie Exchange Outlook Anywhere, umeine Regel für Exchange Outlook Anywhere zukonfigurieren.
Beschreibung Geben Sie eine Beschreibung für die Regel ein.
Position der Regel Geben Sie die Position der Regel an.
Verfügbare Optionen:
• Oben
• Unten
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
Regelname Geben Sie einen Namen für die Regel ein.
4. Legen Sie die Details für den Gehosteten Server fest.
Gehostete Adresse Geben Sie die Adresse des gehosteten Serversan, auf welchen die Regel angewendet werdensoll. Dies ist die öffentliche IP-Adresse, überwelche die Internetnutzer auf einen internenServer/Hosts zugreifen können.
HinweisWenn ein Client eine Verbindung zumWebserver aufbaut und auf ihn zugreift,erhält der Webserver nicht die wirkliche IP-Adresse des Clients. Der Server erhält dieAdresse der Schnittstelle, die von der WebApplication Firewall (WAF) benutzt wird, dadie Verbindung über die WAF hergestelltwurde. Die wirkliche IP-Adresse des Clientsist in der HTTP-Kopfzeile
Lausch-Port Geben Sie die Nummer des Ports ein, überwelchen der gehostete Webserver externüber das Internet erreicht werden kann. Der
84 Copyright © 2018 Sophos Limited
XG Firewall
Standardwert ist Port 80 für Klartext (HTTP) undPort 443 für Verschlüsselung (HTTPS).
HTTPS Wählen Sie die Option, um HTTPS-Verkehr zuaktivieren oder zu deaktivieren.
HTTPS-Zertifikat (nur verfügbar, wennHTTPS ausgewählt ist)
Wählen Sie, welches HTTPS-Zertifikatverwendet werden soll.
HTTP umleiten (nur verfügbar, wenn HTTPSausgewählt ist)
Klicken, um HTTP-Anfragen umzuleiten.
Domänen Verwenden Sie FQDN, wenn Sie Domäneneingeben, für die der Webserver verantwortlichist, z.B. shop.example.com.
5. Geben Sie die Daten für den/die Geschützte/r Server ein.
Pfad-spezifisches Routing Sie können das Pfad-spezifische Routingaktivieren, um festzulegen, an welcheWebserver die eingehenden Anfragenweitergeleitet werden sollen.
Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webservergesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzerwährend seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.
Für jeden gehosteten Webserver wirdautomatisch eine standardmäßige Site-Pfad-Route (mit Pfad /) erstellt. Die Appliancewendet die Site-Path-Routen automatisch aufdie effektivste Weise an: beginnend mit denrestriktivsten, d.h. längsten Pfaden bis hin zuden Standard-Pfad-Routen, die nur verwendetwerden, wenn auf die eingehende Anfragekeine spezifischere Pfad-Route passt. DieReihenfolge der Liste der Site-Pfad-Routenist nicht relevant. Wenn auf eine eingehendeAnfrage keine Route passt (wenn zum Beispieldie Standard-Route gelöscht wurde), wird dieAnfrage verweigert.
Neuen Pfad hinzufügen (nur wenn Pfad-spezifische Weiterleitung ausgewählt ist)
Klicken Sie auf Neuen Pfad hinzufügen, umeinen neuen Pfad zu definieren.
Copyright © 2018 Sophos Limited 85
XG Firewall
HinweisNeuen Pfad hinzufügen ist erst aktiv,wenn mindestens ein Webserver und eingehosteter Webserver erstellt worden sind.
Standard: /rpc, /RPC
Webserver (nicht verfügbar wenn Pfad-spezifisches Routing ausgewählt ist)
Webserver sind die Anwendungsserver,die geschützt werden sollen. Wählen Sieaus einer Liste von Webservern einenWebserver aus oder klicken Sie auf NeuesElement hinzufügen, um einen Webserverhinzuzufügen.
Ein neuer Webserver kann direkt auf dieserSeite oder über die Seite Webserver >Webserver erstellt werden.
6. Geben Sie die Zugangsberechtigungen an. (nicht, wenn Pfad-spezifisches Routing ausgewähltist)
Zugelassene Client-Netzwerke Wählen Sie die zugelassenen Hosts oderNetzwerke aus.
Blockierte Client-Netzwerke Wählen Sie das/die blockierte/n Host/s oderNetzwerk/e aus.
Authentifizierung Wählen Sie aus der Liste der verfügbarenProfile das Authentifizierungsprofil derWebanwendung. Sie können ein neuesAuthentifizierungsprofil auch direkt aufdieser Seite oder auf der Seite Webserver >Authentifizierungs-Richtlinien erstellen.
7. Fügen Sie für die Webserver die Pfad-Ausnahmen hinzu.
Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme festzulegen.
Standard: /rpc/*,/RPC/*.
8. Legen Sie erweiterte Einstellungen fest.
a) Legen Sie Richtlinien für Geschäftsanwendungen fest.
Schutz Geben Sie für den Server eineAnwendungsschutz-Richtlinie ein odererstellen Sie eine neue.
Angriffsvorbeugung Wählen Sie für die Regel eine Intrusion-Prevention-Richtlinie oder erstellen Sie eineneue.
Traffic Shaping Die Traffic-Shaping-Richtlinie weist denBenutzern Bandbreite zur Nutzung zu undbeschränkt diese.
b) Legen Sie zusätzliche Optionen für den hinzugefügten Server fest.
Komprimierungsunterstützungdeaktivieren
Dieses Auswahlkästchen ist standardmäßigdeaktiviert. Der Inhalt wird komprimiertversendet, wenn der Client komprimierte
86 Copyright © 2018 Sophos Limited
XG Firewall
Daten anfordert. Durch die Komprimierungwird die Übertragungsgeschwindigkeit erhöhtund die Ladezeit der Seiten reduziert. Wennjedoch Webseiten falsch angezeigt werdenoder wenn Benutzer beim Zugriff auf IhreWebserver Codierungsfehler in Bezug aufden Inhalt erfahren, kann es notwendig sein,die Unterstützung der Komprimierung zudeaktivieren. Wenn das Auswahlkästchenaktiviert ist, fordert die WAF von denWebservern dieses gehosteten Webserversunkomprimierte Daten an und sendetdiese unkomprimiert an den Client weiter,unabhängig von den Kodierungsparameternder HTTP-Anfrage.
HTML umschreiben Wählen Sie diese Option, wenn dieAppliance die Links der zurückgegebenenWebseiten umschreiben soll, damitdiese gültig bleiben. Beispiel: Eine IhrerWebserverinstanzen hat den Hostnamenyourcompany.local, der Hostname desgehosteten Webservers auf der Applianceist jedoch yourcompany.com. Absolute Linkswie [a href="http://yourcompany.local/"]funktionieren daher erst, wenn der Link vorZustellung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird.Sie müssen diese Option jedoch nichtaktivieren, wenn yourcompany.com auf IhremWebserver konfiguriert ist oder wenn interneLinks auf Ihren Webseiten immer als relativeLinks ausgegeben werden. Wir empfehlendie Verwendung dieser Option bei Zugriffauf Microsoft Outlook Web Access oderSharePoint Portal Server.
HinweisDas HTML-Rewriting betrifft alle Dateienmit einer HTTP-Inhaltsart wie text/* oder*xml*, wobei * eine Wildcard ist. StellenSie sicher, dass andere Dateitypen, z.B.binäre Dateien, über die korrekte HTTP-Inhaltsart verfügen, ansonsten werdensie während des HTML-Rewriting-Prozesses beschädigt.
Cookies umschreiben Wählen Sie diese Option, damit das Gerätdie Cookies der zurückgegebenen Webseitenumschreiben kann.
Host-Header durchreichen Wenn Sie diese Option wählen, bleibt dieHost-Kopfzeile wie vom Client angefragterhalten und wird gemeinsam mit derWebanfrage an den Webserver weitergeleitet.Ob das Durchreichen der Host-Kopfzeile in
Copyright © 2018 Sophos Limited 87
XG Firewall
Ihrer Umgebung notwendig ist, hängt von derKonfiguration Ihres Webservers ab.
9. Klicken Sie auf Speichern.
HinweisSobald eine neue HTTP-basierte Regelkonfiguration erstellt und gespeichert wurde oder einevorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde, werden alleHTTP-basierten Geschäftsregeln neu gestartet. Jede zugrundeliegende Client-Verbindung,die eine HTTP-basierte Geschäftsregel verwendet, geht verloren und muss wiederhergestelltwerden.
Die Exchange Outlook Anywhere-Regel wurde erstellt und erscheint auf der Seite Firewall, wenn derFilter IPv4 eingestellt ist.
Regel für Exchange allgemein hinzufügen
(nur für IPv4-Richtlinien) Auf dieser Seite ist beschrieben, wie Sie eine Regel für Exchange allgemeinkonfigurieren können.
1. Gehen Sie zu Firewall und wählen Sie IPv4 mithilfe des Filters.
2. Klicken Sie auf +Firewallregel hinzufügen und Geschäftsanwendungsregel.
3. Legen Sie die allgemeinen Richtlinieninformationen fest.
Anwendungsvorlage Wählen Sie Exchange General, um eine Regelfür Exchange allgemein zu konfigurieren.
Beschreibung Geben Sie eine Beschreibung für die Regel ein.
Position der Regel Geben Sie die Position der Regel an.
Verfügbare Optionen:
• Oben
• Unten
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
Regelname Geben Sie einen Namen für die Regel ein.
4. Legen Sie die Details für den Gehosteten Server fest.
Gehostete Adresse Geben Sie die Adresse des gehosteten Serversan, auf welchen die Regel angewendet werdensoll. Dies ist die öffentliche IP-Adresse, überwelche die Internetnutzer auf einen internenServer/Hosts zugreifen können.
88 Copyright © 2018 Sophos Limited
XG Firewall
HinweisWenn ein Client eine Verbindung zumWebserver aufbaut und auf ihn zugreift,erhält der Webserver nicht die wirkliche IP-Adresse des Clients. Der Server erhält dieAdresse der Schnittstelle, die von der WebApplication Firewall (WAF) benutzt wird, dadie Verbindung über die WAF hergestelltwurde. Die wirkliche IP-Adresse des Clientsist in der HTTP-Kopfzeile
Lausch-Port Geben Sie die Nummer des Ports ein, überwelchen der gehostete Webserver externüber das Internet erreicht werden kann. DerStandardwert ist Port 80 für Klartext (HTTP) undPort 443 für Verschlüsselung (HTTPS).
HTTPS Wählen Sie die Option, um HTTPS-Verkehr zuaktivieren oder zu deaktivieren.
HTTPS-Zertifikat (nur verfügbar, wennHTTPS ausgewählt ist)
Wählen Sie, welches HTTPS-Zertifikatverwendet werden soll.
HTTP umleiten (nur verfügbar, wenn HTTPSausgewählt ist)
Klicken, um HTTP-Anfragen umzuleiten.
Domänen Verwenden Sie FQDN, wenn Sie Domäneneingeben, für die der Webserver verantwortlichist, z.B. shop.example.com.
5. Geben Sie die Details für den/die Geschützte/r Server ein.
Pfad-spezifisches Routing Sie können das Pfad-spezifische Routingaktivieren, um festzulegen, an welcheWebserver die eingehenden Anfragenweitergeleitet werden sollen.
Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webservergesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzerwährend seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.
Für jeden gehosteten Webserver wirdautomatisch eine standardmäßige Site-Pfad-
Copyright © 2018 Sophos Limited 89
XG Firewall
Route (mit Pfad /) erstellt. Die Appliancewendet die Site-Path-Routen automatisch aufdie effektivste Weise an: beginnend mit denrestriktivsten, d.h. längsten Pfaden bis hin zuden Standard-Pfad-Routen, die nur verwendetwerden, wenn auf die eingehende Anfragekeine spezifischere Pfad-Route passt. DieReihenfolge der Liste der Site-Pfad-Routenist nicht relevant. Wenn auf eine eingehendeAnfrage keine Route passt (wenn zum Beispieldie Standard-Route gelöscht wurde), wird dieAnfrage verweigert.
Neuen Pfad hinzufügen (nur wenn Pfad-spezifische Weiterleitung ausgewählt ist)
Klicken Sie auf Neuen Pfad hinzufügen, umeinen neuen Pfad zu definieren.
HinweisNeuen Pfad hinzufügen ist erst aktiv,wenn mindestens ein Webserver und eingehosteter Webserver erstellt worden sind.
Standard: /owa, /OWA, /ecp, /ECP, /oab, /OAB, /ews, /EWS, /oma, /OMA, /Microsoft-Server-ActiveSync
Webserver (nicht verfügbar, wenn Pfad-spezifisches Routing ausgewählt ist)
Webserver sind die Anwendungsserver,die geschützt werden sollen. Wählen Sieaus einer Liste von Webservern einenWebserver aus oder klicken Sie auf NeuesElement hinzufügen, um einen Webserverhinzuzufügen.
Ein neuer Webserver kann direkt auf dieserSeite oder über die Seite Webserver >Webserver erstellt werden.
6. Geben Sie die Zugangsberechtigungen an. (nicht, wenn Pfad-spezifisches Routing ausgewähltist)
Zugelassene Client-Netzwerke Wählen Sie die zugelassenen Hosts oderNetzwerke aus.
Blockierte Client-Netzwerke Wählen Sie das/die blockierte/n Host/s oderNetzwerk/e aus.
Authentifizierung Wählen Sie aus der Liste der verfügbarenProfile das Authentifizierungsprofil derWebanwendung. Sie können ein neuesAuthentifizierungsprofil auch direkt aufdieser Seite oder auf der Seite Webserver >Authentifizierungs-Richtlinien erstellen.
7. Fügen Sie für die Webserver die Pfad-Ausnahmen hinzu.
Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme zu definieren.
Standard: /owa/*,/OWA/*,/ews/*,/EWS/*,/ecp/*,/ECP/*,/oab/*,/OAB/*,/oma/*,/OMA/*,/Microsoft-Server-ActiveSync?*, /owa/ev.owa*
8. Legen Sie erweiterte Einstellungen fest.
90 Copyright © 2018 Sophos Limited
XG Firewall
a) Legen Sie Richtlinien für Geschäftsanwendungen fest.
Schutz Geben Sie für den Server eineAnwendungsschutz-Richtlinie ein odererstellen Sie eine neue.
Angriffsvorbeugung Wählen Sie für die Regel eine Intrusion-Prevention-Richtlinie oder erstellen Sie eineneue.
Traffic Shaping Die Traffic-Shaping-Richtlinie weist denBenutzern Bandbreite zur Nutzung zu undbeschränkt diese.
b) Legen Sie zusätzliche Optionen für den hinzugefügten Server fest.
Komprimierungsunterstützungdeaktivieren
Dieses Auswahlkästchen ist standardmäßigdeaktiviert. Der Inhalt wird komprimiertversendet, wenn der Client komprimierteDaten anfordert. Durch die Komprimierungwird die Übertragungsgeschwindigkeit erhöhtund die Ladezeit der Seiten reduziert. Wennjedoch Webseiten falsch angezeigt werdenoder wenn Benutzer beim Zugriff auf IhreWebserver Codierungsfehler in Bezug aufden Inhalt erfahren, kann es notwendig sein,die Unterstützung der Komprimierung zudeaktivieren. Wenn das Auswahlkästchenaktiviert ist, fordert die WAF von denWebservern dieses gehosteten Webserversunkomprimierte Daten an und sendetdiese unkomprimiert an den Client weiter,unabhängig von den Kodierungsparameternder HTTP-Anfrage.
HTML umschreiben Wählen Sie diese Option, wenn dieAppliance die Links der zurückgegebenenWebseiten umschreiben soll, damitdiese gültig bleiben. Beispiel: Eine IhrerWebserverinstanzen hat den Hostnamenyourcompany.local, der Hostname desgehosteten Webservers auf der Applianceist jedoch yourcompany.com. Absolute Linkswie [a href="http://yourcompany.local/"]funktionieren daher erst, wenn der Link vorZustellung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird.Sie müssen diese Option jedoch nichtaktivieren, wenn yourcompany.com auf IhremWebserver konfiguriert ist oder wenn interneLinks auf Ihren Webseiten immer als relativeLinks ausgegeben werden. Wir empfehlendie Verwendung dieser Option bei Zugriffauf Microsoft Outlook Web Access oderSharePoint Portal Server.
Copyright © 2018 Sophos Limited 91
XG Firewall
HinweisDas HTML-Rewriting betrifft alle Dateienmit einer HTTP-Inhaltsart wie text/* oder*xml*, wobei * eine Wildcard ist. StellenSie sicher, dass andere Dateitypen, z.B.binäre Dateien, über die korrekte HTTP-Inhaltsart verfügen, ansonsten werdensie während des HTML-Rewriting-Prozesses beschädigt.
Cookies umschreiben Wählen Sie diese Option, damit das Gerätdie Cookies der zurückgegebenen Webseitenumschreiben kann.
Host-Header durchreichen Wenn Sie diese Option wählen, bleibt dieHost-Kopfzeile wie vom Client angefragterhalten und wird gemeinsam mit derWebanfrage an den Webserver weitergeleitet.Ob das Durchreichen der Host-Kopfzeile inIhrer Umgebung notwendig ist, hängt von derKonfiguration Ihres Webservers ab.
9. Klicken Sie auf Speichern.
HinweisSobald eine neue HTTP-basierte Regelkonfiguration erstellt und gespeichert wurde oder einevorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde, werden alleHTTP-basierten Geschäftsregeln neu gestartet. Jede zugrundeliegende Client-Verbindung,die eine HTTP-basierte Geschäftsregel verwendet, geht verloren und muss wiederhergestelltwerden.
Die Regel Exchange allgemein wurde erstellt und erscheint auf der Seite Richtlinien, wenn der FilterIPv4 eingestellt ist.
Regel für Microsoft Lync hinzufügen
(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für Microsoft Lynckonfigurieren können.
1. Gehen Sie zu Firewall und wählen Sie IPv4 mithilfe des Filters.
2. Klicken Sie auf +Firewallregel hinzufügen und Geschäftsanwendungsregel.
3. Legen Sie die allgemeinen Regel-Details fest.
Anwendungsvorlage Wählen Sie Microsoft Lync, um eineAnwendungsfilter-Richtlinie für HTTP-basierteAnwendungen zu definieren.
Beschreibung Geben Sie eine Beschreibung für die Regel ein.
Position der Regel Geben Sie die Position der Regel an.
Verfügbare Optionen:
• Oben
• Unten
92 Copyright © 2018 Sophos Limited
XG Firewall
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
Regelname Geben Sie einen Namen für die Regel ein.
4. Legen Sie die Details für den Gehosteten Server fest.
Gehostete Adresse Geben Sie die Adresse des gehosteten Serversan, auf welchen die Regel angewendet werdensoll. Dies ist die öffentliche IP-Adresse, überwelche die Internetnutzer auf einen internenServer/Host zugreifen können.
HinweisWenn ein Client eine Verbindung zumWebserver aufbaut und auf ihn zugreift,erhält der Webserver nicht die wirkliche IP-Adresse des Clients. Der Server erhält dieAdresse der Schnittstelle, die von der WebApplication Firewall (WAF) benutzt wird, dadie Verbindung über die WAF hergestelltwurde. Die wirkliche IP-Adresse des Clientsist in der HTTP-Kopfzeile
Lausch-Port Geben Sie die Nummer des Ports ein, überwelchen der gehostete Webserver externüber das Internet erreicht werden kann. DerStandardwert ist Port 80 für Klartext (HTTP) undPort 443 für Verschlüsselung (HTTPS).
HTTPS Anklicken, um HTTPS-Verkehr zu aktivierenoder zu deaktivieren.
HTTPS-Zertifikat (wenn HTTPS aktiviert ist) Wählen Sie, welches HTTPS-Zertifikatverwendet werden soll.
HTTP umleiten (wenn HTTPS aktiviert ist) Klicken, um HTTP-Anfragen umzuleiten.
Domänen Verwenden Sie FQDN, wenn Sie Domäneneingeben, für die der Webserver verantwortlichist, z.B. shop.example.com.
5. Geben Sie die Daten für den/die Geschützte/r Server ein.
Pfad-spezifisches Routing Sie können das Pfad-spezifische Routingaktivieren, um einen Pfad festzulegen, anwelchen eingehende Anfragen von Webservernweitergeleitet werden sollen.
Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webserver
Copyright © 2018 Sophos Limited 93
XG Firewall
gesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzerwährend seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.
Für jeden gehosteten Webserver wirdautomatisch eine standardmäßige Site-Pfad-Route (mit Pfad /) erstellt. Die Appliancewendet die Site-Path-Routen automatisch aufdie effektivste Weise an: beginnend mit denrestriktivsten, d.h. längsten Pfaden bis hin zuden Standard-Pfad-Routen, die nur verwendetwerden, wenn auf die eingehende Anfragekeine spezifischere Pfad-Route passt. DieReihenfolge der Liste der Site-Pfad-Routenist nicht relevant. Wenn auf eine eingehendeAnfrage keine Route passt (wenn zum Beispieldie Standard-Route gelöscht wurde), wird dieAnfrage verweigert.
Neuen Pfad hinzufügen (wenn Pfad-spezifische Weiterleitung aktiviert ist)
Klicken Sie auf Pfad hinzufügen, um einenneuen Pfad zu definieren.
HinweisNeuen Pfad hinzufügen ist erst aktiv,wenn mindestens ein Webserver und eingehosteter Webserver erstellt worden sind.
Webserver (wenn Pfad-spezifisches Routingdeaktiviert ist)
Hosts sind die Webserver, die geschütztwerden sollen. Wählen Sie aus einer Liste vonWebservern einen Webserver aus oder klickenSie auf Neues Element hinzufügen, um einenWebserver hinzuzufügen.
Ein neuer Webserver kann direkt auf dieserSeite oder über die Seite Webserver >Webserver erstellt werden.
6. Geben Sie die Zugangsberechtigung an (nicht, wenn Pfad-spezifisches Routing aktivierenausgewählt ist).
Zugelassene Client-Netzwerke Wählen Sie die zugelassenen Hosts oderNetzwerke aus.
Blockierte Client-Netzwerke Wählen Sie das/die blockierte/n Host/s oderNetzwerk/e aus.
94 Copyright © 2018 Sophos Limited
XG Firewall
Authentifizierung Wählen Sie aus der Liste der verfügbarenProfile das Authentifizierungsprofil derWebanwendung.
Sie können ein neues Authentifizierungsprofilauch direkt auf dieser Seite oder auf der SeiteWebserver > Authentifizierungs-Richtlinienerstellen.
7. Geben Sie für die Webserver die Pfad-Ausnahmen an.
Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme zu definieren.
8. Legen Sie erweiterte Einstellungen fest.
a) Legen Sie Richtlinien für Geschäftsanwendungen fest.
Schutz Geben Sie für den Server eineAnwendungsschutz-Richtlinie ein odererstellen Sie eine neue.
Angriffsvorbeugung Wählen Sie für die Regel eine Intrusion-Prevention-Richtlinie oder erstellen Sie eineneue.
Traffic Shaping Die Traffic-Shaping-Richtlinie weist denBenutzern Bandbreite zur Nutzung zu undbeschränkt diese.
b) Legen Sie zusätzliche Optionen für den hinzugefügten Server fest.
Komprimierungsunterstützungdeaktivieren
Dieses Auswahlkästchen ist standardmäßigdeaktiviert. Der Inhalt wird komprimiertversendet, wenn der Client komprimierteDaten anfordert. Durch die Komprimierungwird die Übertragungsgeschwindigkeit erhöhtund die Ladezeit der Seiten reduziert. Wennjedoch Webseiten falsch angezeigt werdenoder wenn Benutzer beim Zugriff auf IhreWebserver Codierungsfehler in Bezug aufden Inhalt erfahren, kann es notwendig sein,die Unterstützung der Komprimierung zudeaktivieren. Wenn das Auswahlkästchenaktiviert ist, fordert die WAF von denWebservern dieses gehosteten Webserversunkomprimierte Daten an und sendetdiese unkomprimiert an den Client weiter,unabhängig von den Kodierungsparameternder HTTP-Anfrage.
HTML umschreiben Wählen Sie diese Option, wenn dieAppliance die Links der zurückgegebenenWebseiten umschreiben soll, damitdiese gültig bleiben. Beispiel: Eine IhrerWebserverinstanzen hat den Hostnamenyourcompany.local, der Hostname desgehosteten Webservers auf der Applianceist jedoch yourcompany.com. Absolute Linkswie [a href="http://yourcompany.local/"]funktionieren daher erst, wenn der Link vorZustellung an den Client in [a href="http://
Copyright © 2018 Sophos Limited 95
XG Firewall
yourcompany.com/"] umgeschrieben wird.Sie müssen diese Option jedoch nichtaktivieren, wenn yourcompany.com auf IhremWebserver konfiguriert ist oder wenn interneLinks auf Ihren Webseiten immer als relativeLinks ausgegeben werden. Wir empfehlendie Verwendung dieser Option bei Zugriffauf Microsoft Outlook Web Access oderSharePoint Portal Server.
HinweisDas HTML-Rewriting betrifft alle Dateienmit einer HTTP-Inhaltsart wie text/* oder*xml*, wobei * eine Wildcard ist. StellenSie sicher, dass andere Dateitypen, z.B.binäre Dateien, über die korrekte HTTP-Inhaltsart verfügen, ansonsten werdensie während des HTML-Rewriting-Prozesses beschädigt.
Cookies umschreiben Wählen Sie diese Option, damit das Gerätdie Cookies der zurückgegebenen Webseitenumschreiben kann.
Host-Header durchreichen Wenn Sie diese Option wählen, bleibt dieHost-Kopfzeile wie vom Client angefragterhalten und wird gemeinsam mit derWebanfrage an den Webserver weitergeleitet.Ob das Durchreichen der Host-Kopfzeile inIhrer Umgebung notwendig ist, hängt von derKonfiguration Ihres Webservers ab.
9. Klicken Sie auf Speichern.
HinweisSobald eine neue HTTP-basierte Regelkonfiguration erstellt und gespeichert wurde oder einevorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde, werden alleHTTP-basierten Geschäftsregeln neu gestartet. Jede zugrundeliegende Client-Verbindung,die eine HTTP-basierte Geschäftsregel verwendet, geht verloren und muss wiederhergestelltwerden.
Die Regel Microsoft Lync wurde erstellt und erscheint auf der Seite Richtlinien, wenn der Filter IPv4eingestellt ist.
Regel für Microsoft Remote Desktop Gateway 2008 und R2 hinzufügen
(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für Microsoft RemoteDesktop Gateway 2008 und R2 konfigurieren können.
1. Gehen Sie zu Firewall und wählen Sie IPv4 mithilfe des Filters.
2. Klicken Sie auf +Firewallregel hinzufügen und Geschäftsanwendungsregel.
3. Legen Sie die allgemeinen Regel-Details fest.
96 Copyright © 2018 Sophos Limited
XG Firewall
Anwendungsvorlage Wählen Sie Microsoft Remote DesktopGateway 2008 und R2, um eine Regel fürMicrosoft Remote Desktop Gateway 2008 undR2 zu konfigurieren.
Beschreibung Geben Sie eine Beschreibung für die Regel ein.
Position der Regel Geben Sie die Position der Regel an.
Verfügbare Optionen:
• Oben
• Unten
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
Regelname Geben Sie einen Namen für die Regel ein.
4. Legen Sie die Details für den Gehosteten Server fest.
Gehostete Adresse Geben Sie die Adresse des gehosteten Serversan, auf welchen die Regel angewendet werdensoll. Dies ist die öffentliche IP-Adresse, überwelche die Internetnutzer auf einen internenServer/Hosts zugreifen können.
HinweisWenn ein Client eine Verbindung zumWebserver aufbaut und auf ihn zugreift,erhält der Webserver nicht die wirkliche IP-Adresse des Clients. Der Server erhält dieAdresse der Schnittstelle, die von der WebApplication Firewall (WAF) benutzt wird, dadie Verbindung über die WAF hergestelltwurde. Die wirkliche IP-Adresse des Clientsist in der HTTP-Kopfzeile
Lausch-Port Geben Sie die Nummer des Ports ein, überwelchen der gehostete Webserver externüber das Internet erreicht werden kann. DerStandardwert ist Port 80 für Klartext (HTTP) undPort 443 für Verschlüsselung (HTTPS).
HTTPS Anklicken, um HTTPS-Verkehr zu aktivierenoder zu deaktivieren.
HTTPS-Zertifikat (wenn HTTPS aktiviert ist) Wählen Sie, welches HTTPS-Zertifikatverwendet werden soll.
HTTP umleiten (wenn HTTPS aktiviert ist) Klicken, um HTTP-Anfragen umzuleiten.
Copyright © 2018 Sophos Limited 97
XG Firewall
Domänen Verwenden Sie FQDN, wenn Sie Domäneneingeben, für die der Webserver verantwortlichist, z.B. shop.example.com.
5. Geben Sie die Daten für den/die Geschützte/r Server ein.
Pfad-spezifisches Routing Sie können das Pfad-spezifische Routingaktivieren, um einen Pfad festzulegen, anwelchen eingehende Anfragen von Webservernweitergeleitet werden sollen.
Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webservergesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzerwährend seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.
Für jeden gehosteten Webserver wirdautomatisch eine standardmäßige Site-Pfad-Route (mit Pfad /) erstellt. Die Appliancewendet die Site-Path-Routen automatisch aufdie effektivste Weise an: beginnend mit denrestriktivsten, d.h. längsten Pfaden bis hin zuden Standard-Pfad-Routen, die nur verwendetwerden, wenn auf die eingehende Anfragekeine spezifischere Pfad-Route passt. DieReihenfolge der Liste der Site-Pfad-Routenist nicht relevant. Wenn auf eine eingehendeAnfrage keine Route passt (wenn zum Beispieldie Standard-Route gelöscht wurde), wird dieAnfrage verweigert.
Neuen Pfad hinzufügen (wenn Pfad-spezifische Weiterleitung aktiviert ist)
Klicken Sie auf Neuen Pfad hinzufügen, umeinen neuen Pfad zu definieren.
HinweisNeuen Pfad hinzufügen ist erst aktiv,wenn mindestens ein Webserver und eingehosteter Webserver erstellt worden sind.
Webserver (wenn Pfad-spezifisches Routingdeaktiviert ist)
Webserver sind die Anwendungsserver, diegeschützt werden sollen. Wählen Sie auseiner Liste von Webservern oder klicken Sie
98 Copyright © 2018 Sophos Limited
XG Firewall
auf Neues Element hinzufügen, um einenWebserver hinzuzufügen.
Ein neuer Webserver kann direkt auf dieserSeite oder über die Seite Webserver >Webserver erstellt werden.
6. Geben Sie die Zugangsberechtigungen an. (Wenn Pfad-spezifisches Routing deaktiviert ist).
Zugelassene Client-Netzwerke Wählen Sie die zugelassenen Hosts oderNetzwerke aus.
Blockierte Client-Netzwerke Wählen Sie das/die blockierte/n Host/s oderNetzwerk/e aus.
Authentifizierung Wählen Sie aus der Liste der verfügbarenProfile das Authentifizierungsprofil derWebanwendung. Sie können ein neuesAuthentifizierungsprofil auch direkt aufdieser Seite oder auf der Seite Webserver >Authentifizierungs-Richtlinien erstellen.
7. Geben Sie für die Webserver die Pfad-Ausnahmen an.
Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme anzugeben.
8. Legen Sie erweiterte Einstellungen fest.
a) Legen Sie Richtlinien für Geschäftsanwendungen fest.
Schutz Geben Sie für den Server eineAnwendungsschutz-Richtlinie ein odererstellen Sie eine neue.
Angriffsvorbeugung Wählen Sie für die Regel eine Intrusion-Prevention-Richtlinie oder erstellen Sie eineneue.
Traffic Shaping Die Traffic-Shaping-Richtlinie weist denBenutzern Bandbreite zur Nutzung zu undbeschränkt diese.
b) Legen Sie zusätzliche Optionen für den hinzugefügten Server fest.
Komprimierungsunterstützungdeaktivieren
Dieses Auswahlkästchen ist standardmäßigdeaktiviert. Der Inhalt wird komprimiertversendet, wenn der Client komprimierteDaten anfordert. Durch die Komprimierungwird die Übertragungsgeschwindigkeit erhöhtund die Ladezeit der Seiten reduziert. Wennjedoch Webseiten falsch angezeigt werdenoder wenn Benutzer beim Zugriff auf IhreWebserver Codierungsfehler in Bezug aufden Inhalt erfahren, kann es notwendig sein,die Unterstützung der Komprimierung zudeaktivieren. Wenn das Auswahlkästchenaktiviert ist, fordert die WAF von denWebservern dieses gehosteten Webserversunkomprimierte Daten an und sendetdiese unkomprimiert an den Client weiter,unabhängig von den Kodierungsparameternder HTTP-Anfrage.
Copyright © 2018 Sophos Limited 99
XG Firewall
HTML umschreiben Wählen Sie diese Option, wenn dieAppliance die Links der zurückgegebenenWebseiten umschreiben soll, damitdiese gültig bleiben. Beispiel: Eine IhrerWebserverinstanzen hat den Hostnamenyourcompany.local, der Hostname desgehosteten Webservers auf der Applianceist jedoch yourcompany.com. Absolute Linkswie [a href="http://yourcompany.local/"]funktionieren daher erst, wenn der Link vorZustellung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird.Sie müssen diese Option jedoch nichtaktivieren, wenn yourcompany.com auf IhremWebserver konfiguriert ist oder wenn interneLinks auf Ihren Webseiten immer als relativeLinks ausgegeben werden. Wir empfehlendie Verwendung dieser Option bei Zugriffauf Microsoft Outlook Web Access oderSharePoint Portal Server.
HinweisDas HTML-Rewriting betrifft alle Dateienmit einer HTTP-Inhaltsart wie text/* oder*xml*, wobei * eine Wildcard ist. StellenSie sicher, dass andere Dateitypen, z.B.binäre Dateien, über die korrekte HTTP-Inhaltsart verfügen, ansonsten werdensie während des HTML-Rewriting-Prozesses beschädigt.
Cookies umschreiben Wählen Sie diese Option, damit das Gerätdie Cookies der zurückgegebenen Webseitenumschreiben kann.
Host-Header durchreichen Wenn Sie diese Option wählen, bleibt dieHost-Kopfzeile wie vom Client angefragterhalten und wird gemeinsam mit derWebanfrage an den Webserver weitergeleitet.Ob das Durchreichen der Host-Kopfzeile inIhrer Umgebung notwendig ist, hängt von derKonfiguration Ihres Webservers ab.
9. Klicken Sie auf Speichern.
HinweisSobald eine neue HTTP-basierte Regelkonfiguration erstellt und gespeichert wurde oder einevorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde, werden alleHTTP-basierten Geschäftsregeln neu gestartet. Jede zugrundeliegende Client-Verbindung,die eine HTTP-basierte Geschäftsregel verwendet, geht verloren und muss wiederhergestelltwerden.
Die Regel für Microsoft Remote Desktop Gateway 2008 and R2 wurde erstellt und erscheint auf derSeite Firewall, wenn der Filter IPv4 eingestellt ist.
100 Copyright © 2018 Sophos Limited
XG Firewall
Regel für Microsoft Remote Desktop Web 2008 und R2 hinzufügen
(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für Microsoft RemoteDesktop Web 2008 und R2 konfigurieren können.
1. Gehen Sie zu Firewall und wählen Sie IPv4 mithilfe des Filters.
2. Klicken Sie auf +Firewallregel hinzufügen und Geschäftsanwendungsregel.
3. Legen Sie die allgemeinen Regel-Details fest.
Anwendungsvorlage Wählen Sie Microsoft Remote Desktop Web2008 und R2, um eine Regel für MicrosoftRemote Desktop Web 2008 und R2 zukonfigurieren.
Beschreibung Geben Sie eine Beschreibung für die Regel ein.
Position der Regel Geben Sie die Position der Regel an.
Verfügbare Optionen:
• Oben
• Unten
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
Regelname Geben Sie einen Namen für die Regel ein.
4. Legen Sie die Details für den Gehosteten Server fest.
Gehostete Adresse Geben Sie die Adresse des gehosteten Serversan, auf welchen die Regel angewendet werdensoll. Dies ist die öffentliche IP-Adresse, überwelche die Internetnutzer auf einen internenServer/Hosts zugreifen können.
HinweisWenn ein Client eine Verbindung zumWebserver aufbaut und auf ihn zugreift,erhält der Webserver nicht die wirkliche IP-Adresse des Clients. Der Server erhält dieAdresse der Schnittstelle, die von der WebApplication Firewall (WAF) benutzt wird, dadie Verbindung über die WAF hergestelltwurde. Die wirkliche IP-Adresse des Clientsist in der HTTP-Kopfzeile
Lausch-Port Geben Sie die Nummer des Ports ein, überwelchen der gehostete Webserver externüber das Internet erreicht werden kann. Der
Copyright © 2018 Sophos Limited 101
XG Firewall
Standardwert ist Port 80 für Klartext (HTTP) undPort 443 für Verschlüsselung (HTTPS).
HTTPS Anklicken, um HTTPS-Verkehr zu aktivierenoder zu deaktivieren.
HTTPS-Zertifikat (wenn HTTPS aktiviert ist) Wählen Sie, welches HTTPS-Zertifikatverwendet werden soll.
HTTP umleiten (wenn HTTPS aktiviert ist) Klicken, um HTTP-Anfragen umzuleiten.
Domänen Verwenden Sie FQDN, wenn Sie Domäneneingeben, für die der Webserver verantwortlichist, z.B. shop.example.com.
5. Geben Sie die Daten für den/die Geschützte/r Server ein.
Pfad-spezifisches Routing Sie können das Pfad-spezifische Routingaktivieren, um einen Pfad festzulegen, anwelchen eingehende Anfragen von Webservernweitergeleitet werden sollen.
Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webservergesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzerwährend seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.
Für jeden gehosteten Webserver wirdautomatisch eine standardmäßige Site-Pfad-Route (mit Pfad /) erstellt. Die Appliancewendet die Site-Path-Routen automatisch aufdie effektivste Weise an: beginnend mit denrestriktivsten, d.h. längsten Pfaden bis hin zuden Standard-Pfad-Routen, die nur verwendetwerden, wenn auf die eingehende Anfragekeine spezifischere Pfad-Route passt. DieReihenfolge der Liste der Site-Pfad-Routenist nicht relevant. Wenn auf eine eingehendeAnfrage keine Route passt (wenn zum Beispieldie Standard-Route gelöscht wurde), wird dieAnfrage verweigert.
Neuen Pfad hinzufügen (wenn Pfad-spezifische Weiterleitung aktiviert ist)
Klicken Sie auf Neuen Pfad hinzufügen, umeinen neuen Pfad zu definieren.
102 Copyright © 2018 Sophos Limited
XG Firewall
HinweisNeuen Pfad hinzufügen ist erst aktiv,wenn mindestens ein Webserver und eingehosteter Webserver erstellt worden sind.
Webserver (wenn Pfad-spezifisches Routingdeaktiviert ist)
Webserver sind die Anwendungsserver,die geschützt werden sollen. Wählen Sieaus einer Liste von Webservern einenWebserver aus oder klicken Sie auf NeuesElement hinzufügen, um einen Webserverhinzuzufügen.
Ein neuer Webserver kann direkt auf dieserSeite oder über die Seite Webserver >Webserver erstellt werden.
6. Geben Sie die Zugangsberechtigung an (wenn Pfad-spezifisches Routing aktivierendeaktiviert ist).
Zugelassene Client-Netzwerke Wählen Sie die zugelassenen Hosts oderNetzwerke aus.
Blockierte Client-Netzwerke Wählen Sie das/die blockierte/n Host/s oderNetzwerk/e aus.
Authentifizierung Wählen Sie aus der Liste der verfügbarenProfile das Authentifizierungsprofil derWebanwendung.
Sie können ein neues Authentifizierungsprofilauch direkt auf dieser Seite oder auf der SeiteWebserver > Authentifizierungs-Richtlinienerstellen.
7. Fügen Sie für die Webserver die Pfad-Ausnahmen hinzu.
Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme anzugeben.
8. Legen Sie erweiterte Einstellungen fest.
a) Legen Sie Richtlinien für Geschäftsanwendungen fest.
Schutz Geben Sie für den Server eineAnwendungsschutz-Richtlinie ein odererstellen Sie eine neue.
Angriffsvorbeugung Wählen Sie für die Regel eine Intrusion-Prevention-Richtlinie oder erstellen Sie eineneue.
Traffic Shaping Die Traffic-Shaping-Richtlinie weist denBenutzern Bandbreite zur Nutzung zu undbeschränkt diese.
b) Legen Sie zusätzliche Optionen für den hinzugefügten Server fest.
Komprimierungsunterstützungdeaktivieren
Dieses Auswahlkästchen ist standardmäßigdeaktiviert. Der Inhalt wird komprimiertversendet, wenn der Client komprimierteDaten anfordert. Durch die Komprimierungwird die Übertragungsgeschwindigkeit erhöht
Copyright © 2018 Sophos Limited 103
XG Firewall
und die Ladezeit der Seiten reduziert. Wennjedoch Webseiten falsch angezeigt werdenoder wenn Benutzer beim Zugriff auf IhreWebserver Codierungsfehler in Bezug aufden Inhalt erfahren, kann es notwendig sein,die Unterstützung der Komprimierung zudeaktivieren. Wenn das Auswahlkästchenaktiviert ist, fordert die WAF von denWebservern dieses gehosteten Webserversunkomprimierte Daten an und sendetdiese unkomprimiert an den Client weiter,unabhängig von den Kodierungsparameternder HTTP-Anfrage.
HTML umschreiben Wählen Sie diese Option, wenn dieAppliance die Links der zurückgegebenenWebseiten umschreiben soll, damitdiese gültig bleiben. Beispiel: Eine IhrerWebserverinstanzen hat den Hostnamenyourcompany.local, der Hostname desgehosteten Webservers auf der Applianceist jedoch yourcompany.com. Absolute Linkswie [a href="http://yourcompany.local/"]funktionieren daher erst, wenn der Link vorZustellung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird.Sie müssen diese Option jedoch nichtaktivieren, wenn yourcompany.com auf IhremWebserver konfiguriert ist oder wenn interneLinks auf Ihren Webseiten immer als relativeLinks ausgegeben werden. Wir empfehlendie Verwendung dieser Option bei Zugriffauf Microsoft Outlook Web Access oderSharePoint Portal Server.
HinweisDas HTML-Rewriting betrifft alle Dateienmit einer HTTP-Inhaltsart wie text/* oder*xml*, wobei * eine Wildcard ist. StellenSie sicher, dass andere Dateitypen, z.B.binäre Dateien, über die korrekte HTTP-Inhaltsart verfügen, ansonsten werdensie während des HTML-Rewriting-Prozesses beschädigt.
Cookies umschreiben Wählen Sie diese Option, damit das Gerätdie Cookies der zurückgegebenen Webseitenumschreiben kann.
Host-Header durchreichen Wenn Sie diese Option wählen, bleibt dieHost-Kopfzeile wie vom Client angefragterhalten und wird gemeinsam mit derWebanfrage an den Webserver weitergeleitet.Ob das Durchreichen der Host-Kopfzeile inIhrer Umgebung notwendig ist, hängt von derKonfiguration Ihres Webservers ab.
104 Copyright © 2018 Sophos Limited
XG Firewall
9. Klicken Sie auf Speichern.
HinweisSobald eine neue HTTP-basierte Regelkonfiguration erstellt und gespeichert wurde oder einevorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde, werden alleHTTP-basierten Geschäftsregeln neu gestartet. Jede zugrundeliegende Client-Verbindung,die eine HTTP-basierte Geschäftsregel verwendet, geht verloren und muss wiederhergestelltwerden.
Die Regel für Microsoft Remote Desktop Web 2008 and R2 wurde erstellt und erscheint auf der SeiteFirewall, wenn der Filter IPv4 eingestellt ist.
Regel für Microsoft Sharepoint 2010 und 2013 hinzufügen
(Nur für IPv4-Richtlinien). Auf dieser Seite ist beschrieben, wie Sie eine Regel für Microsoft SharePoint2010 und 2013 konfigurieren können.
1. Gehen Sie zu Firewall und wählen Sie IPv4 mithilfe des Filters.
2. Klicken Sie auf +Firewallregel hinzufügen und Geschäftsanwendungsregel.
3. Legen Sie die allgemeinen Regel-Details fest.
Anwendungsvorlage Wählen Sie Microsoft Sharepoint 2010 und2013, um eine Regel für Microsoft Sharepoint2010 und 2013 zu konfigurieren.
Beschreibung Geben Sie eine Beschreibung für die Regel ein.
Position der Regel Geben Sie die Position der Regel an.
Verfügbare Optionen:
• Oben
• Unten
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
Regelname Geben Sie einen Namen für die Regel ein.
4. Legen Sie die Details für den Gehosteten Server fest.
Gehostete Adresse Geben Sie die Adresse des gehosteten Serversan, auf welchen die Regel angewendet werdensoll. Dies ist die öffentliche IP-Adresse, überwelche die Internetnutzer auf einen internenServer/Hosts zugreifen können.
Copyright © 2018 Sophos Limited 105
XG Firewall
HinweisWenn ein Client eine Verbindung zumWebserver aufbaut und auf ihn zugreift,erhält der Webserver nicht die wirkliche IP-Adresse des Clients. Der Server erhält dieAdresse der Schnittstelle, die von der WebApplication Firewall (WAF) benutzt wird, dadie Verbindung über die WAF hergestelltwurde. Die wirkliche IP-Adresse des Clientsist in der HTTP-Kopfzeile
Lausch-Port Geben Sie die Nummer des Ports ein, überwelchen der gehostete Webserver externüber das Internet erreicht werden kann. DerStandardwert ist Port 80 für Klartext (HTTP) undPort 443 für Verschlüsselung (HTTPS).
HTTPS Anklicken, um HTTPS-Verkehr zu aktivierenoder zu deaktivieren.
HTTPS-Zertifikat (wenn HTTPS aktiviert ist) Wählen Sie, welches HTTPS-Zertifikatverwendet werden soll.
HTTP umleiten (wenn HTTPS aktiviert ist) Klicken, um HTTP-Anfragen umzuleiten.
Domänen Verwenden Sie FQDN, wenn Sie Domäneneingeben, für die der Webserver verantwortlichist, z.B. shop.example.com.
5. Geben Sie die Daten für den/die Geschützte/r Server ein.
Pfad-spezifisches Routing Sie können das Pfad-spezifische Routingaktivieren, um einen Pfad festzulegen, anwelchen eingehende Anfragen von Webservernweitergeleitet werden sollen.
Sie können definieren, dass alle URLs miteinem bestimmten Pfad, zum Beispiel /products/, an einen bestimmten Webservergesendet werden. Sie können für einebestimmte Anfrage auch mehr als einenWebserver zulassen und Regeln hinzufügen,wie die Anfragen auf die Server verteilt werdensollen. Sie können zudem festlegen, dassjede Sitzung über ihre gesamte Lebensdauerhinweg mit einem Webserver verbunden bleibt(permanente Sitzung). Dies kann notwendigsein, wenn Sie als Host eines Online-Shopssicherstellen möchten, dass ein Benutzerwährend seiner gesamten Einkaufssession mitdemselben Server verbunden bleibt. Sie könnenaußerdem konfigurieren, dass alle Anfragenan einen Webserver gesendet werden und dieanderen Server nur als Backup genutzt werden.
Für jeden gehosteten Webserver wirdautomatisch eine standardmäßige Site-Pfad-Route (mit Pfad /) erstellt. Die Appliance
106 Copyright © 2018 Sophos Limited
XG Firewall
wendet die Site-Path-Routen automatisch aufdie effektivste Weise an: beginnend mit denrestriktivsten, d.h. längsten Pfaden bis hin zuden Standard-Pfad-Routen, die nur verwendetwerden, wenn auf die eingehende Anfragekeine spezifischere Pfad-Route passt. DieReihenfolge der Liste der Site-Pfad-Routenist nicht relevant. Wenn auf eine eingehendeAnfrage keine Route passt (wenn zum Beispieldie Standard-Route gelöscht wurde), wird dieAnfrage verweigert.
Neuen Pfad hinzufügen (wenn Pfad-spezifische Weiterleitung aktiviert ist)
Klicken Sie auf Neuen Pfad hinzufügen, umeinen neuen Pfad zu definieren.
HinweisNeuen Pfad hinzufügen ist erst aktiv,wenn mindestens ein Webserver und eingehosteter Webserver erstellt worden sind.
Webserver (wenn Pfad-spezifisches Routingdeaktiviert ist)
Webserver sind die Anwendungsserver,die geschützt werden sollen. Wählen Sieaus einer Liste von Webservern einenWebserver aus oder klicken Sie auf NeuesElement hinzufügen, um einen Webserverhinzuzufügen.
Ein neuer Webserver kann direkt auf dieserSeite oder über die Seite Webserver >Webserver erstellt werden.
6. Geben Sie die Zugangsberechtigung an (wenn Pfad-spezifisches Routing aktivierendeaktiviert ist).
Zugelassene Client-Netzwerke Wählen Sie die zugelassenen Hosts oderNetzwerke aus.
Blockierte Client-Netzwerke Wählen Sie das/die blockierte/n Host/s oderNetzwerk/e aus.
Authentifizierung Wählen Sie aus der Liste der verfügbarenProfile das Authentifizierungsprofil derWebanwendung.
Sie können ein neues Authentifizierungsprofilauch direkt auf dieser Seite oder auf der SeiteWebserver > Authentifizierungs-Richtlinienerstellen.
7. Fügen Sie für die Webserver die Pfad-Ausnahmen hinzu.
Klicken Sie auf Neue Ausnahme hinzufügen, um eine neue Ausnahme anzugeben.
8. Legen Sie erweiterte Einstellungen fest.
a) Legen Sie Richtlinien für Geschäftsanwendungen fest.
Schutz Geben Sie für den Server eineAnwendungsschutz-Richtlinie ein odererstellen Sie eine neue.
Copyright © 2018 Sophos Limited 107
XG Firewall
Angriffsvorbeugung Wählen Sie für die Regel eine Intrusion-Prevention-Richtlinie oder erstellen Sie eineneue.
Traffic Shaping Die Traffic-Shaping-Richtlinie weist denBenutzern Bandbreite zur Nutzung zu undbeschränkt diese.
b) Legen Sie zusätzliche Optionen für den hinzugefügten Server fest.
Komprimierungsunterstützungdeaktivieren
Dieses Auswahlkästchen ist standardmäßigdeaktiviert. Der Inhalt wird komprimiertversendet, wenn der Client komprimierteDaten anfordert. Durch die Komprimierungwird die Übertragungsgeschwindigkeit erhöhtund die Ladezeit der Seiten reduziert. Wennjedoch Webseiten falsch angezeigt werdenoder wenn Benutzer beim Zugriff auf IhreWebserver Codierungsfehler in Bezug aufden Inhalt erfahren, kann es notwendig sein,die Unterstützung der Komprimierung zudeaktivieren. Wenn das Auswahlkästchenaktiviert ist, fordert die WAF von denWebservern dieses gehosteten Webserversunkomprimierte Daten an und sendetdiese unkomprimiert an den Client weiter,unabhängig von den Kodierungsparameternder HTTP-Anfrage.
HTML umschreiben Wählen Sie diese Option, wenn dieAppliance die Links der zurückgegebenenWebseiten umschreiben soll, damitdiese gültig bleiben. Beispiel: Eine IhrerWebserverinstanzen hat den Hostnamenyourcompany.local, der Hostname desgehosteten Webservers auf der Applianceist jedoch yourcompany.com. Absolute Linkswie [a href="http://yourcompany.local/"]funktionieren daher erst, wenn der Link vorZustellung an den Client in [a href="http://yourcompany.com/"] umgeschrieben wird.Sie müssen diese Option jedoch nichtaktivieren, wenn yourcompany.com auf IhremWebserver konfiguriert ist oder wenn interneLinks auf Ihren Webseiten immer als relativeLinks ausgegeben werden. Wir empfehlendie Verwendung dieser Option bei Zugriffauf Microsoft Outlook Web Access oderSharePoint Portal Server.
108 Copyright © 2018 Sophos Limited
XG Firewall
HinweisDas HTML-Rewriting betrifft alle Dateienmit einer HTTP-Inhaltsart wie text/* oder*xml*, wobei * eine Wildcard ist. StellenSie sicher, dass andere Dateitypen, z.B.binäre Dateien, über die korrekte HTTP-Inhaltsart verfügen, ansonsten werdensie während des HTML-Rewriting-Prozesses beschädigt.
Cookies umschreiben Wählen Sie diese Option, damit das Gerätdie Cookies der zurückgegebenen Webseitenumschreiben kann.
Host-Header durchreichen Wenn Sie diese Option wählen, bleibt dieHost-Kopfzeile wie vom Client angefragterhalten und wird gemeinsam mit derWebanfrage an den Webserver weitergeleitet.Ob das Durchreichen der Host-Kopfzeile inIhrer Umgebung notwendig ist, hängt von derKonfiguration Ihres Webservers ab.
9. Klicken Sie auf Speichern.
HinweisSobald eine neue HTTP-basierte Regelkonfiguration erstellt und gespeichert wurde oder einevorhandene HTTP-basierte Regelkonfiguration verändert und gespeichert wurde, werden alleHTTP-basierten Geschäftsregeln neu gestartet. Jede zugrundeliegende Client-Verbindung,die eine HTTP-basierte Geschäftsregel verwendet, geht verloren und muss wiederhergestelltwerden.
Die Richtlinie für Microsoft Sharepoint 2010 und 2013 wurde erstellt und erscheint auf der SeiteFirewall, wenn der Filter IPv4 eingestellt ist.
Pfad hinzufügen
(Nur für HTTP-basierte Geschäftsanwendungsregeln). Auf dieser Seite ist beschrieben wie Sie einenPfad definieren können, zu dem Anfragen von echten Webservern weitergeleitet werden.
1. Aktivieren Sie pfad-spezifisches Routing und klicken Sie auf Neuen Pfad hinzufügen.
2. Geben Sie die Daten zum Pfad an.
Pfad Geben Sie den Pfad ein, für welchen Sie dieSite-Pfad-Route erstellen möchten.
Beispiel: /products/.
Webserver Wählen Sie, welche Webserver für denangegebenen Pfad verwendet werden sollen.
Authentifizierung Wählen Sie das Authentifizierungsprofil derWebanwendung. Klicken Sie auf Neu erstellen,um ein neues Authentifizierungsprofil zuerstellen.
Copyright © 2018 Sophos Limited 109
XG Firewall
Sie können ein Authentifizierungsprofil auch aufder Seite Webserver > Authentifizierungs-Richtlinien erstellen.
Zugelassene Client-Netzwerke Wählen Sie aus, welche Netzwerke zugelassensind und sich mit dem gehosteten Webserververbinden können.
Blockierte Client-Netzwerke Wählen Sie, welche Netzwerke nichtzugelassen sind und von Ihrem gehostetenWebserver blockiert werden sollen.
Cookie für permanente Sitzung Klicken Sie auf den Schieberegler umsicherzustellen, dass jede Sitzung an einenWebserver gebunden ist. Wenn die Optionaktiviert ist, wird an den Browser des Benutzersein Cookie weitergereicht, welcher dazuführt, dass Sophos XG Firewall alle Anfragenvon diesem Browser an denselben realenWebserver weiterleitet. Wenn der Server nichtverfügbar ist, wird der Cookie aktualisiert, unddie Sitzung wird auf einen anderen Webserverweitergeleitet.
Hot-Standby-Modus Klicken Sie auf den Schieberegler, wenn Siealle Anfragen an den ersten ausgewähltenWebserver senden und andere Webserver nurals Backup nutzen möchten. Die Backup-Serverwerden nur verwendet, wenn der Hauptserverausfällt.
Sobald der Hauptserver erneut funktioniert,werden die Sitzungen wieder zurückgereicht,es sei denn, Sie haben die Option Cookie fürpermanente Sitzung ausgewählt.
3. Klicken Sie auf Speichern.
Ausnahme hinzufügen
(Nur für HTTP-basierte Geschäftsregeln). Auf dieser Seite ist beschrieben wie Sie für die Webserverdie Pfadausnahmen festlegen können.
1. Klicken Sie auf Neue Ausnahme hinzufügen.
2. Geben Sie die Daten der Ausnahme ein.
Option Beschreibung
Pfad Geben Sie den Pfad ein, den Sie ausschließenmöchten.
Vorgang Verwenden Sie den Operator UND oder ODERfür Pfad und Quelle.
Quelle Geben Sie an, von welchen Quellnetzwerkendie Client-Anfragen von den ausgewähltenPrüfungen ausgeschlossen werden sollen.
3. Wählen Sie Prüfungen aus, die ausgelassen werden sollen.
110 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Cookie-Signierung Anklicken, um die Cookie-Signierung zuüberspringen. Mit der Cookie-Signierung wirdder Webserver vor manipulierten Cookiesgeschützt. Wenn der Webserver einen Cookiesetzt, wird ein zweiter Cookie dem erstenhinzugefügt. Dieser enthält den Namendes primären Cookies als Hash-Version,seinen Wert und ein Geheimnis, das nur derWAF bekannt ist. Wenn eine Anfrage keinkorrektes Cookie-Paar anbieten kann, hat eineManipulation stattgefunden und der Cookie wirdabgewiesen.
Statisches URL-Hardening Schützt gegen URL-Rewriting. Wenn einClient eine Webseite anfragt, werden allestatischen URLs der Webseite signiert. Beidieser Signierung kommt ein ähnlicher Prozesswie bei der Cookie-Signierung zum Einsatz.Zudem wird die Anfrage vom Webserverhinsichtlich der Links analysiert, die alsnächstes ordnungsgemäß angefragt werdenkönnen.
Form-Hardening Klicken, um Form-Hardening zu überspringen.Form-Hardening schützt vor dem Umschreibenvon Webformularen. Form-Hardening erhältdie urpsprüngliche Struktur des Webformularsaufrecht und signiert es. Wenn sich die Struktureines Formulars bei Einreichung verändert hat,weist die WAF die Anfrage ab.
Antivirus Wählen Sie diese Option, um einen Webservergegen Viren zu schützen.
Clients mit schlechtem Ruf blockieren Auf Basis der Daten von GeoIPClosed undRBLClosed können Sie Clients blockieren, diegemäß ihrer Klassifizierung einen schlechtenRuf haben.
4. Wählen Sie Kategorien aus, die ausgelassen werden sollen.
Option Beschreibung
Protokollverletzungen Erzwingt die Einhaltung derStandardspezifikation in RFC des HTTP-Protokolls. Wenn diese Standards nichteingehalten werden, weist dies in der Regel aufeine bösartige Absicht hin.
Protokollanomalien Sucht nach häufig auftretendenBenutzungsmustern. Wenn solche Musterfehlen, weist dies häufig auf bösartige Anfragenhin. Zu diesen Mustern gehören unter anderemHTTP-Kopfzeilen wie „Host“ und „User-Agent“.
Grenzwerte anfragen Erzwingt angemessene Grenzwerte inBezug auf die Anzahl und den Bereich von
Copyright © 2018 Sophos Limited 111
XG Firewall
Option Beschreibung
Anfragenargumenten. Wenn übermäßig vieleAnfragenargumente genutzt werden, ist dies eintypischer Angriffsvektor.
HTTP-Richtlinie Schränkt die erlaubte Nutzung des HTTP-Protokolls ein. Webbrowser nutzen in der Regelnur einen begrenzten Teil aller möglichenHTTP-Optionen. Wenn selten genutzteOptionen nicht erlaubt sind, schützt dies vorAngreifern, die auf diese wenig unterstütztenOptionen abzielen.
Schädliche Roboter Sucht nach Eigenschaften der Nutzungsmustervon Bots und Crawlern. Indem diesen derZugriff verweigert wird, können möglicheSchwachstellen Ihrer Webserver nicht soeinfach entdeckt werden.
Generische Angriffe Sucht nach versuchten Ausführungen vonBefehlen, die häufig bei Attacken zum Einsatzkommen. Wenn ein Angreifer einen Webservererreicht hat, versucht er in der Regel auf demServer Befehle auszuführen, zum Beispielzur Erweiterung von Berechtigungen oderManipulation von Datenspeichern. Indem nachdiesen Ausführungsversuchen gesucht wird,können Angriffe erkannt werden, die ansonsteneventuell nicht bemerkt werden, zum Beispielweil sie mittels legitimen Zugriff auf einengefährdeten Dienst abzielen.
SQL-Injection-Angriffe Prüft die Anfragenargumente auf eingebetteteSQL-Befehle und Fluchtzeichen. Die meistenAngriffe auf einen Webserver zielen auf dieEingabefelder ab, die für direkte eingebetteteSQL-Befehle an die Datenbank verwendetwerden.
XSS-Angriffe Prüft die Anfragenargumente auf eingebetteteScript-Tags und Code. Typische Scripting-Angriffe über mehrere Webseiten hinwegzielen darauf ab, in die Eingabefelder einesZielservers Script-Code zu injizieren, oftmalsauf legitime Weise.
Hohe Sicherheit Führt auf Wunsch engmaschigeSicherheitsprüfungen durch, zum Beispielzur Prüfung auf verbotene Path Traversal-Versuche.
Trojaner Sucht nach Nutzungsmustern, die für Trojanertypisch sind, und nach Anfragen, die auf einenaktiven Trojaner hinweisen. Verhindert jedochnicht die Installation solcher Trojaner, da diesdie Aufgabe der Virenscanner ist.
Ausgehend Verhindert, dass Webserver Daten an denClient freigegeben. Hierzu gehören unter
112 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
anderem Fehlermeldungen, die von Servernversendet werden und die von Angreiferngenutzt werden, um sensible Daten zu sammelnoder Schwachstellen zu erkennen.
5. Legen Sie erweiterte Einstellungen fest.
Option Beschreibung
HTML während statischem URL-Hardeningoder Form-Hardening nie ändern
Wenn diese Option ausgewählt ist, werdenDaten, die den definierten Einstellungen derAusnahmen entsprechen, von der WAF-Enginenicht geändert. Mit dieser Option werden zumBeispiel binäre Daten, die fälschlicherweise miteinem Text-/HTML-Inhaltstyp geliefert werden,vom Webserver nicht beschädigt. Jedochist es möglich, dass Webanfragen eventuellaufgrund des aktivierten URL-Hardening,HTML-Rewriting oder Form-Hardening blockiertwerden. Diese drei Funktionen verwendenallesamt einen HTML-Parser und hängen daherbis zu einem gewissen Grad von der Änderungvon Internetinhalten ab. Um unerwünschteBlockierungen zu verhindern, überspringen Siedas URL-Hardening und/oder Form-Hardeningbei Anfragen, die blockiert werden. Eventuellmüssen Sie dies in einem anderen oderneuen Ausschluss tun, um die Abhängigkeitenzwischen den Webservern und/oder Webseitenzu berücksichtigen.
Formulardaten ohne URL-Hardeningakzeptieren
Auch wenn es eine Ausnahme für Form-Hardening gibt, ist es möglich, dassFormulardaten nicht akzeptiert werden, wenndie Form-Hardening-Signatur fehlt. Mit dieserOption können sogenannte „nicht gehärtete“Formulardaten dennoch akzeptiert werden.
6. Klicken Sie auf Speichern.
7.2.2 Anwendungsfilter-Vorlagen für häufige nicht-HTTP-basierte Anwendungen
Sophos XG Firewall bietet einige vorkonfigurierte Vorlagen, um eine Schutzregel für häufig verwendetenicht-HTTP-basierte Anwendungen und Dienste zu erstellen. Sie können diese Vorlagen verwenden,um für die Webanwendungen eine Richtlinie zu erstellen, die Ihrer Konfiguration am ehestenentspricht, und diese dann an Ihre Anforderungen anpassen.
DNAT-/Full-NAT-/Lastverteilungs-Regel hinzufügen
Auf dieser Seite ist beschrieben, wie Sie eine DNAT-, Full-NAT- oder Lastverteilungs-Regel (nicht fürWeb) konfigurieren können.
Eine DNAT-, Full-NAT- oder Lastverteilungs-Regel wird verwendet, um Nicht-Web-Server, wie E-Mail-oder andere Server, die im Netzwerk bereitgestellt werden (LAN oder DMZ), zu schützen. Mit dieser
Copyright © 2018 Sophos Limited 113
XG Firewall
Regel können Sie die Zugriffsrechte auf diese Server für Benutzer definieren, die Zugriff über das WANoder Internet verlangen.
1. Gehen Sie zu Firewall und wählen Sie mithilfe des Standardfilters entweder IPv4 oder IPv6 aus.
2. Klicken Sie nun auf +Firewallregel hinzufügen und wählen Sie Geschäftsanwendungsregel.
3. Legen Sie die allgemeinen Regelinformationen fest.
Anwendungsvorlage Wählen Sie DNAT/Full NAT/Lastverteilung,um eine Regel für allgemeine Anwendungen zukonfigurieren, die nicht webbasiert sind.
Beschreibung Geben Sie eine Beschreibung für die Regel ein.
Position der Regel Geben Sie die Position der Regel an.
Verfügbare Optionen:
• Oben
• Unten
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
Regelname Geben Sie einen Namen für die Regel ein.
4. Geben Sie Details zur Quelle ein.
Quellzonen Wählen Sie eine Quellzone oder klicken Sieauf Neues Element hinzufügen, um eine neueLAN- oder DMZ-Zone zu definieren.
Zugelassene Client-Netzwerke Wählen Sie zugelassene Hosts aus oder fügenSie neue hinzu, indem Sie auf Neues Elementhinzufügen klicken.
Blockierte Client-Netzwerke Wählen Sie das/die blockierte/n Host/s oderNetzwerk/e aus.
5. Legen Sie die Details für Ziel & Dienst fest.
Zielhost/-netzwerk Wählen Sie einen Zielhost oder einZielnetzwerk aus, um die Regel anzuwenden.Dies ist die öffentliche IP-Adresse, über welchedie Benutzer auf den internen Server/Hostsüber das Internet zugreifen können.
Verfügbare Optionen:
• IP-Adresse: Die angegebene IP-Adressewird der zugehörigen einzelnen IP-Adresseoder einem IP-Adressbereich zugeordnet.Wenn eine einzelne IP-Adresse einem IP-Adressbereich zugeordnet wird, verwendetdie Appliance einen Round-Robin-
114 Copyright © 2018 Sophos Limited
XG Firewall
Algorithmus, um die Last der Anfragenauszugleichen.
• IP-Bereich: (Nur bei IPv4). Der angegebeneIP-Adressbereich wird dem entsprechendenBereich von zugeordneten IP-Adressenzugewiesen. Der IP-Bereich legt den Startund das Ende des Adressbereichs fest.Der Start des Bereichs muss kleiner alsdas Ende der IP-Adresse sein. WählenSie diese Option, wenn ein Port derAppliance, Alias oder eine virtuelle LAN(VLAN)-Subschnittstelle dem Zielhost oderZielnetzwerk zugeordnet werden muss.
Weiterleitungsart Wählen Sie aus den verfügbaren Optionen denTyp des externen Ports aus.
Verfügbare Optionen:
• Port
• Portbereich
• Portliste
• Alles
Wenn die Option Alle ausgewählt ist, werdenalle Ports weitergeleitet. Wählen Sie andereOptionen aus, um die eigene Portweiterleitungzu aktivieren, und legen Sie die Details für diePortweiterleitung fest.
Weitergeleitete(r) Service-Port(s) (nichtverfügbar, wenn als Weiterleitungsart Allesausgewählt ist)
Geben Sie die öffentliche Nummer desPorts an, den Sie für die Portweiterleitungkonfigurieren möchten.
Protokoll (nicht verfügbar wenn alsWeiterleitungsart Alle ausgewählt ist)
Wählen Sie aus, ob das Protokoll TCP oderUDP für weitergeleitete Pakete verwendetwerden soll.
6. Legen Sie die Details für Weiterleiten an fest.
Geschützte(r) Server Wählen Sie aus den verfügbaren Optionendie Anwendungsserver aus, auf welchen derWebserver gehostet werden soll.
Verfügbare Optionen:
• IP-Adresse: Die externe IP-Adresse wird derangegebenen IP-Adresse zugeordnet.
• IP-Bereich: Der externe IP-Adressbereichwird dem angegebenen IP-Adressbereichzugeordnet.
• IP-Liste: Die externe IP-Adresse wird derangegebenen IP-Liste zugeordnet.
• FQDN: Die externe IP-Adresse wird demangegebenen FQDN zugeordnet. Der internzugeordnete Server kann über den FQDN
Copyright © 2018 Sophos Limited 115
XG Firewall
aufgerufen werden. Diese Option ist nur fürvirtuelle IPv4-Hosts verfügbar.
Zugeordneter Port Geben Sie die Nummer des im Zielnetzwerkzugewiesenen Ports an, welchem die öffentlichePortnummer zugeordnet wird. ZugeordneterPort muss dieselbe Anzahl an Ports haben, wiesie im öffentlichen Dienst festgelegt ist, odermindestens einen Port haben. ZugeordneterPort ist deaktiviert, wenn:
• Kein TCP/UDP-Dienst ausgewählt ist
• Mehrere Dienste ausgewählt sind
• Dienstgruppe ausgewählt ist
• Der ausgewählte Dienst eine TCP/UDP-Kombination ist.
Geschützte Zone Wählen Sie die Zone, die der Webserverregelzugewiesen werden soll.
7. Legen Sie die Details für Lastverteilung fest.
Lastverteilung (nur verfügbar wenn dergewählte Geschützte Server IP-Bereich oderIP-Liste oder der/das gewählte Ziel-Host/Netzwerk IP-Adresse ist)
Wählen Sie aus den verfügbaren Optionen dieMethode für den Lastausgleich aus.
Verfügbare Optionen:
• Round-robin: Bei dieser Methode werdendie Anfragen sequenziell abgearbeitet,wobei die erste Anfrage an den erstenServer, die zweite Anfrage an den zweitenServer usw. weitergeleitet wird. Wenneine Anfrage empfangen wird, prüftdie Appliance, welchem Server zuletzteine Anfrage zugewiesen wurde. Dieneue Anfrage wird anschließend demnächsten verfügbaren Server zugewiesen.Diese Methode empfiehlt sich, wenn einegleichmäßige Verteilung des Datenverkehrs,aber keine Sitzungsbindung notwendig ist.
• First Alive: Alle eingehenden Anfragenwerden vom ersten Server bedient (dieerste IP-Adresse, die im IP-Bereichkonfiguriert ist). Dieser Server wird als derprimäre Server betrachtet, alle anderenServer als Backup. Nur, wenn der ersteServer ausfällt, werden die Anfragen an dennächsten Server in der Reihe weitergeleitet.Diese Methode empfiehlt sich für Failover-Szenarien.
• Zufällig: Anfragen werden zufällig andie Server weitergeleitet. Dennoch istauch hier sichergestellt, dass die Lastgleichmäßig auf alle konfigurierten Serververteilt wird. Daher wird dies auch UniformRandom Distribution (gleichmäßige zufälligeVerteilung) genannt. Diese Methode
116 Copyright © 2018 Sophos Limited
XG Firewall
empfiehlt sich, wenn eine gleichmäßigeVerteilung des Datenverkehrs, aber keineSitzungsbindung noch eine bestimmteReihenfolge der Verteilung notwendig ist.
• Permanente IP: In Kombination mit derRound-Robin-Verteilung des Datenverkehrswird der eingehende Verkehr gemäß derIP-Adresse der Quelle weitergeleitet.Der gesamte Datenverkehr von einerbestimmten Quelle wird ausschließlich anden ihr zugeordneten Server weitergeleitet.Das bedeutet, dass alle Anfragen voneiner bestimmten Quellen-IP an dieselbeInstanz des Anwendungsservers gesendetwerden. Diese Methode ist nützlich, wennalle Anfragen oder Sitzungen von ein unddemselben Server verarbeitet werdenmüssen. Zum Beispiel: Webseiten vonBanken, E-Commerce-Webseiten.
Zustandsprüfung (nur wenn Lastverteilungaktiviert ist)
Anklicken, um die Zustandsprüfung bei Failoverzu aktivieren. Geben Sie die Parameter an(siehe Beschreibung unten).
• Port: Port, auf dem der Serverzustandüberwacht wird.
• Intervall: Zeit in Sekunden, nach welcherder Zustand überwacht wird.
• Testverfahren: Verwendete Methode, umden Zustand des Servers zu prüfen.
• Zeitüberschreitung: Zeit in Sekunden,innerhalb derer der Server antworten muss.
• Erneute Versuche: Anzahl der Versucheden Serverzustand zu prüfen, bevor derServer als unerreichbar eingestuft wird.
8. Geben Sie Details zur Identität an.
Übereinstimmung mit bekannten Benutzern Mit der Option „Regel auf Basis derBenutzeridentität zuordnen“ können Sieprüfen, ob der/die angegebene Benutzer/Benutzergruppe aus der ausgewählten Zonenauf den gewählten Dienst zugreifen darf odernicht.
Anklicken, um die Benutzeridentitätanzuhängen.
Aktivieren Sie die Identitätsprüfung, umdie folgenden Richtlinien auf die Benutzeranzuwenden.
Unbekannten Benutzern das Captive-Portalanzeigen
Aktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzernzuzulassen. Die Captive-Portal-Seite wirddem Benutzer angezeigt. Dort kann er sichanmelden, um auf das Internet zuzugreifen.
Copyright © 2018 Sophos Limited 117
XG Firewall
Deaktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzern zuverwerfen.
Benutzer oder Gruppen (verfügbar wennÜbereinstimmung mit bekannten Benutzernausgewählt ist)
Wählen Sie die Benutzer oder Gruppen aus derListe der verfügbaren Optionen.
Diese Benutzeraktivität von derDatenverarbeitung ausschließen (verfügbarwenn Übereinstimmung mit bekanntenBenutzern ausgewählt ist)
Anklicken, um den Benutzerverkehrsaktivitätin die Datenverarbeitung ein- oderauszuschließen.
Standardmäßig wird derNetzwerkdatenverkehr des Benutzers bei derDatenverarbeitung berücksichtigt. AktivierenSie diese Option, um bestimmten Trafficvon der Verarbeitung der Benutzerdatenauszuschließen. Der Datenverkehr, der vondieser Firewallregel zugelassen wird, wirdfür den Benutzer nicht als Datentransferbetrachtet.
9. Legen Sie die Details für die Erweiterten Einstellungen fest.
a) Legen Sie Richtlinien für Geschäftsanwendungen fest.
Angriffsvorbeugung Wählen Sie die erforderliche IPS-Richtlinie. Wenn Regel auf Basis derBenutzeridentität zuordnen aktiviertist, wird die IPS-Richtlinie des Benutzersautomatisch angewendet, aber erst wirksam,wenn das entsprechende Modul abonniertwird. Eine neue IPS-Richtlinie kann direktauf dieser Seite oder über die SeiteAngriffsvorbeugung > IPS-Richtlinienerstellt werden.
Traffic-Shaping-Richtlinie Wählen Sie die erforderliche Traffic-Shaping-Richtlinie. Wenn Regel auf Basis derBenutzeridentität zuordnen aktiviert ist, wirddie Traffic-Shaping-Richtlinie automatischangewendet.
Sie müssen die Traffic-Shaping-Richtlinie für die Regel auswählen, wennÜbereinstimmung mit bekanntenBenutzern nicht ausgewählt ist.
Eine neue Traffic-Shaping-Richtlinie kanndirekt auf dieser Seite oder über die SeiteProfile > Traffic Shaping erstellt werden.
b) Legen die die Details für Security Heartbeat fest (nur verfügbar wenn IPv4 ausgewählt ist)
Minimal zulässige Quell-HBs Wählen Sie, welchen Systemzustand eineQuell-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein.Wenn ein Statuskriterium nicht eingehaltenwird, werden die in dieser Regel definierten
118 Copyright © 2018 Sophos Limited
XG Firewall
Berechtigungen und Zugriffsrechte demBenutzer nicht gewährt.
Clients ohne Heartbeat blockieren Mit Heartbeat kompatible Geräte können sokonfiguriert werden, dass sie Informationenzu ihrem Status in definierten Intervallenversenden. Diese werden Herzschlag(Heartbeat) genannt.
Auf Basis dieser Informationen könnenSie den Zugriff eines Geräts, von dem derDatenverkehr stammt, auf bestimmte Diensteund Netzwerke beschränken.
Aktivieren Sie die Option, um die Versendungvon Heartbeats erforderlich zu machen.
Anfrage an Ziel ohne Heartbeat blockieren(nicht verfügbar wenn als Geschützte ZoneWAN ausgewählt ist)
Mit Heartbeat kompatible Geräte können sokonfiguriert werden, dass sie Informationenzu ihrem Status in definierten Intervallenversenden. Diese werden Herzschlag(Heartbeat) genannt.
Basierend auf dieser Information könnenSie Anfragen zu Richtungen blockieren, diekeinen Heartbeat senden.
Aktivieren/deaktivieren Sie die Option, umdie Versendung von Heartbeats erforderlichzu machen.
c) Leben Sie die Details für das Routing fest.
Quelladresse umschreiben (Maskieren) Aktivieren/deaktivieren Sie das Umschreibender Quelladresse oder geben Sie eine NAT-Richtlinie an.
Ausgehende Adresse verwenden(nur verfügbar, wenn Quelladresseumschreiben aktiviert ist)
Wählen Sie, welche NAT-Richtlinieangewendet werden soll. Nutzen Sie die Listeder verfügbaren NAT-Richtlinien.
Eine neue NAT-Richtlinie kann direkt aufdieser Seite oder über die Seite Profile >NAT erstellt werden.
Die Standard-NAT-Richtlinie ist Maskieren.
MASQ (Schnittstellen-Standard-IP): Die IP-Adresse der ausgewähltengeschützten Zone wie sie unter Netzwerk >Schnittstellen konfiguriert ist, wird anstelleder Schnittstellen-Standard-IP angezeigt.
Reflexive Regel erzeugen Aktivieren, um automatisch eine reflexiveFirewallregel für den geschützten Host zuerstellen.
Eine reflexive Regel verfügt über dieselbenRichtlinien, wie sie für den gehosteten Serverkonfiguriert worden. Sie werden jedoch nichtauf den Datenverkehr von Quellzone zuZielzone, sondern auf den Datenverkehr vonZielzone zu Quellzone angewendet.
Copyright © 2018 Sophos Limited 119
XG Firewall
Die reflexive Regel wird standardmäßig nichterstellt.
10. Definieren Sie die Protokolloptionen für den Datenverkehr der Benutzeranwendung.
Firewallverkehr protokollieren Anklicken, um die Protokollierung deszugelassenen und abgelehnten Datenverkehrszu aktivieren.
11. Klicken Sie auf Speichern.
Die nicht webbasierte Richtlinie wurde erstellt und erscheint auf der Seite Firewall, wenn einentsprechender Filter eingestellt ist.
Regel für E-Mail-Clients (POP und IMAP) hinzufügen
Regeln für E-Mail-Clients (POP und IMAP) werden verwendet, um Mailserver, die öffentlichgehostet werden (WAN), zu schützen. Auf dieser Seite ist beschrieben, wie Sie eine Schutzrichtliniekonfigurieren können und den Zugriff von Mailservern, die die Anwendungsvorlage E-Mail-Clientsverwenden, kontrollieren können.
HinweisWenn Sie die Regel E-Mail-Clients löschen, werden die E-Mails, die von dieser Regel bearbeitetwerden, nicht zugestellt sondern in die Warteschleife verschoben.
Es wird empfohlen, den unten stehenden Schritten zu folgen, um nicht alle E-Mails zu verlieren, dievon dieser Regel bearbeitet werden:
1. Bevor Sie die Regel löschen, klonen Sie sie mithilfe der Option Obige klonen und ändern Siedie Maßnahme in Verwerfen. Diese geklonte Regel gilt für alle eingehenden E-Mails.
2. Gehen Sie zu E-Mail > Mail-Spool und überprüfen Sie, ob der Spool leer ist.
3. Löschen Sie beide Firewallregeln, sobald der Spool leer ist.
1. Gehen Sie zu Firewall und wählen Sie mithilfe des Standardfilters entweder IPv4 oder IPv6 aus.
2. Klicken Sie nun auf +Firewallregel hinzufügen und wählen Sie Geschäftsanwendungsregel.
3. Legen Sie die allgemeinen Regel-Details fest.
Anwendungsvorlage Wählen Sie E-Mail-Clients (POP & IMAP), umfür E-Mail-Clients auf POP- und IMAP-Basiseine Anwendungsfilterrichtlinie festzulegen.
Beschreibung Legen Sie die Regelbeschreibung fest.
Position der Regel Geben Sie die Position der Regel an.
Verfügbare Optionen:
• Oben
• Unten
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppen
120 Copyright © 2018 Sophos Limited
XG Firewall
hinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
Regelname Geben Sie einen Namen für die Regel ein.
4. Geben Sie Details zur Quelle ein.
Zone Wählen Sie die erlaubte/n Quellzone/n aus.
Netzwerke Wählen Sie das/die erlaubte/n Netzwerk/e aus.Ein neuer Netzwerk-Host kann direkt auf dieserSeite oder über die Seite Hosts und Dienste >IP-Host erstellt werden.
5. Geben Sie die Daten des Ziels ein.
Zone Wählen Sie die Zone, für welche die Richtliniegilt.
Netzwerke Wählen Sie, welche/s Netzwerk/e geschütztwerden sollen.
Ein neuer Netzwerk-Host kann direkt auf dieserSeite oder über die Seite Hosts und Dienste >IP-Host erstellt werden.
6. Geben Sie Details zur Identität an.
Regel auf Basis der Benutzeridentitätzuordnen
Anklicken, um eine Regel auf Basis derBenutzeridentität zu aktivieren.
Unbekannten Benutzern das Captive-Portalanzeigen
Aktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzernzuzulassen. Die Captive-Portal-Seite wirddem Benutzer angezeigt. Dort kann er sichanmelden, um auf das Internet zuzugreifen.
Deaktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzern zuverwerfen.
Benutzer oder Gruppen (nur wenn Regelauf Basis der Benutzeridentität zuordnenaktiviert ist)
Wählen Sie die Benutzer oder Gruppen aus derListe der verfügbaren Optionen.
Diese Benutzeraktivität von derDatenerfassung ausschließen (nur wennRegel auf Basis der Benutzeridentitätzuordnen aktiviert ist)
Anklicken, um den Benutzerverkehrsaktivitätin die Datenverarbeitung ein- oderauszuschließen.
Standardmäßig wird der Netzwerkdatenverkehrdes Benutzers bei der Datenverarbeitungberücksichtigt. Aktivieren Sie diese Option,um bestimmten Traffic von der Verarbeitungder Benutzerdaten auszuschließen. DerDatenverkehr, der von dieser Regel zugelassenwird, wird für den Datentransfer diesesBenutzer nicht erfasst.
7. Legen Sie die Details zum Schadprogramm-Scan fest.
IMAP/IMAPS/POP3/POP3S/SMTP/SMTPSscannen
Anklicken, um das Scannen von IMAP/IMAPS/POP3/POP3S/SMTP/SMTPS-Datenverkehr zuaktivieren/deaktivieren.
8. Legen Sie die erweiterten Einstellungen fest.
Copyright © 2018 Sophos Limited 121
XG Firewall
a) Legen Sie Richtlinien für Geschäftsanwendungen fest.
Angriffsvorbeugung Wählen Sie eine IPS-Richtlinie für dieRegel aus. Eine neue IPS-Richtlinie kanndirekt auf dieser Seite oder über die SeiteAngriffsvorbeugung > IPS-Richtlinienerstellt werden.
Traffic Shaping (nicht verfügbar, wennRegel auf Basis der Benutzeridentitätzuordnen ausgewählt ist)
Wählen Sie für die Regel eine Traffic-Shaping-Richtlinie aus.
Eine Traffic-Shaping-Richtlinie weist denBenutzern Bandbreite zur Nutzung zu undbeschränkt diese.
Eine neue Traffic-Shaping-Richtlinie kanndirekt auf dieser Seite oder über die SeiteProfile > Traffic Shaping erstellt werden.
b) Legen die die Details für Security Heartbeat fest (nur wenn IPv4 aktiviert ist)
Minimal zulässige Quell-HBs Wählen Sie, welchen Systemzustand eineQuell-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein.Wenn ein Statuskriterium nicht eingehaltenwird, werden die in dieser Regel definiertenBerechtigungen und Zugriffsrechte demBenutzer nicht gewährt.
Clients ohne Heartbeat blockieren Mit Heartbeat kompatible Geräte können sokonfiguriert werden, dass sie Informationenzu ihrem Status in definierten Intervallenversenden. Diese werden Herzschlag(Heartbeat) genannt.
Auf Basis dieser Informationen könnenSie den Zugriff eines Geräts, von dem derDatenverkehr stammt, auf bestimmte Diensteund Netzwerke beschränken.
Aktivieren/deaktivieren Sie die Option, um dieVersendung von Heartbeats erforderlich zumachen.
Minimal zulässige Ziel-HBs (nichtverfügbar, wenn WAN die einzigeausgewählte Geschützte Zone ist)
Wählen Sie, welchen Systemzustand eineZiel-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein. Wennein Statuskriterium nicht eingehalten wird,werden die in dieser Richtlinie definiertenBerechtigungen und Zugriffsrechte demBenutzer nicht gewährt.
122 Copyright © 2018 Sophos Limited
XG Firewall
HinweisSie können die Option verwenden, wennSie mehrere Zonen zusammen mit WANausgewählt haben.
Anfrage zur Richtung ohne Heartbeatblockieren (nicht verfügbar, wenn WAN dieeinzige ausgewählt Zielzone ist)
Mit Heartbeat kompatible Geräte können sokonfiguriert werden, dass sie Informationenzu ihrem Status in definierten Intervallenversenden. Diese werden Herzschlag(Heartbeat) genannt.
Basierend auf dieser Information könnenSie Anfragen zu Richtungen blockieren, diekeinen Heartbeat senden.
Aktivieren/deaktivieren Sie die Option, umdie Versendung von Heartbeats erforderlichzu machen.
HinweisSie können die Option verwenden,wenn Sie mehrere Zonen zusammenmit WAN ausgewählt haben.
c) Leben Sie die Details für das Routing fest.
Quelladresse umschreiben (Maskieren) Aktivieren/deaktivieren Sie das Umschreibender Quelladresse oder geben Sie eine NAT-Richtlinie an.
Gatewayspezifische Standard-NAT-Richtlinie verwenden (nur wenn Maskierenausgewählt ist)
Auswählen, um die Standard-NAT-Richtliniedurch eine gatewayspezifische Richtlinie zuüberschreiben.
Standard-NAT-Richtlinie für einbestimmtes Gateway überschreiben (nur,wenn Gatewayspezifische Standard-NAT-Richtlinie verwenden ausgewählt ist)
Wählen Sie diese Option, um einen Gatewayund eine dazugehörige NAT-Richtliniefestzulegen. Es können mehrere Gatewaysund NAT-Richtlinien hinzugefügt werden.
Ausgehende Adresse verwenden (nur,wenn Quelladresse umschreiben aktiviertist und Gatewayspezifische Standard-NAT-Richtlinie verwenden deaktiviert ist)
Wählen Sie, welche NAT-Richtlinieangewendet werden soll. Nutzen Sie die Listeder verfügbaren NAT-Richtlinien.
Eine neue NAT-Richtlinie kann direkt aufdieser Seite oder über die Seite Profile >NAT erstellt werden.
Die Standard-NAT-Richtlinie ist Maskieren.
MASQ (Schnittstellen-Standard-IP)
• Die IP-Adresse der Zielzone wie unterNetzwerk > Schnittstellen konfiguriertwird anstelle der (Schnittstellen-Standard-IP) angezeigt, wenn eineeinzelne Zielzone ausgewählt ist.
Copyright © 2018 Sophos Limited 123
XG Firewall
• (Schnittstellen-Standard-IP) wirdangezeigt, wenn mehrere Zielzonenausgewählt sind.
Primäres Gateway Wählen Sie das primäre Gateway zurWeiterleitung der Anfrage. Ein neuesGateway kann direkt auf dieser Seite oderauf der Seite Routing > Gateways erstelltwerden.
HinweisWenn das Gateway gelöscht wird,zeigt Primäres Gateway WAN-LinkLastverteilung für die WAN Zielzone anund Keine für andere Zonen. In diesemFall trifft die Firewall keine Routing-Entscheidungen.
Backup-Gateway Wählen Sie den Backup-Gateway zurWeiterleitung der Anfrage. Ein neuesGateway kann direkt auf dieser Seite oderauf der Seite Routing > Gateways erstelltwerden.
HinweisWenn das Gateway gelöscht wird, zeigtdas Backup-Gateway Keine an.
9. Definieren Sie die Protokolloptionen für den Datenverkehr der Benutzeranwendung.
Firewallverkehr protokollieren Anklicken, um die Protokollierung deszugelassenen und abgelehnten Datenverkehrszu aktivieren.
Regel für Mailserver (SMTP) hinzufügen
Auf dieser Seite ist beschrieben, wie Sie Regeln für Mailserver (SMTP) konfigurieren können.
1. Gehen Sie zu Firewall und wählen Sie mithilfe des Standardfilters entweder IPv4 oder IPv6 aus.
2. Klicken Sie nun auf +Firewallregel hinzufügen und wählen Sie Geschäftsanwendungsregel.
3. Legen Sie die allgemeinen Regel-Details fest.
Anwendungsvorlage Wählen Sie Mailserver (SMTP), um Regelnfür E-Mail-Anwendungen auf SMTP-Basis zukonfigurieren.
Beschreibung Geben Sie eine Beschreibung für die Richtlinieein.
Position der Regel Geben Sie die Position der Regel an.
Verfügbare Optionen:
• Oben
• Unten
124 Copyright © 2018 Sophos Limited
XG Firewall
Regelgruppe Geben Sie die Regelgruppe an, zu derdie Firewallregel hinzugefügt werden soll.Sie können auch eine neue Regelgruppeerstellen, indem Sie Neu erstellen aus der Listeauswählen.
Wenn Sie Automatisch auswählen, wird dieFirewallregel zu einer bestehenden Gruppenhinzugefügt, basierend auf dem ersten Trefferbeim Regeltyp und Quell-Zielzonen.
Regelname Geben Sie einen Namen ein, um die Richtliniezu identifizieren.
4. Geben Sie Details zur Quelle ein.
Quellzonen Anklicken, um die Quellzone auszuwählen.Klicken Sie auf Neues Element hinzufügen,um eine neue LAN- oder DMZ-Zone zudefinieren.
Zugelassene Client-Netzwerke Wählen Sie zugelassene Hosts aus oder fügenSie neue hinzu, indem Sie auf Neues Elementhinzufügen klicken.
Blockierte Client-Netzwerke Wählen Sie das/die blockierte/n Host/s oderNetzwerk/e aus.
5. Legen Sie die Details für Ziel & Dienst fest.
Zielhost/-netzwerk Wählen Sie einen Zielhost oder einZielnetzwerk aus, um die Regel anzuwenden.Dies ist die öffentliche IP-Adresse, über welchedie Benutzer auf den internen Server/Host überdas Internet zugreifen können.
Verfügbare Optionen:
• IP-Adresse: Die angegebene IP-Adressewird der entsprechenden einzelnen IP-Adresse oder IP-Adressbereich zugeordnet.Wenn eine einzelne IP-Adresse einem IP-Adressbereich zugeordnet wird, verwendetdie Appliance einen Round-Robin-Algorithmus, um die Last der Anfragenauszugleichen.
• IP-Bereich: Der angegebene IP-Adressbereich wird dem entsprechendenBereich von zugeordneten IP-Adressenzugewiesen. Der IP-Bereich legt den Startund das Ende des Adressbereichs fest. DerStart des Bereichs muss kleiner als dasEnde des Bereichs sein.
• Schnittstellen-IP: (Nur bei IPv4). WählenSie diese Option, wenn ein Port derAppliance, ein Alias oder eine virtuelle LAN(VLAN)-Subschnittstelle dem Zielhost oderZielnetzwerk zugeordnet werden muss.
Copyright © 2018 Sophos Limited 125
XG Firewall
Weiterleitungsart Wählen Sie aus den verfügbaren Optionen denTyp des externen Ports aus.
Verfügbare Optionen:
• Port
• Portbereich
• Portliste
• Alles
Wenn die Option Alle ausgewählt ist, werdenalle Ports weitergeleitet. Wählen Sie andereOptionen aus, um die eigene Portweiterleitungzu aktivieren, und legen Sie die Details für diePortweiterleitung fest.
Weitergeleitete(r) Service-Port(s) (nichtverfügbar, wenn als Weiterleitungsart Allesausgewählt ist)
Geben Sie die öffentliche Nummer desPorts an, den Sie für die Portweiterleitungkonfigurieren möchten.
Protokoll (nicht verfügbar wenn alsWeiterleitungsart Alles ausgewählt ist)
Wählen Sie aus, ob das Protokoll TCP oderUDP von weitergeleiteten Paketen verwendetwerden soll.
6. Legen Sie die Details für Weiterleiten an fest.
Geschützte(r) Server Wählen Sie aus den verfügbaren Optionen, aufwelchem der Mailserver bereitgestellt werdensoll.
Verfügbare Optionen:
• IP-Adresse: Die externe IP-Adresse wird derangegebenen IP-Adresse zugeordnet.
• IP-Bereich: Der externe IP-Adressbereichwird dem angegebenen IP-Adressbereichzugeordnet.
• IP-Liste: Die externe IP-Adresse wird derangegebenen IP-Liste zugeordnet.
• FQDN: (Nur für virtuelle IPv4-Hosts). Dieexterne IP-Adresse wird dem angegebenenFQDN zugeordnet. Der intern zugeordneteServer kann über den FQDN aufgerufenwerden.
Zugeordneter Port Geben Sie die Nummer des im Zielnetzwerkzugewiesenen Ports an, welchem die öffentlichePortnummer zugeordnet wird. ZugeordneterPort muss dieselbe Anzahl an Ports haben, wiesie im öffentlichen Dienst festgelegt ist, odermindestens einen Port haben. ZugeordneterPort ist deaktiviert, wenn:
• Kein TCP/UDP-Dienst ausgewählt ist
• Mehrere Dienste ausgewählt sind
• Dienstgruppe ausgewählt ist
126 Copyright © 2018 Sophos Limited
XG Firewall
• Der ausgewählte Dienst eine TCP/UDP-Kombination ist.
Geschützte Zone Wählen Sie die Zone, für welche dieMailserverregel gilt.
7. Legen Sie die Details für Lastverteilung fest.
Lastverteilung (nur verfügbar wenn dergewählte Geschützte Server IP-Bereich oderIP-Liste oder der/das gewählte Ziel-Host/Netzwerk IP-Adresse ist)
Wählen Sie aus den verfügbaren Optionen dieMethode für den Lastausgleich aus.
Verfügbare Optionen:
• Round-robin: Bei dieser Methode werdendie Anfragen sequenziell abgearbeitet,wobei die erste Anfrage an den erstenServer, die zweite Anfrage an den zweitenServer usw. weitergeleitet wird. Wenneine Anfrage empfangen wird, prüftdie Appliance, welchem Server zuletzteine Anfrage zugewiesen wurde. Dieneue Anfrage wird anschließend demnächsten verfügbaren Server zugewiesen.Diese Methode empfiehlt sich, wenn einegleichmäßige Verteilung des Datenverkehrs,aber keine Sitzungsbindung notwendig ist.
• First Alive: Alle eingehenden Anfragenwerden vom ersten Server bedient (dieerste IP-Adresse, die im IP-Bereichkonfiguriert ist). Dieser Server wird als derprimäre Server betrachtet, alle anderenServer als Backup. Nur, wenn der ersteServer ausfällt, werden die Anfragen an dennächsten Server in der Reihe weitergeleitet.Diese Methode empfiehlt sich für Failover-Szenarien.
• Zufällig: Anfragen werden zufällig andie Server weitergeleitet. Dennoch istauch hier sichergestellt, dass die Lastgleichmäßig auf alle konfigurierten Serververteilt wird. Daher wird dies auch UniformRandom Distribution (gleichmäßige zufälligeVerteilung) genannt. Diese Methodeempfiehlt sich, wenn eine gleichmäßigeVerteilung des Datenverkehrs, aber keineSitzungsbindung noch eine bestimmteReihenfolge der Verteilung notwendig ist.
• Permanente IP: In Kombination mit derRound-Robin-Verteilung des Datenverkehrswird der eingehende Verkehr gemäß derIP-Adresse der Quelle weitergeleitet.Der gesamte Datenverkehr von einerbestimmten Quelle wird ausschließlich anden ihr zugeordneten Server weitergeleitet.Das bedeutet, dass alle Anfragen voneiner bestimmten Quellen-IP an dieselbe
Copyright © 2018 Sophos Limited 127
XG Firewall
Instanz des Anwendungsservers gesendetwerden. Diese Methode ist nützlich, wennalle Anfragen oder Sitzungen von ein unddemselben Server verarbeitet werdenmüssen. Zum Beispiel: Webseiten vonBanken, E-Commerce-Webseiten.
Zustandsprüfung (nur wenn Lastverteilungaktiviert ist)
Anklicken, um die Statusprüfung bei Failover zuaktivieren. Geben Sie die Parameter an (sieheBeschreibung unten).
• Port: Port, auf dem der Serverzustandüberwacht wird.
• Intervall: Zeit in Sekunden, nach welcherder Zustand überwacht wird.
• Testverfahren: Verwendete Methode, umden Zustand des Servers zu prüfen.
• Zeitüberschreitung: Zeit in Sekunden,innerhalb derer der Server antworten muss.
• Erneute Versuche: Anzahl der Versucheden Serverzustand zu prüfen, bevor derServer als unerreichbar eingestuft wird.
8. Geben Sie Details zur Identität an.
Übereinstimmung mit bekannten Benutzern Mit der Option Übereinstimmung mitbekannten Benutzern können Sie prüfen, obder/die angegebene Benutzer/Benutzergruppeaus der ausgewählten Zone auf den gewähltenDienst zugreifen darf oder nicht.
Anklicken, um die Benutzeridentitätanzuhängen.
Unbekannten Benutzern das Captive-Portalanzeigen
Aktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzernzuzulassen. Die Captive-Portal-Seite wirddem Benutzer angezeigt. Dort kann er sichanmelden, um auf das Internet zuzugreifen.
Deaktivieren Sie das Auswahlkästchen umVerkehr von unbekannten Benutzern zuverwerfen.
Benutzer oder Gruppen (nur verfügbar, wennÜbereinstimmung mit bekannten Benutzernaktiviert ist)
Wählen Sie die Benutzer oder Gruppen aus derListe der verfügbaren Optionen.
Diese Benutzeraktivität von derDatenverarbeitung ausschließen (nurverfügbar wenn Übereinstimmung mitbekannten Benutzern ausgewählt ist)
Anklicken, um den Benutzerverkehrsaktivitätin die Datenverarbeitung ein- oderauszuschließen.
Standardmäßig wird der Netzwerkdatenverkehrdes Benutzers bei der Datenverarbeitungberücksichtigt. Aktivieren Sie diese Option,um bestimmten Traffic von der Verarbeitungder Benutzerdaten auszuschließen. DerDatenverkehr, der von dieser Firewallregel
128 Copyright © 2018 Sophos Limited
XG Firewall
zugelassen wird, wird für den Benutzer nicht alsDatentransfer betrachtet.
9. Legen Sie die Details zum Schadprogramm-Scan fest.
SMTP scannen Klicken, um das Scannen von SMTP-Traffic zuaktivieren/deaktivieren.
SMTPS scannen Klicken, um das Scannen von SMTPS-Traffic zuaktivieren/deaktivieren.
10. Legen Sie die Details für die Erweiterten Einstellungen fest.
a) Legen Sie Richtlinien für Geschäftsanwendungen fest.
Angriffsvorbeugung Wählen Sie die erforderliche IPS-Richtlinie. Wenn Regel auf Basis derBenutzeridentität zuordnen aktiviert ist, wirddie IPS-Richtlinie des Benutzers automatischangewendet, aber erst wirksam, wenn dasentsprechende Modul abonniert wird.
Eine neue IPS-Richtlinie kann direktauf dieser Seite oder über die SeiteAngriffsvorbeugung > IPS-Richtlinienerstellt werden.
Traffic-Shaping-Richtlinie (nicht verfügbarwenn Übereinstimmung mit bekanntenBenutzern ausgewählt ist)
Wählen Sie die erforderliche IPS-Richtlinie. Wenn Regel auf Basis derBenutzeridentität zuordnen aktiviert ist, wirddie QoS-Richtlinie automatisch angewendet.
Eine neue Traffic-Shaping-Richtlinie kanndirekt auf dieser Seite oder über die SeiteProfile > Traffic Shaping erstellt werden.
b) Legen die die Details für Security Heartbeat fest (nur verfügbar wenn IPv4 aktiviert ist).
Minimal zulässige Quell-HBs Wählen Sie, welchen Systemzustand eineQuell-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein. Wennein Integritätskriterium nicht eingehaltenwird, werden die in dieser Regel definiertenBerechtigungen und Zugriffsrechte demBenutzer nicht gewährt.
Clients ohne Heartbeat blockieren Mit Heartbeat kompatible Geräte können sokonfiguriert werden, dass sie Informationenzu ihrem Status in definierten Intervallenversenden. Diese werden Herzschlag(Heartbeat) genannt.
Auf Basis dieser Informationen könnenSie den Zugriff eines Geräts, von dem derDatenverkehr stammt, auf bestimmte Diensteund Netzwerke beschränken.
Aktivieren/deaktivieren Sie die Option, um dieVersendung von Heartbeats erforderlich zumachen.
Copyright © 2018 Sophos Limited 129
XG Firewall
Minimal zulässige Ziel-HBs (nichtverfügbar, wenn als Geschützte Zone WANausgewählt ist)
Wählen Sie, welchen Systemzustand eineZiel-Appliance mindestens besitzen muss,um mit dieser Richtlinie übereinzustimmen.Der Integritätsstatus kann entweder Grün,Gelb oder Keine Beschränkung sein. Wennein Integritätskriterium nicht eingehaltenwird, werden die in dieser Regel definiertenBerechtigungen und Zugriffsrechte demBenutzer nicht gewährt.
Anfrage an Ziel ohne Heartbeat blockieren(nicht verfügbar wenn als Geschützte ZoneWAN ausgewählt ist)
Mit Heartbeat kompatible Geräte können sokonfiguriert werden, dass sie Informationenzu ihrem Status in definierten Intervallenversenden. Diese werden Herzschlag(Heartbeat) genannt.
Basierend auf dieser Information könnenSie Anfragen zu Richtungen blockieren, diekeinen Heartbeat senden.
Aktivieren/deaktivieren Sie die Option, umdie Versendung von Heartbeats erforderlichzu machen.
c) Leben Sie die Details für das Routing fest.
Quelladresse umschreiben (Maskieren) Aktivieren/deaktivieren Sie das Umschreibender Quelladresse oder geben Sie eine NAT-Richtlinie an.
Ausgehende Adresse verwenden(nur verfügbar, wenn Quelladresseumschreiben aktiviert ist)
Wählen Sie, welche NAT-Richtlinieangewendet werden soll. Nutzen Sie die Listeder verfügbaren NAT-Richtlinien.
Eine neue NAT-Richtlinie kann direkt aufdieser Seite oder über die Seite Profile >NAT erstellt werden.
Die Standard-NAT-Richtlinie ist Maskieren.
MASQ (Schnittstellen-Standard-IP): Die IP-Adresse der ausgewähltengeschützten Zone wie sie unter Netzwerk >Schnittstellen konfiguriert ist, wird anstelleder Schnittstellen-Standard-IP angezeigt.
Reflexive Regel erzeugen Wählen Sie „AN“, um für den geschütztenHost automatisch eine reflexive Firewallregelzu erstellen.
Die reflexive Regel verfügt über dieselbenRichtlinien, wie sie für den gehosteten Serverkonfiguriert worden. Sie werden jedoch nichtauf den Datenverkehr von Quellzone zuZielzone, sondern auf den Datenverkehr vonZielzone zu Quellzone angewendet.
Die reflexive Regel wird standardmäßig nichterstellt.
11. Definieren Sie die Protokolloptionen für den Datenverkehr der Benutzeranwendung.
130 Copyright © 2018 Sophos Limited
XG Firewall
Firewallverkehr protokollieren Anklicken, um die Protokollierung deszugelassenen und abgelehnten Datenverkehrszu aktivieren.
Copyright © 2018 Sophos Limited 131
XG Firewall
Kapitel 8
8 AngriffsvorbeugungMit Intrusion Prevention können Sie Netzwerkverkehr auf Anomalien untersuchen, um DoS- undandere Täuschungs-Angriffe zu verhindern. Mithilfe von Richtlinien können Sie Regeln festlegen, dieeine Maßnahme vorgeben, die ergriffen wird, wenn Datenverkehr mit Signatur-Kriterien übereinstimmt.Sie können den Schutz auf der Basis von Zonen festlegen und Datenverkehr auf vertrauenswürdigeMAC-Adressen oder IP–MAC-Paare beschränken. Sie können auch Regeln erstellen, um die DoS-Untersuchung zu umgehen.
8.1 DoS-AngriffeDer DoS-Angriff-Status ermöglicht Ihnen zu sehen, ob Verkehrsbeschränkungen angewendet wurdenund die Menge an Daten, die verworfen wurde, nachdem die Grenze überschritten wurde. DieFirewall wendet die Verkehrsbeschränkungen an, die in den DoS-Einstellungen festgelegt sind, undprotokolliert die zugehörigen Ereignisse. Daten stehen für Quelle und Ziel in Echtzeit zur Verfügung.
• Um Angriffsinformationen zu sehen, klicken Sie auf eine Angriffsart.
Zugehörige KonzepteProtokolleinstellungen (Seite 484)Die Firewall bietet umfassende Protokollfunktionen für Datenverkehr, System- und Netzwerkschutz.Sie können Protokolle verwenden, um Netzwerkaktivitäten zu analysieren, was Ihnen dabei hilft,Sicherheitsprobleme zu identifizieren und Netzwerkmissbrauch zu verringern. Sie können Protokollelokal speichern oder sie an syslog-Server senden. Die Firewall unterstützt syslog wie in RFC 5424definiert.
8.2 IPS-RichtlinienMit IPS-Richtlinien können Sie Netzwerkangriffe mithilfe von Regeln verhindern. Die Firewall setzt dieMaßnahmen durch, die in den Regeln und festgelegt sind, und protokolliert die zugehörigen Ereignisse.Die Auswahl an Standardrichtlinien verhindert Netzwerkangriffe für einige der gängigsten Arten vonVerkehr. Sie können eigene Richtlinien erstellen, die Ihren Anforderungen an Verkehr entsprechen.
• Um eine Richtlinie hinzuzufügen, klicken Sie auf Hinzufügen und geben Sie einen Namen ein.Danach können Sie die Regeln einer bestehenden Richtlinie klonen.
• Um Regeln zu einer Richtlinie hinzuzufügen, klicken Sie auf
bei der Richtlinie, die Sie bearbeiten wollen, und klicken Sie dann auf Hinzufügen.
IPS-Richtlinienregeln
Regeln legen Signaturen fest und eine Maßnahme. Die Firewall gleicht Signaturen mitVerkehrsmustern ab und führt die in der Regel festgelegte Maßnahme durch. Die in der Regelfestgelegte Maßnahme überschreibt die Maßnahme, die von der Signatur empfohlen ist.
132 Copyright © 2018 Sophos Limited
XG Firewall
IPS-Signaturen
Signaturen identifizieren Bedrohungen und legen eine empfohlene Maßnahme fest, die ergriffenwerden soll, wenn die Firewall auf entsprechenden Verkehr trifft. Signaturen sind spezifisch fürAnwendungen, Dienste oder Plattformen. Die Firewall besitzt vordefinierte Signaturen und Siekönnen auch eigene Signaturen erstellen.
SID ID der IPS-Signatur.
Kategorie Kategorie der IPS-Signatur.
Schweregrad Grad der Bedrohungsschwere.
Plattform Signaturen, die für bestimmte Plattformenzutreffen (z.B. Microsoft Windows).
Ziel Client- oder serverbasierte Signaturen.
Empfohlene Maßnahme Maßnahme, die von der Firewall empfohlen wird,wenn Verkehr auf eine Signatur zutrifft.
Zugehörige KonzepteDienste (Seite 489)Sehen Sie den Zustand von Systemdiensten und verwalten Sie die Dienste.
Zugehörige AufgabenIPS-Richtlinie hinzufügen (Seite 133)Regeln zu Richtlinie hinzufügen (Seite 133)Regeln legen Signaturen und eine Maßnahme fest. Sie können Standard- oder eigene Signaturenauswählen. Die Firewall gleicht Signaturen mit Verkehrsmustern ab und führt die in der Regelfestgelegte Maßnahme durch. Die Firewall wertet die Regeln von oben nach unten aus.
8.2.1 IPS-Richtlinie hinzufügen
1. Gehen Sie zu Angriffsvorbeugung > IPS-Richtlinien und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Optional: Wählen Sie die Richtlinie, von der Sie die Regeln klonen wollen.
4. Klicken Sie auf Speichern.
Fügen Sie Regeln zur Richtlinie hinzu.
Zugehörige KonzepteIPS-Richtlinien (Seite 132)Mit IPS-Richtlinien können Sie Netzwerkangriffe mithilfe von Regeln verhindern. Die Firewall setzt dieMaßnahmen durch, die in den Regeln und festgelegt sind, und protokolliert die zugehörigen Ereignisse.Die Auswahl an Standardrichtlinien verhindert Netzwerkangriffe für einige der gängigsten Arten vonVerkehr. Sie können eigene Richtlinien erstellen, die Ihren Anforderungen an Verkehr entsprechen.
8.2.2 Regeln zu Richtlinie hinzufügen
Regeln legen Signaturen und eine Maßnahme fest. Sie können Standard- oder eigene Signaturenauswählen. Die Firewall gleicht Signaturen mit Verkehrsmustern ab und führt die in der Regelfestgelegte Maßnahme durch. Die Firewall wertet die Regeln von oben nach unten aus.
Copyright © 2018 Sophos Limited 133
XG Firewall
1. Gehen Sie zu Angriffsvorbeugung > IPS-Richtlinien und klicken Sie auf
für die Richtlinie, die sie bearbeiten wollen.
2. Klicken Sie auf Hinzufügen.
3. Geben Sie einen Namen ein.
4. Wählen Sie die Signaturen aus.
• Klicken Sie auf Alle auswählen.
• Klicken Sie auf Individuelle Signatur auswählen und wählen Sie die Signaturen aus.
Sie können Signaturen basierend auf Kategorie, Schweregrad, Plattform und Ziel filtern. Um eineSortierung auf Basis von Suchbegriffen durchzuführen, klicken Sie auf Alle auswählen, geben Sieeinen Begriff in den Smartfilter ein und drücken Sie die Eingabetaste.
5. Optional: Klicken Sie auf Eigene Signatur und wählen Sie die Signaturen aus.
6. Wählen Sie eine Maßnahme aus, die durchgeführt werden soll, wenn die Firewall Verkehr findet,auf den die Signaturen in dieser Regel zutreffen.
Bei paketbasierten Maßnahmen überprüft die Firewall jedes Paket. Bei sitzungsbasiertenMaßnahmen überprüft sie das erste zutreffende Paket.
HinweisDie in der Regel festgelegte Maßnahme überschreibt die Maßnahme, die von der Signaturempfohlen ist.
Option Beschreibung
Empfohlen Standardmaßnahme, die für jede Signaturfestgelegt ist.
Paket zulassen Paket zulassen.
Paket verwerfen Paket verwerfen.
Deaktivieren Signatur deaktivieren. Verwenden Sie dieseEinstellung, um Fehlfunde (false positives) zuverhindern.
Sitzung verwerfen Sitzung beenden. Verwenden Sie dieseEinstellung, um einen Angriff zu verhindern.
Zurücksetzen Sitzung zurücksetzen und ein TCP-Reset-Paketan den Absender senden.
Sitzung umgehen Verkehr zulassen und für den Rest derSitzung nicht scannen. Verwenden Siediese Einstellung, um bestimmte Arten vonDatenverkehr zuzulassen.
134 Copyright © 2018 Sophos Limited
XG Firewall
7. Klicken Sie auf Speichern.
Damit die Richtlinie wirksam wird, fügen Sie sie zu einer Firewallregel hinzu.
Zugehörige KonzepteIPS-Richtlinien (Seite 132)Mit IPS-Richtlinien können Sie Netzwerkangriffe mithilfe von Regeln verhindern. Die Firewall setzt dieMaßnahmen durch, die in den Regeln und festgelegt sind, und protokolliert die zugehörigen Ereignisse.Die Auswahl an Standardrichtlinien verhindert Netzwerkangriffe für einige der gängigsten Arten vonVerkehr. Sie können eigene Richtlinien erstellen, die Ihren Anforderungen an Verkehr entsprechen.
8.3 Eigene IPS-SignaturenMit eigenen Signaturen können Sie Ihr Netzwerk vor Schwachstellen in Zusammenhang mitNetzwerkobjekten, wie Server, Protokolle und Anwendungen, schützen. Sie können eigene Signaturenerstellen und sie später zu IPS-Richtlinienregeln hinzufügen.
Zugehörige KonzepteIPS-Syntax für eigene Patterns (Seite 572)
Zugehörige AufgabenEigene IPS-Signatur hinzufügen (Seite 135)
8.3.1 Eigene IPS-Signatur hinzufügen
1. Gehen Sie zu Angriffsvorbeugung > Eigene IPS-Signaturen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie ein Protokoll aus.
Copyright © 2018 Sophos Limited 135
XG Firewall
4. Legen Sie eine eigene Regel fest.
keyword:"credit score"
content:"www.facebook.com"
srcport:443
5. Wählen Sie den Schweregrad aus.
6. Wählen Sie die empfohlene Maßnahme aus, die durchgeführt werden soll, wenn die Firewallübereinstimmenden Verkehr findet.
Option Beschreibung
Paket zulassen Paket zulassen.
Paket verwerfen Paket verwerfen.
Sitzung verwerfen Sitzung beenden. Verwenden Sie dieseEinstellung, um einen Angriff zu verhindern.
Zurücksetzen Sitzung zurücksetzen und ein TCP-Reset-Paketan den Absender senden.
Sitzung umgehen Verkehr zulassen und für den Rest derSitzung nicht scannen. Verwenden Siediese Einstellung, um bestimmte Arten vonDatenverkehr zuzulassen.
7. Klicken Sie auf Speichern.
Fügen Sie die Signatur zu einer Firewallregel hinzu.
Zugehörige KonzepteEigene IPS-Signaturen (Seite 135)Mit eigenen Signaturen können Sie Ihr Netzwerk vor Schwachstellen in Zusammenhang mitNetzwerkobjekten, wie Server, Protokolle und Anwendungen, schützen. Sie können eigene Signaturenerstellen und sie später zu IPS-Richtlinienregeln hinzufügen.
8.4 DoS-& TäuschungsschutzUm Täuschungsangriffe zu verhindern, können Sie Verkehr auf jenen beschränken, der mit erkanntenIP-Adressen, vertrauten MAC-Adressen und IP–MAC-Paaren übereinstimmt. Sie können auchVerkehrsbeschränkungen und Flags festlegen, um DoS-Angriffe zu verhindern, und Regeln erstellen,um DoS-Kontrollen zu umgehen. Die Firewall protokolliert verworfenen Verkehr.
• Um sich vor Täuschungsangriffen zu schützen, wählen Sie Täuschungsschutz aktivieren aus,legen Sie Einstellungen und Zonen fest und klicken Sie auf Übernehmen. Um Verkehr von einerunbekannten IP-Adresse auf einer vertrauenswürdigen MAC-Adresse zu verwerfen, wählen SieUnbekannte IPs auf vertrauenswürdige MAC beschränken aus.
• Um eine vertrauenswürdige MAC-Adresse hinzuzufügen, blättern Sie zu Täuschungsschutz –Vertrauenswürdige MAC und klicken Sie auf Hinzufügen. Um Adressen zu importieren, klickenSie auf Importieren.
• Um sich vor DoS-Angriffen zu schützen, wählen Sie DoS-Einstellungen aus, legen SieEinstellungen und Zonen fest und klicken Sie auf Übernehmen. Um den aktuellen Status von DoS-Angriffen zu sehen, klicken Sie auf den angegebenen Link.
136 Copyright © 2018 Sophos Limited
XG Firewall
• Um DoS-Kontrollen für eine bestimmte IP-Adresse oder Port zu umgehen, blättern Sie zu DoS-Umgehungsregel und klicken Sie auf Hinzufügen.
Allgemeine Täuschungsschutz-Einstellungen
Legen Sie die Art des Täuschungsschutzes fest und die Zonen, die Sie schützen wollen.
IP-Spoofing Wenn die Quell-IP-Adresse eines Paket nicht mitdem Eintrag in der Routingtabelle der Firewallübereinstimmt oder wenn das Paket nicht auseinem direkten Subnetz stammt, verwirft dieFirewall das Paket.
MAC-Filter Wenn das Paket keine MAC-Adresse angibt,die in der Liste der vertrauenswürdigen MAC-Adressen aufgeführt ist, verwirft die Firewall dasPaket.
HinweisUm MAC-Filter auszuwählen, müssen Siemindestens eine vertrauenswürdige MAC-Adresse hinzufügen.
Filter f. IP-MAC-Paar Ein IP–MAC-Paar ist eine vertrauenswürdigeMAC-Adresse, die an eine IP-Adresse gebundenist. Damit eine Übereinstimmung zustandekommt, müssen sowohl die IP- als auch die MAC-Adresse eines eingehenden Pakets mit einemIP–MAC-Paar übereinstimmen. Wenn entwederdie IP- oder die MAC-Adresse mit keinem Paarübereinstimmen, verwirft die Firewall das Paket.
Täuschungsschutz – Vertrauenswürdige MAC
Verwenden Sie vertrauenswürdige MAC-Adressen in der MAC-Filter-Einstellung, um Verkehr fürbestimmte Hosts zuzulassen.
Wenn Sie eine vertrauenswürdige MAC-Adresse an eine IP-Adresse binden, gleicht die FirewallVerkehr mit den IP–MAC-Paaren ab und filtert Verkehr basierend auf den Einstellungen, die für denIP–MAC-Paar-Filter festgelegt sind.
DoS-Einstellungen
Sie können Beschränkungen für gesendeten und empfangenen Verkehr festlegen und DoS-Angriffemarkieren (flag), um Flooding von Netzwerkhosts zu verhindern.
TippLegen Sie Beschränkungen basierend auf Ihren Netzwerkspezifikationen fest. Werte, die Ihreverfügbare Bandbreite oder Serverkapazität überschreiten, können die Leistung beeinflussen.Werte, die zu niedrig sind, können gültige Anfragen blockieren.
Copyright © 2018 Sophos Limited 137
XG Firewall
Tabelle 9: Angriffsarten
Name Beschreibung
SYN-Flood Hohes Aufkommen an SYN-Anfragen, die denZielserver zwingen, eine steigenden Anzahl vonhalboffenen Verbindungen zu erstellen.
UDP-Flood Hohes Aufkommen an UDP-Paketen, die den Zielhostzwingen, die Anwendung zu prüfen, welche auf demPort lauscht, und mit einer steigenden Anzahl an ICMP-Paketen zu antworten.
TCP-Flood Hohes TCP-Paketaufkommen.
ICMP/ICMPv6-Flood Hohes Aufkommen an ICMP/ICMPv6-Echo-Anfragen.
Verworfene Pakete der Quelle Pakete verwerfen, die die Paketroute vorgeben.
ICMP/ICMPv6-Paketumleitung deaktivieren ICMP/ICMPv6-Umleitungspakete deaktivieren, dieHosts über alternative Routen informieren.
ARP-Hardening Endpoints erlauben, ARP-Antworten nur an lokale Ziel-IP-Adressen zu senden, und nur wenn sich die Quell-und Ziel-IP-Adresse im gleichen Subnetz befinden.
Paketaufkommen Anzahl an Paketen, die jeder Host je Minutesenden oder empfangen können.
Max. Datendurchsatz Gelegentliche Verkehrsspitze, die zusätzlich zurPaketrate jedem Host zugestanden wird.
HinweisMit dem maximalen Datendurchsatz könnenSie Verkehr erlauben, gelegentlich diePaketrate zu übersteigen. Die Firewall lässtaber keine häufigen oder andauerndenSpitzen über der Paketrate zu.
Flag übernehmen Die Verkehrsbeschränkung anwenden, die für dasProtokoll festgelegt ist.
Verworfener Verkehr Anzahl an verworfenen Quell- oder Zielpaketen.
Paketraten und max. Datendurchsätze
Paketrate je Quelle: 12.000 Pakete je Minute (200 Pakete je Sekunde).
Max. Datendurchsatz je Quelle: 300 Pakete je Sekunde.
Die Firewall erlaubt einem Host, bis zu 200 Pakete je Sekunde zu versenden. Wenn der Verkehrin einer bestimmten Sekunde bis zu 250 Paketen steigt (bis zum max. Datendurchsatz), lässtdie Firewall den Verkehr zu. Wenn die Verkehrsspitze jedoch für wenige Sekunden oberhalb derPaketrate weitergeht, verwirft die Firewall den Verkehr und lässt nur 200 Pakete zu (Paketrate).Dreißig Sekunden, nachdem der Verkehr verworfen wurde, startet die Firewall den Zähler für diePaketrate und den max. Datendurchsatz neu.
138 Copyright © 2018 Sophos Limited
XG Firewall
DoS-Umgehungsregel
Sie können DoS-Einstellungen für bekannte Hosts für die festgelegten Host und Protokolleumgehen. Sie können zum Beispiel Verkehr einer VPN-Zone oder von bestimmten Hosts der VPN-Zone ermöglichen, die DoS-Kontrolle zu umgehen.
Zugehörige KonzepteProtokollansicht (Seite 569)Verwenden Sie die Protokollansicht, um Ereignisinformationen für Module wie System, Webschutz undSandstorm-Aktivität anzuzeigen.
Zugehörige AufgabenVertrauenswürdige MAC-Adresse hinzufügen (Seite 139)Vertrauenswürdige MAC-Adressen importieren (Seite 139)Sie können eine CSV-Datei mit vertrauenswürdigen MAC-Adressen importieren.
Erstellen einer DoS-Umgehungsregel (Seite 140)Verwandte InformationenIPS: DoS-UmgehungsregelIPS: DoS/DDoS-Angriffe
8.4.1 Vertrauenswürdige MAC-Adresse hinzufügen
1. Gehen Sie zu Angriffsvorbeugung > DoS-& Täuschungsschutz.
2. Blättern Sie zu Täuschungsschutz – Vertrauenswürdige MAC und klicken Sie auf Hinzufügen.
3. Geben Sie die vertrauenswürdige MAC-Adresse ein.
4. Optional: Binden Sie eine IPv4- oder IPv6-Adresse an die MAC-Adresse.
Wenn Sie eine MAC-Adresse an eine IP-Adresse binden, akzeptiert die Firewall ein Paket nur,wenn dessen MAC-Adresse und IP-Adresse übereinstimmen.
• Klicken Sie auf Statisch und legen Sie eine oder mehrere Adressen fest. Trennen SieAdressen durch Komma.
• Klicken Sie auf DHCP, um bezogene Adressen automatisch zu binden.
5. Klicken Sie auf Speichern.
Legen Sie Täuschungsschutz-Einstellungen fest, um Datenverkehr basierend aufvertrauenswürdigen MAC-Adressen und IP–MAC-Paaren zu kontrollieren.
Zugehörige KonzepteDoS-& Täuschungsschutz (Seite 136)Um Täuschungsangriffe zu verhindern, können Sie Verkehr auf jenen beschränken, der mit erkanntenIP-Adressen, vertrauten MAC-Adressen und IP–MAC-Paaren übereinstimmt. Sie können auchVerkehrsbeschränkungen und Flags festlegen, um DoS-Angriffe zu verhindern, und Regeln erstellen,um DoS-Kontrollen zu umgehen. Die Firewall protokolliert verworfenen Verkehr.
8.4.2 Vertrauenswürdige MAC-Adressen importieren
Sie können eine CSV-Datei mit vertrauenswürdigen MAC-Adressen importieren.
1. Gehen Sie zu Angriffsvorbeugung > DoS-& Täuschungsschutz.
Copyright © 2018 Sophos Limited 139
XG Firewall
2. Blättern Sie zu Täuschungsschutz – Vertrauenswürdige MAC und klicken Sie auf Importieren.
3. Klicken Sie auf Durchsuchen und wählen Sie die CSV-Datei aus.
Die Datei musst die folgenden Anforderungen erfüllen:
• Die erste Zeile der CSV-Datei muss die Kopfzeile sein.
• Die erste Zeile muss MAC-Adressen, IP-Zuordnung und IP-Adresse enthalten.
• MAC-Adresse und IP-Zuordnung sind Pflichtfelder.
• IP-Zuordnung muss statisch, DHCP, DHCPv6 oder keine sein.
• Bei statischer IP-Zuordnung müssen Sie eine IP-Adresse angeben. Trennen Sie Adressendurch Komma. Bei IP-Zuordnung oder DHCP-IP-Zuordnung ist keine IP-Adresse erforderlich.
HinweisDie Firewall verwirft Einträge, die eine ungültige MAC-Adresse, IP-Zuordnung oder IP-Adresseenthalten.
CSV-Datei
MAC address, IP association, IP address22:33:22:33:22:33 Static 2001::23, 2001::2422:33:22:33:22:33 Static 10.102.12.3, 10.102.12.412:23:34:12:34:45 DHCP23:34:21:34:21:67 DHCPv667:54:56:67:23:12 None22:22:22:22:22:33 Static 1.2.3.4, 2.3.4.533:22:22:12:22:13 Static 13.23.3.34, 12.13.14.15
4. Klicken Sie auf Datei hochladen.
Legen Sie Täuschungsschutz-Einstellungen fest, um Datenverkehr basierend aufvertrauenswürdigen MAC-Adressen und IP–MAC-Paaren zu kontrollieren.
Zugehörige KonzepteDoS-& Täuschungsschutz (Seite 136)Um Täuschungsangriffe zu verhindern, können Sie Verkehr auf jenen beschränken, der mit erkanntenIP-Adressen, vertrauten MAC-Adressen und IP–MAC-Paaren übereinstimmt. Sie können auchVerkehrsbeschränkungen und Flags festlegen, um DoS-Angriffe zu verhindern, und Regeln erstellen,um DoS-Kontrollen zu umgehen. Die Firewall protokolliert verworfenen Verkehr.
8.4.3 Erstellen einer DoS-Umgehungsregel
1. Gehen Sie zu Angriffsvorbeugung > DoS-& Täuschungsschutz.
2. Blättern Sie zu DoS-Umgehungsregel und klicken Sie auf Hinzufügen.
3. Wählen Sie die IP-Version aus.
4. Geben Sie die Quell- und Ziel-IP-Adressen an.
5. Wählen Sie ein Protokoll aus.
6. Geben Sie die Quell- und Ziel-Ports an.
Platzhalter werden unterstützt. Um eine beliebige IP-Adresse auszuwählen, tippen Sie *.
7. Klicken Sie auf Speichern.
140 Copyright © 2018 Sophos Limited
XG Firewall
Zugehörige KonzepteDoS-& Täuschungsschutz (Seite 136)Um Täuschungsangriffe zu verhindern, können Sie Verkehr auf jenen beschränken, der mit erkanntenIP-Adressen, vertrauten MAC-Adressen und IP–MAC-Paaren übereinstimmt. Sie können auchVerkehrsbeschränkungen und Flags festlegen, um DoS-Angriffe zu verhindern, und Regeln erstellen,um DoS-Kontrollen zu umgehen. Die Firewall protokolliert verworfenen Verkehr.
Copyright © 2018 Sophos Limited 141
XG Firewall
Kapitel 9
9 InternetDer Webschutz beschützt Ihre Organisation vor Angriffen, die durch das Surfen im Internethervorgerufen werden, und hilft Ihnen, die Produktivität zu erhöhen. Sie können Beschränkungenfür das Surfen mithilfe von Kategorien, URL-Gruppen und Dateitypen festlegen. Indem Sie dieseBeschränkungen zu Richtlinien hinzufügen, können Sie Webseiten blockieren oder Benutzern einenWarnhinweis anzeigen. Sie können zum Beispiel den Zugriff auf Seiten von sozialen Netzwerken undausführbaren Dateien blockieren. Allgemeine Einstellungen lassen Sie Scan-Engines und andereArten des Schutzes festlegen. Ausnahmen lassen Sie den Schutz entsprechend der Bedürfnisse IhrerOrganisation überschreiben.
9.1 RichtlinienMit Internetrichtlinien können Sie Regeln erstellen, um die Aktivitäten von Endbenutzern im Internet zusteuern. Richtlinien treten in Kraft, wenn Sie sie zu Firewallregeln hinzufügen. Die Standardauswahl anRichtlinien umfasst einige der häufigen Einschränkungen. Sie können einer der Standardrichtlinien anIhre Erfordernisse anpassen oder neue Richtlinien erstellen.
• Um eine Richtlinie zu bearbeiten, suchen Sie die Richtlinie, die Sie ändern wollen und klicken Sieauf
.
• Um Richtlinien zu testen und Fehler zu beheben, klicken Sie auf Richtlinientest.
Richtlinienregeln
Regeln legen folgende Kriterien fest:
• Benutzer, auf den/die die Regel zutrifft.
HinweisBenutzer, die in Firewallregeln vorkommen, haben Vorrang vor denen, die in Richtlinienvorkommen.
• Aktivitäten die die Art der Verwendung beschreiben, welche eingeschränkt werden soll.Diese schließen Benutzeraktivitäten, Kategorien, URL-Gruppen, Dateitypen und dynamischeKategorien ein.
• Inhaltsfilter um Internetinhalte zu beschränken, welche Terme enthalten, die in den Listendefiniert sind.
• Eine Maßnahme, die durchgeführt wird, sobald die Firewall HTTP-Verkehr entdeckt, der denausgewählten Kriterien entspricht.
Sie können auch eine separate Maßnahme für HTTPS-Verkehr und einen Zeitplan für die Regelfestlegen.
Die Firewall wertet die Regeln von oben nach unten aus. Wenn zum Beispiel eine Regel, die dengesamten Verkehr zulässt, vor einer Regel steht, die eine bestimmte Art von Verkehr blockiert, istjene Regel gültig, die allen Verkehr zulässt.
142 Copyright © 2018 Sophos Limited
XG Firewall
HinweisDamit eine Regel in Kraft tritt, muss sie eingeschaltet sein.
• Um eine Regel einzuschalten, klicken Sie auf den Schalter Status.
• Um eine Regel zu einer Richtlinie hinzufügen, klicken Sie auf
.
• Um eine Regel zu klonen, klicken Sie auf
.
• Um Regeln innerhalb einer Richtlinie zu platzieren, klicken Sie auf die Verschiebepunkte( )und ziehen Sie die Regel an den gewünschten Platz.
Regeln platzieren
Die folgende Richtlinie enthält eine separate Regel für .mdb-Dateien. Da sich die Regel über derRegel für Datenbankdateien befindet – welche selbst den Dateityp .mdb enthält – erlaubt die RegelZugriff auf .mdb-Dateien, aber blockiert alle anderen Datenbankdateien.
Zugehörige KonzepteRichtlinientest (Seite 571)Mit dem Richtlinientest-Werkzeug können Sie sowohl Firewall- und Internetrichtlinien zuweisenund Fehlersuche bei diesen durchführen als auch daraus resultierende Sicherheitsentscheidungenansehen. Zum Beispiel können Sie eine Internetrichtlinie erstellen, die alle sozialen Netzwerke fürbestimmte Benutzer blockiert, und die Richtlinie testen, um zu sehen, ob die Inhalte nur für diebestimmten Benutzer blockiert werden. Die Ergebnisse geben die Informationen zur Maßnahme an,welche die Firewall vorgenommen hat, inklusive der relevanten Regeln und Inhaltsfilter.
Zugehörige AufgabenRegel zu Richtlinie hinzufügen (Seite 145)Eine Richtlinie hinzufügen (Seite 143)Verwandte InformationenZugriff auf Websites kontrollieren (Seite 164)Viele Organisationen müssen den Zugriff auf bestimmte Kategorien kontrollieren und oft variiert derZugriff entsprechend der Benutzergruppe. Sie wollen zum Beispiel vielleicht einigen Benutzern Zugriffauf Websites geben, die von der Standardarbeitsplatzrichtlinie blockiert werden.
9.1.1 Eine Richtlinie hinzufügen
1. Gehen Sie zu Internet > Richtlinien und klicken Sie auf Richtlinie hinzufügen.
Copyright © 2018 Sophos Limited 143
XG Firewall
2. Geben Sie einen Namen ein.
3. Regeln hinzufügen.
4. Optional: Blättern Sie zu Suchmaschinenzwang und legen Sie die Einstellungen fest.
Option Beschreibung
SafeSearch erzwingen Verhindern Sie, dass eventuell unangemesseneBilder, Videos und Text bei Suchergebnissenvon Google, Yahoo oder Bing angezeigtwerden. Sie können das Risiko, dass Benutzerunangemessenen Inhalten ausgesetzt werden,reduzieren, indem Sie zusätzliche Filteraktivieren, die nur Bilder mit einer Creative-Commons-Lizenz anzeigen.
HinweisFür Bing und Yahoo kann SafeSearchbei HTTPS-Verbindungen nur erzwungenwerden, wenn HTTPS-Scans in derFirewallregel aktiviert sind.
YouTube-Beschränkungen durchsetzen Zugriff auf eventuell unangemessene Inhalteverhindern durch Einschränkung der Videos,welche in YouTube-Suchergebnissenzurückgeliefert werden.
5. Optional: Blättern Sie zu Erweiterte Einstellungen und legen Sie die Einstellungen fest.
Option Beschreibung
Protokolle und Berichte aktivieren Die Richtlinie in Protokollen und Berichtenberücksichtigen.
Das Herunterladen großer Dateien verhindern Davor schützen, Dateien herunterzuladen diegrößer als die festgelegte Größe sind.
Anmeldungsdomänen für Google Appsbegrenzen
Das Anmelden bei Google Apps nur von denfestgelegten Domänen aus erlauben.
6. Klicken Sie auf Speichern.
Damit die Richtlinie wirksam wird, fügen Sie sie zu einer Firewallregel hinzu.
Zugehörige KonzepteZeitplan (Seite 490)Zeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.
Richtlinien (Seite 142)Mit Internetrichtlinien können Sie Regeln erstellen, um die Aktivitäten von Endbenutzern im Internet zusteuern. Richtlinien treten in Kraft, wenn Sie sie zu Firewallregeln hinzufügen. Die Standardauswahl anRichtlinien umfasst einige der häufigen Einschränkungen. Sie können einer der Standardrichtlinien anIhre Erfordernisse anpassen oder neue Richtlinien erstellen.
144 Copyright © 2018 Sophos Limited
XG Firewall
9.1.2 Regel zu Richtlinie hinzufügen
1. Klicken Sie auf Regel hinzufügen.Die Firewall erstellt eine Standardregel an der Spitze der Regelhierarchie, die allen HTTP-Verkehrfür alle Benutzer blockiert. Die Regel ist ausgeschaltet.
2. Benutzer definieren.
a) Bewegen Sie in der neuen Regel den Mauszeiger über das Feld Benutzer, klicken Sie auf denBenutzer („Jeder“) und klicken Sie dann auf Neues Element hinzufügen.
b) Deaktivieren Sie das Kontrollkästchen Jeder.
c) Benutzer auswählen.
d) Klicken Sie auf Ausgewählte Elemente übernehmen.
3. Legen Sie Aktivitäten und Inhaltsfilter fest.
a) Bewegen Sie den Mauszeiger über das Feld Aktivitäten, klicken Sie auf die Aktivität (AllerInternetverkehr) und klicken Sie dann auf Neues Element hinzufügen.
b) Deaktivieren Sie das Kontrollkästchen Aller Internetverkehr auf dem Tab Aktivitäten,
c) Aktivitäten auswählen.
d) Klicken Sie auf Ausgewählte Elemente übernehmen.
e) Klicken Sie auf das Tab Inhaltsfilter und aktivieren Sie das Kontrollkästchen und mit demInhalt.
Copyright © 2018 Sophos Limited 145
XG Firewall
f) Klicken Sie auf Neues Element hinzufügen und wählen Sie Filter aus.
g) Klicken Sie auf Ausgewählte Elemente übernehmen.
4. Legen Sie eine Maßnahme fest, die durchgeführt wird, wenn die Firewall HTTP-Verkehr entdeckt,welcher den gewählten Kriterien entspricht.
a) Bewegen Sie den Mauszeiger auf das Feld Maßnahme und klicken Sie auf die Aktionsanzeige.
b) Wählen Sie eine Option aus.
Option Beschreibung
HTTP zulassen HTTP-Verkehr zulassen, der den ausgewähltenKriterien entspricht.
Bei HTTP warnen Eine Warnmeldung anzeigen, wenn HTTP-Verkehr ermittelt wird, der den ausgewähltenKriterien entspricht.
HTTP blockieren HTTP-Verkehr blockieren, der denausgewählten Kriterien entspricht.
5. Optional: Legen Sie eine Maßnahme fest, die durchgeführt wird, wenn die Firewall HTTPS-Verkehrentdeckt, welcher den gewählten Kriterien entspricht.
HinweisFühren Sie diese Schritte nur aus, wenn Sie eine Maßnahme für HTTPS-Verkehr festlegenmöchten, die sich von der unterscheidet, die Sie für HTTP festgelegt haben.
a) Bewegen Sie den Mauszeiger auf die rechte Seite des Felds Maßnahme.Die Firewall zeigt die Liste HTTPS-Maßnahme verwenden an.
b) Wählen Sie eine Option aus.
Option Beschreibung
Maßnahme verwenden Dieselbe Maßnahme verwenden, die aktuellfür HTTP-Verkehr ausgewählt ist. Wenn Siezu einem späteren Zeitpunkt eine andereHTTP-Maßnahme festlegen, wird die dieHTTPS-Maßnahme ebenfalls diese Maßnahmeverwenden.
HTTPS zulassen HTTPS-Verkehr zulassen, der denausgewählten Kriterien entspricht.
Bei HTTPS warnen Eine Warnmeldung anzeigen, wenn HTTPS-Verkehr ermittelt wird, der den ausgewähltenKriterien entspricht.
146 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
HTTPS blockieren HTTPS-Verkehr blockieren, der denausgewählten Kriterien entspricht.
6. Optional: Bewegen Sie den Mauszeiger über das Feld Beschränkungen und wählen Sie einenZeitplan aus oder erstellen Sie einen neuen.
7. Optional: Klicken Sie auf die Regel und ziehen Sie, um die Regel in der Hierarchie zu platzieren.
Die Firewall wertet die Regeln von oben nach unten aus. Wenn zum Beispiel eine Regel, die dengesamten Verkehr zulässt, vor einer Regel steht, die eine bestimmte Art von Verkehr blockiert,ist jene Regel gültig, die allen Verkehr zulässt.
8. Klicken Sie auf den Schalter Status, um die Regel zu aktivieren.
9. Klicken Sie auf Speichern.
Zugehörige KonzepteRichtlinien (Seite 142)Mit Internetrichtlinien können Sie Regeln erstellen, um die Aktivitäten von Endbenutzern im Internet zusteuern. Richtlinien treten in Kraft, wenn Sie sie zu Firewallregeln hinzufügen. Die Standardauswahl anRichtlinien umfasst einige der häufigen Einschränkungen. Sie können einer der Standardrichtlinien anIhre Erfordernisse anpassen oder neue Richtlinien erstellen.
9.1.3 Richtlinien von vorherigen Releases migrieren
Ab Sophos XG Firewall Version 17 unterstützt die Firewall bis zu 128 Regeln in einer einzigenRichtlinie. Wenn Sie Richtlinien migrieren, die mehr als 128 Regeln enthalten, werden nur die ersten128 verwendet.
Regeln unterstützen nun kombinierte Aktivitäten. Diese schließen Benutzeraktivitäten, Kategorien,URL-Gruppen, Dateitypen und dynamische Kategorien ein. Um die Funktionalität der Richtlinieaufrechtzuerhalten, ersetzen Sie Blockierungen von benachbarten Regeln für unterschiedlicheAktivitäten mit einer einzelnen Regel, die eine Gruppe von Aktivitäten beinhaltet. Löschen oderkonsolidieren Sie Regeln bei Bedarf.
9.2 BenutzeraktivitätenBenutzeraktivitäten kombinieren Web-Kategorien, Dateitypen und URL-Gruppen in einem Container.Sie können Benutzeraktivitäten in Richtlinien einbinden, um den Zugriff auf Websites oder Dateien zusteuern, für die irgendeines der festgelegten Kriterien zutrifft.
• Um eine Benutzeraktivität zu bearbeiten, klicken Sie auf
.
Copyright © 2018 Sophos Limited 147
XG Firewall
• Um eine Benutzeraktivität zu klonen, klicken Sie auf
.
Kategorien und URL-Gruppen in einer Benutzeraktivität kombinieren
Die folgende Benutzeraktivität kombiniert die Spyware- und Schadprogramm-Webkategorie mit einerGruppe von URLs, die als unsicher bekannt sind.
Die Benutzeraktivität wird zur Standardrichtlinie hinzugefügt. Wenn der Verkehr entweder mit derSpyware- und Schadprogramm-Kategorie übereinstimmt oder mit einer der angegeben URLs, trifftdie Benutzeraktivität zu und der Verkehr wird blockiert.
Zugehörige AufgabenBenutzeraktivität hinzufügen (Seite 148)
9.2.1 Benutzeraktivität hinzufügen
1. Gehen Sie zu Internet > Benutzeraktivitäten und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Klicken Sie auf Neues Element hinzufügen und wählen Sie Kategorien aus.
HinweisDie Firewall wertet Kategorien (Webkategorie, Dateitypen und URL-Gruppen) mithilfe von„ODER“ aus. Nur eine Kategorie muss übereinstimmen, damit die Benutzeraktivität zutrifft.
TippSie können die anzuzeigenden Kategorietypen filtern, indem Sie auf Anzeigen: Alle klickenund dann einen Typ auswählen.
4. Klicken Sie auf Speichern.
Zugehörige KonzepteBenutzeraktivitäten (Seite 147)Benutzeraktivitäten kombinieren Web-Kategorien, Dateitypen und URL-Gruppen in einem Container.Sie können Benutzeraktivitäten in Richtlinien einbinden, um den Zugriff auf Websites oder Dateien zusteuern, für die irgendeines der festgelegten Kriterien zutrifft.
148 Copyright © 2018 Sophos Limited
XG Firewall
9.3 KategorienMit Webkategorien können Sie Domänen und Stichwörter in einem Container organisieren undklassifizieren. Sie können Kategorien innerhalb von Richtlinien verwenden, um den Zugriff aufWebsites zu steuern.
• Um eine Kategorie zu bearbeiten, klicken Sie auf
.
Innerhalb einer Kategorie können Sie eine Liste von Domänen und Stichwörtern erstellen, die fürIhre Organisation gültig sind, oder eine Datenbank importieren. Diese umfassen länderspezifischeBlacklists und Open-Source-Kategorisierungslisten. Die Firewall überprüft alle zwei Stunden, obneue Aktualisierungen zur Verfügung stehen.
Klassifizierung: Mit Kategorisierung können Sie Kategorien filternund verwalten.
Traffic-Shaping-Richtlinie Richtlinie, die Nutzungsbeschränkungen unddie Bandbreite festlegt, die für Upload- undDownloadverkehr reserviert wird.
Zugehörige AufgabenKategorie hinzufügen (Seite 149)
9.3.1 Kategorie hinzufügen
1. Gehen Sie zu Internet > Kategorien und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie eine Klassifikation aus.
4. Wählen Sie eine Traffic-Shaping-Richtlinie aus.
5. Wählen Sie einen Konfigurationstyp aus.
Option Beschreibung
Lokal Domänen und Stichwörter, die auf IhreOrganisation zutreffen. Akzeptable Formatesind .tar, .gz, .bz, .bz2, und .txt. (Archivdateienmüssen Textdateien enthalten.)
Externe URL-Datenbank Domänen und Stichwörter die von Drittanbieternerstellt werden, z.B. länderspezifischeBlacklists.
Beachten Sie die folgenden Anforderungen für Textdateien:
• Ein Eintrag pro Zeile.
• Einträge können Domänen, Site-Pfade oder Suchanfragen, z.B. www.example.com,example.com/path, example.com/path?data=example.
• Einträge legen kein Protokoll fest.
6. Legen Sie Domänen und Stichwörter fest.
Copyright © 2018 Sophos Limited 149
XG Firewall
• Klicken Sie bei lokalen Konfigurationen auf Datei auswählen undwählen Sie eine Datei aus. Optional können Sie eine Domäne oderein Stichwort im Textfeld Suchen/Hinzufügen eingeben und auf
klicken.
• Für externe URL-Datenbanken geben Sie eine URL indas Textfeld Suchen/Hinzufügen ein und klicken Sie auf
.
7. Legen Sie erweiterte Einstellungen fest.
Option Beschreibung
Standard-Benachrichtigungsseite überschreiben Zeigen Sie Benutzern die festgelegteBenachrichtigung an, wenn eine Websiteaufgrund ihrer Kategorie blockiert wird, anstattder Standardbenachrichtigung.
8. Klicken Sie auf Speichern.
Zugehörige KonzepteKategorien (Seite 149)Mit Webkategorien können Sie Domänen und Stichwörter in einem Container organisieren undklassifizieren. Sie können Kategorien innerhalb von Richtlinien verwenden, um den Zugriff aufWebsites zu steuern.
9.4 URL-GruppenURL-Gruppen enthalten eine oder mehrere Domänen, die Sie in den Internetrichtlinien verwendenkönnen, um den Zugriff auf Websites zu steuern.
• Um eine URL-Gruppe bearbeiten, klicken Sie auf
.
Zugehörige AufgabenURL-Gruppe hinzufügen (Seite 150)
9.4.1 URL-Gruppe hinzufügen
1. Gehen Sie zu Internet > URL-Gruppen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Geben Sie eine Domäne in das Textfeld Suchen/Hinzufügen ein und klicken Sie auf
.
Reguläre Ausdrücke sind erlaubt. Zum Beispiel trifft ^([A-Za-z0-9.-]*\.)?example\.com/auf alle Subdomänen von example.com zu. Legen Sie Musterübereinstimmungen (PatternMatches) mithilfe von ASCII-Zeichen fest. Weitere Informationen über das Konvertieren von Nicht-ASCII-Zeichen finden Sie unter RFC 3490.
150 Copyright © 2018 Sophos Limited
XG Firewall
HinweisDie Firewall wertet Domänen mithilfe von „ODER“ aus. Nur eine Domäne mussübereinstimmen, damit die URL-Gruppe zutrifft.
4. Klicken Sie auf Speichern.
Zugehörige KonzepteURL-Gruppen (Seite 150)URL-Gruppen enthalten eine oder mehrere Domänen, die Sie in den Internetrichtlinien verwendenkönnen, um den Zugriff auf Websites zu steuern.
9.5 AusnahmenMit Ausnahmen können Sie Schutzeinstellungen für allen Internetverkehr umgehen, der mit denangegebenen Kriterien übereinstimmt, egal ob irgendwelche Richtlinien in Kraft sind. Sie könnenbeispielsweise eine Ausnahme erstellen, um HTTPS-Verkehr zu Seiten mit vertraulichen Informationennicht zu entschlüsseln. Die Standardauswahl an Ausnahmen erlaubt Software-Aktualisierungen undandere wichtige Funktionen für bekannte Websites, ohne vom Webfilter betroffen zu sein.
Zu den Verhaltensweisen, die Sie umgehen können, gehört die Prüfung durch Sandstorm.Ausnahmen (einschließlich jener, die in vorangegangenen Releases erstellt wurden), dieSchadprogramm-Scans auslassen, lassen auch Analyse durch Sandstorm aus.
HinweisDamit eine Ausnahme in Kraft tritt, muss sie eingeschaltet sein.
• Um eine Ausnahme zu aktivieren, klicken Sie auf den Ein/Aus-Schalter.
• Um eine Ausnahme zu klonen, klicken Sie auf
.
• Um eine Ausnahme zu bearbeiten, klicken Sie auf
.
Zugehörige AufgabenEine Ausnahme hinzufügen (Seite 151)Verwandte InformationenWebschutz anpassen (Seite 161)Manchmal müssen Sie vielleicht Webschutzeinstellungen für bestimmte Kategorien von Datenverkehroder bestimmte Domänen anpassen. Sie wollen zum Beispiel vielleicht HTTPS-Verkehr für Websitesmit Finanzdienstleistungen nicht entschlüsseln, weil diese sensible finanzielle Informationen enthalten.Sie wollen vielleicht auch Schadprogramm-Scans und Sandstorm-Analyse für Seiten auslassen, vondenen Sie wissen, dass das Risiko gering ist. Solches Verhalten können Sie mithilfe von Ausnahmenfestlegen.
9.5.1 Eine Ausnahme hinzufügen
1. Gehen Sie zu Internet > Ausnahmen und klicken Sie auf Ausnahme hinzufügen.
2. Geben Sie einen Namen ein.
Copyright © 2018 Sophos Limited 151
XG Firewall
3. Legen Sie Kriterien für den Webverkehr fest.
• Aktivieren Sie das Kontrollkästchen URL-Musterübereinstimmungen, gebenSie ein Muster in das Textfeld Suchen/Hinzufügen ein und klicken Sie auf
.Reguläre Ausdrücke sind erlaubt. Zum Beispiel trifft ^([A-Za-z0-9.-]*\.)?example\.com/ auf alle Subdomänen von example.com zu. Legen Sie Musterübereinstimmungen(Pattern Matches) mithilfe von ASCII-Zeichen fest. Weitere Informationen über dasKonvertieren von Nicht-ASCII-Zeichen finden Sie unter RFC 3490.
• Aktivieren Sie das Kontrollkästchen Website-Kategorien, klicken Sie auf Neues Elementhinzufügen und wählen Sie Kategorien aus.
• Aktivieren Sie das Kontrollkästchen Quell-IP-Adressen,geben Sie eine Endbenutzer-Adresse ein und klicken Sie auf
.
• Aktivieren Sie das Kontrollkästchen Ziel-IP-Adressen,geben Sie eine Internetadresse ein und klicken Sie auf
.
HinweisDie Firewall wertet alle Arten von Kriterien mittels „UND“ aus. Wenn Sie zum BeispielURL-Patterns und Website-Kategorien festlegen, müssen beide Arten mit der Ausnahmeübereinstimmen, damit diese angewendet wird. Innerhalb jeder Kategorie wertet die FirewallKriterien jedoch mittels „ODER“ aus.
4. Legen Sie Prüfungen oder Maßnahmen fest, die ausgelassen werden sollen, wenn die FirewallVerkehr verarbeitet, der den Kriterien entspricht.
Option Beschreibung
HTTPS-Entschlüsselung HTTPS-Verkehr nicht entschlüsseln, der denfestgelegten Kriterien entspricht.
HinweisWenn Sie HTTPS-Entschlüsselungdeaktivieren, wird die Firewall keineweiteren Prüfungen ausführen, die aufentschlüsselten Verkehr angewiesen sind,wie Schadprogramm-Scans. Die Firewallwird weiterhin HTTP-Verkehr scannen, derder Ausnahme entspricht.
Schadprogramm- und Inhaltsscans Keinen Verkehr scannen, der denentsprechenden Kriterien für Schadprogrammeentspricht oder Inhalte hat, die im Inhaltsfilterdefiniert sind.
Sandstorm Dateien, die nach den festgelegten Kriterienheruntergeladen wurden, nicht an Sandstormsenden.
Richtlinienprüfung Richtlinien nicht für Datenverkehr prüfen, derden festgelegten Kriterien entspricht.
5. Klicken Sie auf Speichern.
152 Copyright © 2018 Sophos Limited
XG Firewall
Klicken Sie auf den Schalter An/Aus, um die Ausnahme einzuschalten.
Zugehörige KonzepteAusnahmen (Seite 151)Mit Ausnahmen können Sie Schutzeinstellungen für allen Internetverkehr umgehen, der mit denangegebenen Kriterien übereinstimmt, egal ob irgendwelche Richtlinien in Kraft sind. Sie könnenbeispielsweise eine Ausnahme erstellen, um HTTPS-Verkehr zu Seiten mit vertraulichen Informationennicht zu entschlüsseln. Die Standardauswahl an Ausnahmen erlaubt Software-Aktualisierungen undandere wichtige Funktionen für bekannte Websites, ohne vom Webfilter betroffen zu sein.
9.6 Allgemeine EinstellungenDie Firewall scannt HTTP(S) und FT-Verkehr nach Bedrohungen, so wie es in Ihren Firewallregelnfestgelegt ist, und nach unangemessener Internetnutzung, wenn eine Internetrichtlinie für eine Regelausgewählt ist. Diese Einstellungen betreffen nur Verkehr, der auf Firewallregeln zutrifft, bei denendiese Optionen eingestellt sind. Sie können die Art des Scans, die maximale zu scannende Dateigrößeund zusätzliche Prüfungen festlegen. Sie können auch Umgehungen von Regeln erstellen, umEndbenutzern Zugriff auf Websites zu gewähren, die sonst blockiert wären.
Schadprogramm- und Inhaltsscans
Konfigurieren Sie allgemeine Beschränkungen für das Scannen und um den Verkehr nach Typ undProtokoll zu beschränken.
Auswahl der Scan-Engine Scan-Engine, die für allen Verkehr verwendetwerden soll.
HinweisWenn Sie Sandstorm verwenden, stellenSie als Einzelscan-Engine Sophos ein oderwählen Sie den Zweifachscan.
Einzelne Engine Scannen Sie den Datenverkehrmithilfe der primären Antiviren-Engine(standardmäßig Sophos). Diese Auswahl bietetoptimale Leistung.
Duale Engine Scannen Sie den Datenverkehrmit beiden Engines, zunächst mit der primärenund dann mit der sekundären. Diese Auswahlbietet eine maximale Erkennungsrateund Sicherheit, kann aber die Leistungbeeinträchtigen.
Scanmodus Scanmodus für HTTP(S)-Verkehr ImSerienmodus wird kein einziger Teil einerheruntergeladenen Datei an den Browserweitergegeben, bevor die ganze Dateiheruntergeladen und gescannt wurde. ImEchtzeitmodus, wird der heruntergeladeneDateiinhalt an den Browser weitergegeben,aber erst abgeschlossen, wenn er gescanntund als sauber eingestuft wurde. Während der
Copyright © 2018 Sophos Limited 153
XG Firewall
Serienmodus maximalen Schutz bietet, könnte erdie Leistung beim Surfen beeinträchtigen.
Potenziell unerwünschte Anwendungenblockieren
Schützen Sie Benutzer vor dem Herunterladenpotenziell unerwünschter Anwendungen (PUAs).
Autorisierte PUAs Liste der PUAs, die Sie nicht blockieren wollen.
Maßnahme beim Fehlschlagen desSchadprogramm-Scans
Maßnahme, die durchgeführt wird, sobald dieFirewall Inhalte entdeckt, die nicht gescanntwerden konnten.
HinweisDateien, die nicht vollständig gescanntwerden können, weil sie verschlüsselt oderbeschädigt sind, könnten unentdeckteBedrohungen beinhalten. Blockieren bietetden besten Schutz.
Keine Dateien scannen, die größer sind als Maximal erlaubte Größe von Dateien in MB, diebei HTTP(S) gescannt werden. Dateien, die dieseGröße überschreiten, werden nicht gescannt.
HinweisWenn Sie Sandstorm verwenden, wurdedieser Wert auf den empfohlenen minimalenWert zurückgesetzt.
Maximale Datei-Scangröße für FTP Maximal erlaubte Größe von Dateien in MB, diebei FTP gescannt werden. Dateien, die dieseGröße überschreiten, werden nicht gescannt.
Audio- und Videodateien scannen Audio- und Videoinhalte nach Schadprogrammenund Bedrohungen scannen. Das Scannenkönnte Probleme beim Abspielen von Audio- undVideodateien verursachen.
Pharming-Schutz aktivieren Bei Pharming-Angriffen werden die Benutzer vonseriösen Websites zu betrügerischen Websitesumgeleitet, die genauso aussehen wie dieseriösen. Benutzer vor DNS-Poisoning schützen,indem DNS-Lookups vor dem Verbindenwiederholt werden.
HTTPS-Entschlüsselung und -Scans
CA für HTTPS-Scans CA für die Sicherung von gescannten HTTPS-Verbindungen.
Unbekannte SSL-Protokolle blockieren Verkehr verhindern der HTTPS-Scans vermeidetindem ungültige SSL-Protokolle verwendetwerden.
Ungültige Zertifikate blockieren Nur mit Seiten mit gültigem Zertifikat verbinden.
154 Copyright © 2018 Sophos Limited
XG Firewall
Bei Fehlern oder Maßnahmen beiBlockierungen/Warnungen bei HTTPS-Verbindungen, wenn „HTTPS entschlüsselnund scannen“ deaktiviert ist
Wenn eine HTTPS-Anfrage eine Blockierungs-oder Warnrichtlinienmaßnahme auslöst, bei derHTTPS entschlüsseln und scannen deaktiviertist, können Sie dem Benutzer entweder eineBenachrichtigung anzeigen oder die Verbindungohne Benutzerbenachrichtigung verwerfen.
HinweisBrowser zeigen möglicherweiseZertifikatswarnungen an, wenn die HTTPS-CA nicht installiert ist.
Richtlinien-Umgehungen
Richtlinien-Umgehungen erlauben autorisierten Benutzern, zeitlich begrenzten Zugriff auf Websiteszu gewähren, welche normalerweise durch eine Internetrichtlinie blockiert wären. AutorisierteBenutzer erstellen Richtlinien-Umgehungen im Benutzerportal. Umgehungen legen Websites undKategorien fest, einen Zeitraum und Zugangscodes. Wenn ein Endbenutzer eine Seite besucht,für die eine Umgehung hinterlegt ist, enthält die Blockierungsseite ein zusätzliches Feld, in das derEndbenutzer einen Zugangscode eingeben kann.
• Um die aktuell hinterlegten Umgehungen zu sehen und zu verwalten, klicken Sie auf Umgehungensehen. Diese Einstellungen ermöglichen Ihnen, Umgehungen ein- und auszuschalten undUmgehungen zu löschen.
Richtlinien-Umgehung aktivieren Autorisierten Benutzern erlauben,Internetrichtlinien-Umgehungen im Benutzerportalzu erstellen.
Autorisierte Benutzer und Gruppen Benutzer und Gruppen, die Umgehungenerstellen und verwalten können.
Blockierte Websites und Kategorien Websites und Webkategorien, die nie durchInternetrichtlinien-Umgehungen umgangenwerden können.
Manuelle Eingabe von Zugangscode zulassen Angegebenen Benutzer ermöglichen, ihreeigenen Zugangscodes im Benutzerportal zuerstellen. Wenn diese Option nicht aktiviert ist,müssen Benutzer erzeugte Codes verwenden.
Zugriff auf blockierte Websites zulassen
Die folgende Richtlinienumgehung ermöglicht Benutzern in der Gruppe Lehrer, Endbenutzern Zugriffauf sonst blockierte Websites zu gewähren. Wenn die Umgehung in Kraft ist, können Endbenutzerdennoch nicht auf Websites zugreifen, die zur Kategorie Alkohol und Tabak gehören.
Copyright © 2018 Sophos Limited 155
XG Firewall
Caching von Internetinhalten
Caching von Internetinhalten aktivieren Behalten Sie eine Kopie von kürzlich besuchtenSeiten, um den Bandbreitenverbrauch zureduzieren und die Leistung zu verbessern.
Sophos Endpoint-Updates immerzwischenspeichern
Behalten Sie eine Kopie der Sophos EndpointProtection Aktualisierungen, um die Leistung aufIhrem Netzwerk zu verbessern.
HinweisIst diese Option deaktiviert, kann es zu einerNetzwerküberlastung kommen, wenn vieleEndpoints gleichzeitig versuchen, Updatesaus dem Internet herunterzuladen.
Web-Proxy-Konfiguration
Die Firewall fängt den Datenverkehr transparent ab und erzwingt Web Protection (zumBeispiel, Richtlinien- und Schadprogramm-Scans), wenn der Web-Proxy-Dienst für eineNetzwerkzone aktiviert ist. Der Dienst ist standardmäßig für LAN- und WLAN-Zonen aktiviert. ImTransparenzmodus erlaubt die Firewall HTTP-Verkehr auf Port 80 und HTTPS-Verkehr nur auf Port443.
Sie können die Firewall so konfigurieren, dass sie als Proxy für konfigurierte Webbrowser agiert.Legen Sie dafür einen Web-Proxy Lausch-Port fest. Benutzer hinter dem Proxy müssen die LAN-oder WLAN-Adresse und den Port in den Web-Proxy-Konfigurationseinstellungen ihres Browsersfestlegen. (Weitere Informationen finden Sie in der Dokumentation des Browsers.)
Legen Sie den Web-Proxy Lausch-Port fest und die zugelassenen Zielports, wenn Sie möchten,dass die Firewall als Web-Proxy für konfigurierte Webbrowser agiert.
156 Copyright © 2018 Sophos Limited
XG Firewall
HinweisDie IPS-Richtlinie ist auf den Datenverkehr zwischen Proxy und WAN anwendbar, aber nichtzwischen Benutzer und Proxy.
HinweisDie Traffic-Shaping-Richtlinie ist nicht auf den direkten Proxy-Datenverkehr anwendbar.
Web-Proxy Lausch-Port Port, auf dem der Web-Proxy auf HTTP-Verbindungsanfragen wartet.
Zugelassene Zielports Die Firewall könnte Anfragen erhalten, sich miteinem Nicht-Standardport auf entfernte Server zuverbinden. Legen Sie die Ports fest, auf denender Proxy die Verbindung zulassen wird. (DieseEinstellung gilt nur, wenn der Web-Proxy Lausch-Port eingestellt ist.)
AchtungDas Zulassen einer Verbindung auf Nicht-Standardports könnte ein Sicherheitsrisikodarstellen.
Verwandte InformationenWebschutz verbessern (Seite 160)Sie wollen vielleicht ein Scanverhalten einsetzen, das stärker ist als der Standard. Dafür wählen Sieeine Scan-Engine aus, legen die maximale Dateigröße fest und schalten weitere Funktionen ein.
9.7 DateitypenEin Dateityp ist eine Klassifizierung, die von der Dateierweiterung oder dem MIME-Typ bestimmt wird.Sie können Dateitypen in Internetrichtlinien einbinden, um den Zugriff auf Dateien zu kontrollieren. DieStandardtypen enthalten einige gebräuchliche Kriterien und Sie können zusätzliche Typen erstellen.
• Um einen Dateityp bearbeiten, klicken Sie auf
.
Zugehörige AufgabenDateityp hinzufügen (Seite 157)
9.7.1 Dateityp hinzufügen
1. Gehen Sie zu Internet > Dateitypen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Optional: Wählen Sie eine Vorlage aus.
Copyright © 2018 Sophos Limited 157
XG Firewall
Vorlagen organisieren häufig genutzte Dateierweiterungen und MIME-Headers nach Kategorie,z.B. Videodateien. Sie können Vorlagen verwenden, anstatt Erweiterungen und MIME-Headerseinzutippen.
4. Legen Sie Dateierweiterungen und MIME-Headers fest.
HinweisGeben Sie vor den Dateierweiterungen keinen Punkt (.) ein.
5. Klicken Sie auf Speichern.
Zugehörige KonzepteDateitypen (Seite 157)Ein Dateityp ist eine Klassifizierung, die von der Dateierweiterung oder dem MIME-Typ bestimmt wird.Sie können Dateitypen in Internetrichtlinien einbinden, um den Zugriff auf Dateien zu kontrollieren. DieStandardtypen enthalten einige gebräuchliche Kriterien und Sie können zusätzliche Typen erstellen.
9.8 SurfkontingenteSurfkontingente ermöglichen Ihnen, den Internetzugriff für Benutzer mithilfe von Zugriffseinstellungenzu steuern. Kontingente legen den Zugriff auf zyklischer (wiederkehrender) oder nicht-zyklischer(einmaliger) Basis fest und den zulässigen Zeitraum. Die Standardkontingente umfassen einigetypischerweise verwendete Kontingente wie z.B. unbegrenzten Zugriff und Zugriff mit Blockierungen.
HinweisWenn mehr als ein Kontingent auf einen Benutzer zutrifft, beschränkt die Firewall den Zugriffentsprechend der ersten Richtlinie, die ihre Grenze erreicht.
• Um ein Surfkontingent zu bearbeiten, klicken Sie auf
.
Das folgende Kontingent legt unbegrenzten Zugriff für eine Woche als einmaliges Ereignis fest.
Zugehörige AufgabenSurfkontingent hinzufügen (Seite 159)
158 Copyright © 2018 Sophos Limited
XG Firewall
9.8.1 Surfkontingent hinzufügen
1. Gehen Sie zu Internet > Surfkontingente und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie eine Zyklusart fest.
Option Beschreibung
Zyklisch Wiederkehrender Zugriff. Legen Sie dieZykluszeit fest. Sobald die festgelegte Zeitendet, erhält der Benutzer wieder Zugriff.Benutzer erhalten die festgelegte Zeit zuBeginn eines Zyklus. Ungenutzte Zeit wird nichtübertragen.
Nicht zyklisch Einmalzugriff. Sobald die festgelegte Zeit endet,wird der Benutzer getrennt.
4. Legen Sie einen Gültigkeitszeitraum fest.
• Geben Sie die Anzahl an Tagen ein.
• Wählen Sie das Kontrollkästchen Unbegrenzt aus, wenn Sie die Gültigkeit nicht beschränkenwollen.
5. Legen Sie die Höchstdauer der Zugriffszeit fest, die vom Kontingent gewährt werden soll.
• Geben Sie die Stunden und Minuten ein. Benutzer werden getrennt, nachdem dieser Werterreicht wurde, selbst wenn der Gültigkeitszeitraum des Kontingents noch nicht abgelaufen ist.
• Wählen Sie das Kontrollkästchen Unbegrenzt aus, wenn Sie keine Maximalzeit angebenwollen.
6. Klicken Sie auf Speichern.
Zugehörige KonzepteSurfkontingente (Seite 158)Surfkontingente ermöglichen Ihnen, den Internetzugriff für Benutzer mithilfe von Zugriffseinstellungenzu steuern. Kontingente legen den Zugriff auf zyklischer (wiederkehrender) oder nicht-zyklischer(einmaliger) Basis fest und den zulässigen Zeitraum. Die Standardkontingente umfassen einigetypischerweise verwendete Kontingente wie z.B. unbegrenzten Zugriff und Zugriff mit Blockierungen.
9.9 BenutzerbenachrichtigungenDie Firewall zeigt Benutzern eine Benachrichtigung an, wenn eine Internetrichtlinie so eingestellt ist,dass sie Websites blockiert oder vor dem Verbinden warnt.
• Um ein Bild festzulegen, das auf den Benachrichtigungsseiten angezeigt wird, wählen Sie dasKontrollkästchen Eigene Bilder verwenden und anschließend Bilder aus.
• Um eine Blockierungs-Benachrichtigung zu erstellen, wählen Sie das Kontrollkästchen EigeneBlockieren-Meldung verwenden aus und geben Sie eine Nachricht ein.
• Um eine Warnungs-Benachrichtigung zu erstellen, wählen Sie das Kontrollkästchen EigeneWarnmeldung verwenden aus und geben Sie eine Nachricht ein.
• Um eine Benachrichtigung in Ihrem Browser anzusehen, klicken Sie auf den Vorschau-Link.
Copyright © 2018 Sophos Limited 159
XG Firewall
9.10 InhaltsfilterEin Inhaltsfilter ist eine benannte Liste von Begriffen. Sie können Inhaltsfilter in Richtlinien verwenden,um den Zugriff auf Websites zu beschränken, die einen der aufgelisteten Begriffe enthält. DerStandard-Filtersatz enthält Begriffe, die von vielen Organisationen blockiert werden.
• Um einen Filter zu erstellen, klicken Sie auf Inhaltsfilter hinzufügen, geben Sie einen Namen einund wählen Sie eine einfache Textdatei (.txt) aus.
Beachten Sie die folgenden Anforderungen bei der Textdatei:
• Schreiben Sie jeden Begriff in eine separate Zeile. Die Firewall wertet die Datei zeilenweise aus.Damit ein Treffer erfolgt, muss die Zeile genau übereinstimmen.
• Metadaten, Kommentare und Spaltenformatierung werden nicht unterstützt.
• Wortlisten, die Zeichen außerhalb des ASCII-Zeichensatzes enthalten, müssen mit UTF-8-Codierung gespeichert werden.
• Die maximale Dateilänge beträgt 2000 Zeilen.
• Die maximale Zeilenlänge beträgt 80 Zeichen inklusive Leerzeichen und Interpunktion.
Verwandte InformationenInhalt mithilfe einer Liste von Begriffen blockieren (Seite 168)Sie wollen vielleicht für alle Benutzer den Zugriff auf Websites blockieren, die Begriffe enthalten,welche Ihre Firma als anstößig einstuft. Dafür erstellen Sie eine Liste von Begriffen und setzen sie ineiner Richtlinie ein.
9.11 Webschutz verbessernSie wollen vielleicht ein Scanverhalten einsetzen, das stärker ist als der Standard. Dafür wählen Sieeine Scan-Engine aus, legen die maximale Dateigröße fest und schalten weitere Funktionen ein.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Die Scan-Engine und die maximale Dateigröße festlegen.
• Audio- und Videodateien scannen
Zugehörige KonzepteAllgemeine Einstellungen (Seite 153)Die Firewall scannt HTTP(S) und FT-Verkehr nach Bedrohungen, so wie es in Ihren Firewallregelnfestgelegt ist, und nach unangemessener Internetnutzung, wenn eine Internetrichtlinie für eine Regelausgewählt ist. Diese Einstellungen betreffen nur Verkehr, der auf Firewallregeln zutrifft, bei denendiese Optionen eingestellt sind. Sie können die Art des Scans, die maximale zu scannende Dateigrößeund zusätzliche Prüfungen festlegen. Sie können auch Umgehungen von Regeln erstellen, umEndbenutzern Zugriff auf Websites zu gewähren, die sonst blockiert wären.
160 Copyright © 2018 Sophos Limited
XG Firewall
Legen Sie allgemeine Einstellungen fest.
1. Gehen Sie zu Internet > Allgemeine Einstellungen.
2. Legen Sie die folgenden Schadprogramm-Scan-Einstellungen fest.
Option Beschreibung
Auswahl der Scan-Engine Duale Engine
Diese Auswahl bietet eine maximale Erkennungsrate und Sicherheit, kann aber die Leistungbeeinträchtigen.
3. Klicken Sie auf Erweiterte Einstellungen und legen Sie zusätzliche Einstellungen fest.
Option Beschreibung
Audio- und Videodateien scannen Aktiviert
4. Klicken Sie auf Übernehmen.
Die Firewall verwendet nun Zweifach-Scan für Internetverkehr. Audio- und Videodateien werden nungescannt.
9.12 Webschutz anpassenManchmal müssen Sie vielleicht Webschutzeinstellungen für bestimmte Kategorien von Datenverkehroder bestimmte Domänen anpassen. Sie wollen zum Beispiel vielleicht HTTPS-Verkehr für Websitesmit Finanzdienstleistungen nicht entschlüsseln, weil diese sensible finanzielle Informationen enthalten.Sie wollen vielleicht auch Schadprogramm-Scans und Sandstorm-Analyse für Seiten auslassen, vondenen Sie wissen, dass das Risiko gering ist. Solches Verhalten können Sie mithilfe von Ausnahmenfestlegen.
Copyright © 2018 Sophos Limited 161
XG Firewall
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Eine Ausnahme erstellen, die es Ihnen erlaubt, HTTPS-Entschlüsselung für eine bestimmteWebkategorie auszulassen.
• Eine Ausnahme erstellen, die es Ihnen erlaubt, Scans und Sandstorm-Analyse für Seitenauszulassen, von denen Sie wissen, dass das Risiko gering ist.
Zugehörige KonzepteAusnahmen (Seite 151)Mit Ausnahmen können Sie Schutzeinstellungen für allen Internetverkehr umgehen, der mit denangegebenen Kriterien übereinstimmt, egal ob irgendwelche Richtlinien in Kraft sind. Sie könnenbeispielsweise eine Ausnahme erstellen, um HTTPS-Verkehr zu Seiten mit vertraulichen Informationennicht zu entschlüsseln. Die Standardauswahl an Ausnahmen erlaubt Software-Aktualisierungen undandere wichtige Funktionen für bekannte Websites, ohne vom Webfilter betroffen zu sein.
HTTPS-Entschlüsselung auslassen
Sie wollen HTTPS-Entschlüsselung für Webseiten mit Finanzdienstleistungen auslassen.
1. Gehen Sie zu Internet > Ausnahmen und klicken Sie auf Ausnahme hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie Website-Kategorien aus.
4. Klicken Sie auf Neues Element hinzufügen und wählen Sie Finanzdienstleistungen aus.
5. Klicken Sie auf Ausgewählte Elemente übernehmen.
6. Wählen Sie HTTPS-Entschlüsselung aus.
162 Copyright © 2018 Sophos Limited
XG Firewall
7. Klicken Sie auf Speichern.
Die Firewall scannt keinen HTTPS-Verkehr zu Webseiten mit Finanzdienstleistungen.
Klicken Sie auf den Schalter An/Aus, um die Ausnahme einzuschalten.
Schadprogramm-Scans und Sandstorm-Analyse auslassen
Wir wollen Schadprogramm-Scans und Sandstorm-Analyse für Websites auslassen, von denen wirwissen, dass das Risiko gering ist.
1. Gehen Sie zu Internet > Ausnahmen und klicken Sie auf Ausnahme hinzufügen.
2. Geben Sie einen Namen ein.
3. Aktivieren Sie das Kontrollkästchen URL-Musterübereinstimmungen.
4. Geben Sie den folgenden Ausdruck in das Textfeld ein.
^([A-Za-z0-9.-]*\.)?example\.com/
Dieser Ausdruck trifft auf alle „example.com“-Domänen zu.
5. Klicken Sie auf
.
6. Aktivieren Sie das Kontrollkästchen Schadprogramm- und Inhaltsscans.
Das Kontrollkästchen Sandstorm ist automatisch ausgewählt.
7. Klicken Sie auf Speichern.
Die Firewall scannt keinen Verkehr zu Webseiten von „example.com“ auf Schadprogramme undführt keine Sandstorm-Analyse für diesen Verkehr durch.
Klicken Sie auf den Schalter An/Aus, um die Ausnahme einzuschalten.
Copyright © 2018 Sophos Limited 163
XG Firewall
9.13 Zugriff auf Websites kontrollierenViele Organisationen müssen den Zugriff auf bestimmte Kategorien kontrollieren und oft variiert derZugriff entsprechend der Benutzergruppe. Sie wollen zum Beispiel vielleicht einigen Benutzern Zugriffauf Websites geben, die von der Standardarbeitsplatzrichtlinie blockiert werden.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Eine Gruppe von Benutzern erstellen, für die Sie Zugriff auf Kategorien zulassen wollen
• Eine Richtlinie hinzufügen, die Zugriff auf Kategorien gewährt
• Eine Firewallregel für die Richtlinie erstellen und Benutzer angeben
• Die Firewallregel positionieren
Zugehörige KonzepteRichtlinien (Seite 142)Mit Internetrichtlinien können Sie Regeln erstellen, um die Aktivitäten von Endbenutzern im Internet zusteuern. Richtlinien treten in Kraft, wenn Sie sie zu Firewallregeln hinzufügen. Die Standardauswahl anRichtlinien umfasst einige der häufigen Einschränkungen. Sie können einer der Standardrichtlinien anIhre Erfordernisse anpassen oder neue Richtlinien erstellen.
Benutzergruppe erstellen
Sie wollen einer Gruppe erlauben, Zugriff auf einige Kategorie zu haben, die von derStandardarbeitsplatzrichtlinie blockiert werden. Sie erstellen eine Gruppe, die unbegrenzten Zugriffgewährt.
1. Gehen Sie zu Authentifizierung > Gruppen und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Gruppenname Recherche
Surfkontingent Unbegrenzter Internetzugriff
Zugriffszeit Immer erlaubt
3. Klicken Sie auf Speichern.
Richtlinie erstellen, die Zugriff auf Kategorien gewährt
Sie erstellen eine Richtlinie, die Zugriff auf einige Kategorie gewährt, die von derStandardarbeitsplatzrichtlinie blockiert werden.
1. Gehen Sie zu Internet > Richtlinien und klicken Sie auf Richtlinie hinzufügen.
2. Legen Sie Einstellungen fest.
164 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Name Webkategorien
3. Klicken Sie auf Regel hinzufügen.Die Firewall erstellt eine Standardregel an der Spitze der Regelhierarchie, die allen HTTP-Verkehrfür alle Benutzer blockiert. Die Regel ist ausgeschaltet.
4. Bewegen Sie den Mauszeiger über das Feld Aktivitäten, klicken Sie auf die Aktivität (AllerInternetverkehr) und klicken Sie dann auf Neues Element hinzufügen.
5. Deaktivieren Sie das Kontrollkästchen Aller Internetverkehr.
6. Klicken Sie auf Zeige nur und wählen Sie Webkategorie aus.
7. Wählen Sie Kategorien und Ausgewählte Elemente übernehmen aus.
Copyright © 2018 Sophos Limited 165
XG Firewall
8. Bewegen Sie den Mauszeiger auf das Feld Maßnahme, klicken Sie auf die Aktionsanzeige undwählen Sie HTTP zulassen aus.
9. Klicken Sie auf den Schalter Status, um die Regel zu aktivieren.
10. Klicken Sie auf Speichern.
Legen Sie eine Firewallregel an und wenden Sie die Richtliniean.
Ihre Konfiguration enthält eine Regel, die allen Benutzern mit der Default Workplace Policy den Zugriffverwehrt. Sie wollen jedoch eine Regel hinzufügen, die manchen Benutzern Zugriff auf mancheKategorien gewährt, die von der Standardrichtlinie blockiert werden. Sie legen eine Regel für dieseBenutzer an und verschieben sie an den Anfang der Liste.
1. Gehen Sie zu Firewall und klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Regelname Internetrecherchegruppe
Quellzonen Alle
Zielzonen Alle
3. Blättern Sie hinunter zum Abschnitt Identität: und klicken Sie auf Neues Element hinzufügen.
166 Copyright © 2018 Sophos Limited
XG Firewall
4. Deaktivieren Sie das Kontrollkästchen Beliebig, wählen Sie Recherche aus und klicken Sie aufAusgewählte Elemente übernehmen.
5. Blättern Sie hinunter zum Abschnitt Erweitert und wählen Sie die Richtlinie Webkategorien.
6. Klicken Sie auf Speichern.Die Firewall fügt die Regel unter der Regel für die Default Workplace Policy hinzu. Da Sie wollen,dass die Firewall die Regel für die Web Research Group zuerst verarbeitet, verschieben Sie sie andie Spitze der Reihenfolge.
7. Klicken Sie auf die Verschiebepunkte der Web Research Group und ziehen Sie die Regel an dieSpitze der Liste.
Copyright © 2018 Sophos Limited 167
XG Firewall
Die Web-Research-Group-Regel wird zuerst verarbeitet. Jeder Datenverkehr, der dieRegelkriterien erfüllt (Benutzergruppe und Kategorien), wird zugelassen. Datenverkehr, der mitBenutzer und Kategorien der Standardregel übereinstimmt, wird blockiert.
9.14 Inhalt mithilfe einer Liste von BegriffenblockierenSie wollen vielleicht für alle Benutzer den Zugriff auf Websites blockieren, die Begriffe enthalten,welche Ihre Firma als anstößig einstuft. Dafür erstellen Sie eine Liste von Begriffen und setzen sie ineiner Richtlinie ein.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Eine Liste von Begriffen erstellen, die blockiert werden sollen.
• Einen Inhaltsfilter erstellen.
• Den Inhaltsfilter auf eine Richtlinie anwenden.
Zugehörige KonzepteInhaltsfilter (Seite 160)Ein Inhaltsfilter ist eine benannte Liste von Begriffen. Sie können Inhaltsfilter in Richtlinien verwenden,um den Zugriff auf Websites zu beschränken, die einen der aufgelisteten Begriffe enthält. DerStandard-Filtersatz enthält Begriffe, die von vielen Organisationen blockiert werden.
Liste von Begriffen erstellen
1. Erstellen Sie eine neue Datei mithilfe eines Textverarbeitungsprogramms.
2. Geben Sie Begriffe ein, die blockiert werden sollen.
168 Copyright © 2018 Sophos Limited
XG Firewall
Beachten Sie die folgenden Anforderungen bei der Textdatei:
• Schreiben Sie jeden Begriff in eine separate Zeile. Die Firewall wertet die Datei zeilenweiseaus. Damit ein Treffer erfolgt, muss die Zeile genau übereinstimmen.
• Metadaten, Kommentare und Spaltenformatierung werden nicht unterstützt.
• Wortlisten, die Zeichen außerhalb des ASCII-Zeichensatzes enthalten, müssen mit UTF-8-Codierung gespeichert werden.
• Die maximale Dateilänge beträgt 2000 Zeilen.
• Die maximale Zeilenlänge beträgt 80 Zeichen inklusive Leerzeichen und Interpunktion.
3. Speichern Sie die Datei als blocked.txt ab.
Inhaltsfilter erstellen
Erstellen Sie einen Inhaltsfilter und laden Sie eine Liste von Begriffen hoch.
1. Gehen Sie zu Internet > Inhaltsfilter und klicken Sie auf Inhaltsfilter hinzufügen.
2. Geben Sie einen Namen ein.
3. Klicken Sie auf Datei auswählen und wählen Sie ein Liste von Begriffen aus.
4. Klicken Sie auf Übernehmen.
Inhaltsfilter auf eine Richtlinie anwenden
Fügen Sie eine Regel zur Standardrichtlinie hinzu und wenden Sie den Inhaltsfilter auf sie an.
1. Gehen Sie zu Internet > Richtlinien.
2. Für die Standardrichtlinie, klicken Sie auf
.
3. Klicken Sie auf Regel hinzufügen.Die Firewall erstellt eine Standardregel an der Spitze der Regelhierarchie, die allen HTTP-Verkehrfür alle Benutzer blockiert. Die Regel ist ausgeschaltet.
Copyright © 2018 Sophos Limited 169
4. Bewegen Sie den Mauszeiger über das Feld Aktivitäten, klicken Sie auf die Aktivität („GesamterInternetverkehr“) und klicken Sie dann auf das Tab Inhaltsfilter.
5. Aktivieren Sie das Kontrollkästchen und mit dem Inhalt.
6. Wählen Sie den Inhaltsfilter „Offensive“ (anstößig) und klicken Sie auf Ausgewählte Elementeübernehmen.
7. Klicken Sie auf den Schalter Status, um die Regel zu aktivieren.
8. Klicken Sie auf Speichern.
Die Firewall besitzt nun eine Richtlinie, die Zugriff aus Websites blockiert, welche Wörter von derblockierten Liste enthalten.
Damit die Richtlinie wirksam wird, fügen Sie sie zu einer Firewallregel hinzu.
Kapitel 10
10 AnwendungenApplication Protection trägt dazu bei, Ihre Organisation vor Angriffen und Schadprogrammen zuschützen, welche durch Exploits im Anwendungsdatenverkehr hervorgerufen werden. Sie können auchdie Bandbreite beschränken und Verkehr von Anwendungen einschränken, welche die Produktivitätsenken. Anwendungsfilter erlauben Ihnen, Verkehr nach Kategorie oder auf individueller Basis zusteuern. Mit Synchronized Application Control können Sie Verkehr auf Endpoints beschränken, diemit Sophos Central verwaltet werden. Das Verwalten von Cloud-Anwendungsverkehr wird ebenfallsunterstützt.
10.1 AnwendungsfilterMit Anwendungsfilter-Richtlinien können Sie den Zugriff auf Anwendungen für Benutzer hinter derFirewall steuern. Richtlinien legen die Zugriff auf Anwendungskategorien oder einzelne Kategorienmithilfe von Regeln fest. Die Standardauswahl an Richtlinien umfasst einige häufigen eingesetzteEinschränkungen. Sie können auch eigene Richtlinien erstellen, entsprechend den Erfordernissen IhrerOrganisation.
In den Anwendungsfilterrichtlinien ermittelt der Web-Proxy Anwendungen, die HTTPS verwenden.
• Um eine Anwendungsfilter-Richtlinie hinzuzufügen, klicken Sie auf Hinzufügen. Wenn Sie eineRichtlinie hinzufügen, können Sie eine beliebige Richtlinie als Vorlage auswählen. Dann, nachdemSie die Richtlinie gespeichert haben, können Sie Regeln hinzufügen oder bearbeiten.
• Um eine Richtlinie zu bearbeiten, suchen Sie die Richtlinie, die Sie ändern wollen und klicken Sieauf
.
Tabelle 10: Standard-Anwendungsfilter-Richtlinie
Name Beschreibung
Allow All Erlaubt Verkehr von allen Anwendungen.
Deny All Verwirft Verkehr von allen Anwendungen.
Block filter avoidance apps Verwirft Verkehr von Anwendungen, die als Tunnelfür andere Anwendungen dienen, von Proxy- undTunnelanwendungen und von Anwendungen, dieFirewallrichtlinien umgehen können.
Block generally unwanted apps Verwirft Verkehr von Dateiübertragungen, Proxy-und Tunnelanwendungen, riskanten Anwendungen,Peer-to-Peer-Netzwerken (P2P) und sonstigenAnwendungen, die sich negativ auf die Produktivitätauswirken.
Block high risk (Risk Level 4 and 5) apps Verwirft Verkehr von Hochrisikoanwendungen.
Block peer to peer (P2P) networking apps Verwirft Verkehr von P2P-Anwendungen. DieseAnwendungen können dazu verwenden werden,Bots, Spyware, Werbesoftware, Trojaner, Rootkits,Würmer oder andere Arten von Schadprogrammenzu verbreiten. Es ist empfehlenswert, dass Sie P2P-Anwendungen in Ihrem Netzwerk blockieren.
XG Firewall
Name Beschreibung
Block very high risk (Risk Level 5) apps Verwirft Verkehr von Anwendungen mit sehr hohemRisiko.
Zugehörige AufgabenAnwendungsfilter-Richtlinie hinzufügen (Seite 172)Anwendungsfilter-Richtlinienregel hinzufügen (Seite 172)Verwandte InformationenHochrisikoanwendungen blockieren (Seite 177)Um Ihre Netzwerk vor Schadprogrammen zu schützen, müssen viele Organisationen den Zugriff aufAnwendungen kontrollieren, die als risikoreich eingestuft sind. Sie können Richtlinien erstellen, umDatenverkehr zu allen Anwendungen zu beschränken, die als risikoreich kategorisiert sind. Wenndie Anwendungssignaturen-Datenbank aktualisiert wird, werden neue Anwendungen automatischzu Anwendungsfiltern und Firewallregeln hinzugefügt. Wenn zum Beispiel eine neue Signatur füreine Hochrisikoanwendung hinzugefügt wird und es gibt bereits einen Anwendungsfilter, der alleHochrisikoanwendungen blockiert, dann wird die neue Anwendung blockiert.
10.1.1 Anwendungsfilter-Richtlinie hinzufügen
1. Gehen Sie zu Anwendungen > Anwendungsfilter und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Optional: Wählen Sie eine Vorlage aus.
Sie können eine beliebige Anwendungsfilter-Richtlinie als Vorlage verwenden.
4. Klicken Sie auf Speichern.
Fügen Sie Regeln zur Richtlinie hinzu. Damit die Richtlinie wirksam wird, fügen Sie sie zu einerFirewallregel hinzu.
Zugehörige KonzepteAnwendungsfilter (Seite 171)Mit Anwendungsfilter-Richtlinien können Sie den Zugriff auf Anwendungen für Benutzer hinter derFirewall steuern. Richtlinien legen die Zugriff auf Anwendungskategorien oder einzelne Kategorienmithilfe von Regeln fest. Die Standardauswahl an Richtlinien umfasst einige häufigen eingesetzteEinschränkungen. Sie können auch eigene Richtlinien erstellen, entsprechend den Erfordernissen IhrerOrganisation.
10.1.2 Anwendungsfilter-Richtlinienregel hinzufügen
1. Gehen Sie zu Anwendungen > Anwendungsfilter und klicken Sie auf
für die Richtlinie, die sie bearbeiten wollen.
2. Klicken Sie auf Hinzufügen.
3. Wählen Sie Anwendungen aus.
• Klicken Sie auf Alle auswählen und wenden Sie Filter auf die Liste an mithilfe einerKombination von Kategorien, Risiko, Eigenschaften, Technologie oder Klassifizierung. Siekönnen auch einen Ausdruck in den Smartfilter eingeben. Der Smartfilter durchsucht denNamen sowie die Beschreibung einer Anwendung.
• Klicken Sie auf Individuelle Anwendung auswählen und verwenden Sie Filter, um die Listezu verbessern. Wählen Sie dann einzelne Anwendungen aus der Liste aus.
172 Copyright © 2018 Sophos Limited
XG Firewall
HinweisKlassifizierung ist nur auf Cloud-Anwendungen anwendbar. Wenn eine Klassifizierungaktualisiert wird (zum Beispiel, mit neuem Cloud-Anwendungsverkehr), werden alleverwendeten Richtlinienregeln sofort aktualisiert.
4. Legen Sie eine Aktion für die Regel fest.
5. Legen Sie einen Zeitplan für die Regel fest.
6. Klicken Sie auf Speichern.
Zugehörige KonzepteZeitplan (Seite 490)Zeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.
Anwendungsfilter (Seite 171)Mit Anwendungsfilter-Richtlinien können Sie den Zugriff auf Anwendungen für Benutzer hinter derFirewall steuern. Richtlinien legen die Zugriff auf Anwendungskategorien oder einzelne Kategorienmithilfe von Regeln fest. Die Standardauswahl an Richtlinien umfasst einige häufigen eingesetzteEinschränkungen. Sie können auch eigene Richtlinien erstellen, entsprechend den Erfordernissen IhrerOrganisation.
10.2 Synchronized Application ControlSynchronized Application Control Überwacht alle Anwendungen auf Endpoints, die über SecurityHeartbeat verbunden sind. Erkannte Anwendungen werden hier angezeigt. Sie können neu erkannteAnwendungen sehen, bekannte Anwendungen verbergen, Anwendungen in Kategorien einordnen undihren Verkehr mithilfe von Anwendungsfiltern steuern. Synchronized Application Control unterstützt biszu 10.000 Anwendungen.
HinweisWenn Sie Synchronized Application Control zum ersten Mal verwenden, müssen Sie es unterZentrale Synchronisierung einschalten.
Anwendungskategorien und Label
XG Firewall besitzt eine Standardauswahl an Kategorien, welche die bekanntesten Anwendungenumfasst. Wenn XG Firewall eine bekannte Anwendung erkennt, kategorisiert es die Anwendungentsprechend. Erkannte unbekannte Anwendungen erhalten die Kategorie SyncAppCtl discoveredoder General Internet. Sie können diese Anwendungen umbenennen und anpassen. Weisen SieAnwendungen Anwendungsfiltern zu, um ihren Verkehr zu steuern.
Wenn XG Firewall mehr als ein Vorkommen einer Anwendung erkennt,können Sie alle Orte der Anwendung auf allen Endpoints sehen, andenen sie erkannt wurden, indem Sie die Anwendungsansicht aufklappen
( ).
Anwendungen haben die folgenden Label, die Sie in der Spalte Verwalten sehen können:
• Neu: Neu erkannte Anwendungen, die Sophos XG Firewall noch nicht kennt.
Copyright © 2018 Sophos Limited 173
XG Firewall
• Zugeordnet: Erkannte Anwendungen, die automatisch einer Anwendungskategorie zugeordnetwurden.
• Angepasst: Anwendungen, die manuell zugeordnet wurden.
Anwendungen verwalten
Bestätigen Bestätigen Sie neue Anwendungen, um zuvermerken, dass Sie sie gesehen haben und ihreMerkmale nicht ändern wollen. Das ist sinnvollbei Anwendungen, die Sie nicht anpassen wollenund die nicht länger als Neu angezeigt werdensollen. Ihr neues Label wird auch Angepasstsein.
Anpassen Anwendungen anzupassen bedeutet,dass Sie den Anwendungsnamen und dieKategorie ändern können. Das Label derAnwendung wird danach Angepasst sein.Sie können diese Merkmale stets ändern.Um eine Anwendung anzupassen, klickenSie auf die Schaltfläche für mehr Optionen
( )in der Spalte Verwalten und wählen SieAnpassen aus.
Verbergen/Anzeigen Anwendungen verbergen, die Sie bereits kennenund nicht mehr zu sehen brauchen. Sie werdendann nur angezeigt, wenn Sie AusgeblendeteAnwendungen auswählen. Von dort aus könnenSie sie in anderen Ansichten wieder anzeigenlassen, indem Sie auf Anzeigen klicken.
Löschen Das Löschen von Anwendungen entfernt dieseauch vom Anwendungsfilter. Wenn XG Firewalleine gelöschte Anwendung erneut auf einemEndpoint erkennt, erscheint diese erneut in derAnwendungsliste.
Nach Anwendungen suchen
Sie können nach Anwendungen unter Angabe des Anwendungsnamens, des Pfads, der Kategorieoder des Endpoints suchen. Um den Suchbereich zu steuern, wählen Sie eine Option aus der Listeaus (Beispiel: Systemanwendungen).
Zugehörige AufgabenErkannte Anwendung anpassen (Seite 175)Sie können den Namen oder die Kategorie einer Anwendung anpassen, die auf einem Endpointerkannt wurde, der von Sophos Central verwaltet wird.
174 Copyright © 2018 Sophos Limited
XG Firewall
10.2.1 Erkannte Anwendung anpassen
Sie können den Namen oder die Kategorie einer Anwendung anpassen, die auf einem Endpointerkannt wurde, der von Sophos Central verwaltet wird.
1. Gehen Sie zu Anwendungen > Synchronized Application Control.
2. Suchen Sie die Anwendung, die Sie ändern wollen und klicken Sie auf Anpassen.
3. Geben Sie einen Namen für die Anwendung ein.
4. Wählen Sie eine Kategorie für die Anwendung aus.
5. Klicken Sie auf Übernehmen.
Zugehörige KonzepteSynchronized Application Control (Seite 173)Synchronized Application Control Überwacht alle Anwendungen auf Endpoints, die über SecurityHeartbeat verbunden sind. Erkannte Anwendungen werden hier angezeigt. Sie können neu erkannteAnwendungen sehen, bekannte Anwendungen verbergen, Anwendungen in Kategorien einordnen undihren Verkehr mithilfe von Anwendungsfiltern steuern. Synchronized Application Control unterstützt biszu 10.000 Anwendungen.
10.3 Cloud-AnwendungenDurch die Analyse von Cloud-Anwendungsverkehr, können Sie Risiken umgehen, die durch dieVerwendung von Cloud-Anwendungen entstehen. Optionen erlauben Ihnen, Verkehr zu klassifizierenund Traffic-Shaping-Richtlinien einzusetzen.
Verwenden Sie die Filter, um die Suchergebnisse durch Datum, Klassifizierung, Kategorie oderübertragene Bytes weiter einzuschränken. Zum Beispiel können Sie Verkehr so filtern, dass nurunbefugter Datenverkehr zu sozialen Netzwerken für einen bestimmten Zeitraum angezeigt wird.
HinweisDie Ergebnisse umfassen nur zugelassenen Verkehr und nur Anwendungen, die Verkehr erzeugthaben. Überprüfen Sie Ihre blockierten Anwendungseinstellungen.
HinweisDie Anzahl der Uploads und Downloads sowie Informationen zum Dateityp können nur für Verkehrangezeigt werden, für welchen HTTPS-Entschlüsselung aktiviert ist. Einige Anwendungenverwenden keine Standard-Methoden für den Versand und den Empfang von Dateien, was dazuführen kann, dass diese Datenpunkte leer sind oder einen nicht akkuraten Eindruck machen.
Copyright © 2018 Sophos Limited 175
XG Firewall
• Um Verkehrsinformationen zu sehen, klicken Sie auf
.
Standardmäßig wird aller Anwendungsdatenverkehr als neu klassifiziert.
• Um eine andere Klassifizierung anzuwenden, klicken Sie auf Klassifizieren, wählen Sie eineKlassifizierung aus und klicken Sie auf Übernehmen.
HinweisDie neue Klassifizierung wird nur auf neuen Verkehr von dieser Anwendung angewendet.
Um die Bandbreitennutzung durch Cloud-Anwendungen zu steuern, können Sie eine Traffic-Shaping-Richtlinie einsetzen. Zum Beispiel wollen Sie vielleicht das Streamen von Videodateneinschränken.
• Um die Bandbreitennutzung zu steuern, klicken Sie auf Traffic Shaping, wählen Sie eine Richtlinieaus und klicken Sie auf Speichern.
Empfohlene Einstellungen
Um die Effektivität der Cloud-Verkehrsberichte zu maximieren, verwenden Sie die folgendenFirewallregel-Einstellungen:
• Für den Basisbericht über verbrauchte Bytes (Bytes eingehend und ausgehend)), aktivieren SieFirewallverkehr protokollieren.
• Für mehr Genauigkeit und Details aktivieren Sie HTTPS entschlüsseln und scannen, undwählen Sie eine Internetrichtlinie aus, die nicht „Keine“ ist.
10.4 AnwendungslisteDie Anwendungsliste enthält viele häufig eingesetzte Anwendungen. Sie können Anwendungen nachihrer Kategorie, Risiko, Technologie, Eigenschaften und Klassifikation sortieren.
Wenn die Anwendungssignaturen-Datenbank aktualisiert wird, werden neue Anwendungenautomatisch zu Anwendungsfiltern und Firewallregeln hinzugefügt. Wenn zum Beispiel eine neueSignatur für eine Hochrisikoanwendung hinzugefügt wird und es gibt bereits einen Anwendungsfilter,der alle Hochrisikoanwendungen blockiert, dann wird die neue Anwendung blockiert.
10.5 Traffic-Shaping-StandardSie können Bandbreitenbeschränkungen mithilfe von Traffic-Shaping-Richtlinien umsetzen. Sie könnenStandard-Traffic-Shaping-Richtlinien auf Kategorien oder einzelne Anwendungen anwenden.
• Um eine Traffic-Shaping-Richtlinie zu sehen oder zu ändern, die mit einer Kategorie verbunden ist,klicken Sie auf
.
• Um die Anwendungen innerhalb einer Kategorie zu sehen, klicken Sie auf
.Um eine Richtlinie zu sehen oder zu ändern, die mit einer Anwendung verbunden ist, klicken Sieauf
.
176 Copyright © 2018 Sophos Limited
XG Firewall
Zugehörige AufgabenStandard-Traffic-Shaping-Richtlinie anwenden (Seite 177)
10.5.1 Standard-Traffic-Shaping-Richtlinie anwenden
1. Gehen Sie zu Anwendungen > Traffic-Shaping-Standard.
2. Suchen Sie die Kategorie oder Anwendung, die Sie ändern wollen.
• Suchen Sie die Kategorie, die Sie ändern wollen und klicken Sie auf
.
• Suchen Sie die Kategorie, die Sie ändern wollen und klicken Sie auf
.Suchen Sie dann die Anwendung, die Sie ändern wollen und klicken Sie auf
.
3. Wählen Sie eine Traffic-Shaping-Richtlinie aus.
4. Klicken Sie auf Speichern.
HinweisDiese Richtlinie ist wirksam außer sie wird von einer Traffic-Shaping-Richtlinie innerhalb einerFirewallregel überschrieben.
Zugehörige KonzepteTraffic-Shaping-Standard (Seite 176)Sie können Bandbreitenbeschränkungen mithilfe von Traffic-Shaping-Richtlinien umsetzen. Sie könnenStandard-Traffic-Shaping-Richtlinien auf Kategorien oder einzelne Anwendungen anwenden.
10.6 Hochrisikoanwendungen blockierenUm Ihre Netzwerk vor Schadprogrammen zu schützen, müssen viele Organisationen den Zugriff aufAnwendungen kontrollieren, die als risikoreich eingestuft sind. Sie können Richtlinien erstellen, umDatenverkehr zu allen Anwendungen zu beschränken, die als risikoreich kategorisiert sind. Wenndie Anwendungssignaturen-Datenbank aktualisiert wird, werden neue Anwendungen automatischzu Anwendungsfiltern und Firewallregeln hinzugefügt. Wenn zum Beispiel eine neue Signatur füreine Hochrisikoanwendung hinzugefügt wird und es gibt bereits einen Anwendungsfilter, der alleHochrisikoanwendungen blockiert, dann wird die neue Anwendung blockiert.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Eine Anwendungsfilter-Richtlinie erstellen, um Datenverkehr für Hochrisikoanwendungen zublockieren.
• Eine Firewallregel erstellen und die Richtlinie hinzufügen.
Zugehörige KonzepteAnwendungsfilter (Seite 171)
Copyright © 2018 Sophos Limited 177
XG Firewall
Mit Anwendungsfilter-Richtlinien können Sie den Zugriff auf Anwendungen für Benutzer hinter derFirewall steuern. Richtlinien legen die Zugriff auf Anwendungskategorien oder einzelne Kategorienmithilfe von Regeln fest. Die Standardauswahl an Richtlinien umfasst einige häufigen eingesetzteEinschränkungen. Sie können auch eigene Richtlinien erstellen, entsprechend den Erfordernissen IhrerOrganisation.
Anwendungsfilter-Richtlinie erstellen
Erstellen Sie eine Anwendungsfilter-Richtlinie, die alle Hochrisikoanwendungen blockiert.
1. Gehen Sie zu Anwendungen > Anwendungsfilter und klicken Sie auf Hinzufügen.Die Firewall erstellt eine leere Richtlinie. Standardmäßig nimmt die Richtlinie allen Verkehr an. Sielegen die Regeln an, nachdem Sie die Richtlinie gespeichert haben.
2. Geben Sie einen Namen ein.
Option Beschreibung
Name Hochrisiko_Apps_blockieren
3. Klicken Sie auf Speichern.
4. In der Liste der Anwendungsfilter, suchen Sie den Filter, den Sie eben hinzugefügt haben, undklicken Sie auf
.
5. Klicken Sie auf Hinzufügen.
6. Klicken Sie auf Alle auswählen, um alle Anwendungen einzuschließen, die von den Filterkriterienzurückgeliefert werden.
7. Wählen Sie Hoch und Sehr hoch aus dem Filter Risiko und klicken Sie auf OK.
178 Copyright © 2018 Sophos Limited
XG Firewall
8. Legen Sie Einstellungen fest.
Option Beschreibung
Maßnahme Ablehnen
Zeitplan Jederzeit
9. Klicken Sie auf Speichern, um die Regel hinzuzufügen.
10. Klicken Sie auf Speichern, um die Richtlinie zu aktualisieren.
Legen Sie eine Firewallregel an und wenden Sie die Richtliniean.
Die Anwendungsfilter-Richtlinie tritt in Kraft, wenn Sie sie zu einer Firewallregel hinzufügen. In diesemFall blockiert die Regel Zugang zu allen Hochrisikoanwendungen für alle Benutzer.
1. Gehen Sie zu Firewall und klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Regelname Hochrisiko_Apps_blockieren_Regel
Quellzonen Beliebig
Zielzonen Beliebig
3. Blättern Sie zum Abschnitt Erweitert und wählen Sie die Richtlinie Hochrisiko_Apps_blockierenaus.
Copyright © 2018 Sophos Limited 179
4. Klicken Sie auf Speichern.
Kapitel 11
11 WLANWireless Protection lässt Sie WLAN-Netzwerke festlegen und den Zugriff auf diese steuern.Die Firewall unterstützt die neueste Sicherheit und Verschlüsselung, einschließlich Scans aufunautorisierte Access Points und WPA2. Wireless Protection erlaubt Ihnen, Access Points, WLAN-Netzwerke und -Clients zu konfigurieren und zu verwalten. Sie können auch Mesh-Netzwerke undHotspots hinzufügen und verwalten.
11.1 WLAN-EinstellungenVerwenden Sie diese Einstellungen, um WLAN-Schutz zu aktivieren, dieBenachrichtungszeitüberschreitung einzustellen und einen RADIUS-Server für Enterprise-Authentifizierung zu konfigurieren.
AP-Firmware
Wenn keine Access-Point-Firmware installiert ist, klicken Sie auf den Link, um sie herunterzuladenund zu installieren.
Globale Einstellungen
Wireless Protection aktivieren Allen Datenverkehr in der angegeben Zone nachBedrohungen und Schadprogrammen scannen.
Zugelassene Zone Netzwerkzonen, die Access-Point-Konnektivitäterlauben. Sie können Access Points in denangegebenen Zonen einsetzen.
Erweiterte Einstellungen
Zeitüberschreitung Die Zeit in Minuten zwischen dem Zeitpunkt,wenn ein Access Point ausfällt unddem Zeitpunkt, wenn die Firewall eineBenachrichtigung über die Zeitüberschreitungsendet. Nach dem festgelegten Zeitraum wird derAccess Point als inaktiv eingestuft.
RADIUS-Server RADIUS-Server, der für die Enterprise-Authentifizierung verwendet werden soll. AccessPoints kommunizieren für die Authentifizierungmit der Firewall, nicht mit dem RADIUS-Server.Für die RADIUS-Kommunikation zwischen derFirewall und den Access Points wird Port 414verwendet. Access Points senden Accounting-Informationen über Port 417 an die Firewall.Die Firewall leitet die Informationen dann aufdem konfigurierten Accountingport 1813 an den
XG Firewall
RADIUS-Server. Zwischenzeitliche Accounting-Aktualisierungen werden nicht unterstützt.Accounting Request oder Accounting Responseenthält Informationen zum Accounting. Dasist unabhängig von Zugriffs-, Antwort- oderChallenge-Anfragen.
Sie müssen das WLAN-Netzwerk mit 802.1x-Authentifizierung einrichten.
Sie müssen Accounting für Ihren RADIUS-Server einschalten. RADIUS-Accounting wirdunterstützt von AP15, AP15C, AP55, AP55C,AP100, AP100C, AP100X und WLAN-fähigenAppliances.
Sie müssen eine Netzwerk-Übersetzungsrichtlinie(NAT) für die Access-Point-Netzwerkehinzufügen, wenn der RADIUS-Server über einenIPsec-Tunnel mit der Firewall verbunden ist.Dabei wird die Quelladresse mit der IP-Adresseder Firewall ersetzt, welche dann verwendet wird,um den RADIUS-Server zu erreichen.
HinweisRADIUS-SSO wird nicht bei WLAN-Enterprise-Authentifizierung unterstützt.
Sekundärer RADIUS-Server Ein Backup-RADIUS-Server für Enterprise-Authentifizierung, wenn die Firewall den primärenRADIUS-Server nicht erreichen kann.
HinweisDie Sophos APX Serie, AP10, AP30, AP50,und WLAN-fähige Appliances können nur aufden primären RADIUS-Server zugreifen.
Verwandte InformationenZweigstellen-Benutzer mit dem AD-Server der Hauptgeschäftsstelle authentifizieren
11.2 WLAN-Client-ListeDie WLAN-Client-Liste zeigt alle Clients an, die momentan mit einem WLAN-Netzwerk über einenAccess Point verbunden sind. Sie können Clients nach Access Point oder SSID aufgeschlüsselt sehen.Verbindungseigenschaften wie Signalstärke und Frequenz werden ebenfalls angezeigt.
11.3 WLAN-NetzwerkeEin WLAN-Netzwerk bietet typische Verbindungseinstellungen für WLAN-Clients. Diese Einstellungenumfassen SSID, Sicherheitsmodus und die Methode zum Umgang mit Client-Verkehr.
182 Copyright © 2018 Sophos Limited
XG Firewall
Wenn Sie ein WLAN-Netzwerk zu einem Access Point hinzufügen, legen Sie die Methode fest, wieDatenverkehr vom WLAN-Netzwerk in Ihr lokales Netzwerk integriert wird.
Tabelle 11: Client-Verkehrsarten
Name Beschreibung
Separate Zone Das WLAN-Netzwerk wird als separates Netzwerk mitdem festgelegten IP-Adressbereich behandelt. Dergesamte Verkehr aus einer separaten Zone wird mittelsVXLAN-Protokoll an die XG Firewall gesendet.
Bridge ins AP-LAN Das WLAN-Netzwerk wird über eine Bridge in dasNetzwerk des gewählten Access Points eingebunden.Clients teilen sich den IP-Adressbereich des AccessPoints.
Bridge ins VLAN Das WLAN-Netzwerk wird über eine Bridge in einVLAN eingebunden. Verwenden Sie diese Methode,wenn Sie Access Points in einem gemeinsamenNetzwerk getrennt von den WLAN-Clients einsetzenmöchten.
Allgemeine Einstellungen
Client-Verkehr Methode, wie der Datenverkehr aus dem WLAN-Netzwerk in Ihr lokales Netzwerk integriert wird.
Verschlüsselung Verschlüsselungsalgorithmus, der für denNetzwerkverkehr verwendet werden soll. AESwird empfohlen.
Zeitbasierter Zugriff Zugriff auf das WLAN-Netzwerk entsprechendden Richtlinien des angegebenen Zeitplanszulassen.
Clientisolation Datenverkehr zwischen WLAN-Clients verhindern,die sich mit derselben SSID auf demselbenSender verbinden. Diese Einstellung wirdüblicherweise in Gastnetzwerken verwendet.
SSID verbergen WLAN-Netzwerk-SSID nicht anzeigen.
Fast Transition WLAN-Netzwerke zwingen, den Standard IEEE802.11r zu verwenden.
MAC-Filterung Legen Sie fest, welche MAC-Adressen sich mitdem WLAN-Netzwerk verbinden dürfen. Blacklistslassen alle MAC-Adressen zu außer denen,die Teil der ausgewählten Liste sind. Whitelistsverbieten alle MAC-Adressen außer denen, dieTeil der ausgewählten Liste sind.
Zugehörige KonzepteDHCP (Seite 359)Die Firewall unterstützt das Dynamic Host Configuration Protocol wie in RFC 2131 (IPv4) und RFC3315 (IPv6) definiert. Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen. Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung fürClients durchführen, die nicht im gleichen Subnetz wie der DHCP-Server sind. Sie können auch Lease-Einträge ansehen.
Copyright © 2018 Sophos Limited 183
XG Firewall
Zugehörige AufgabenWLAN-Netzwerk zu Access Point hinzufügen (Seite 191)Wählen Sie ein WLAN-Netzwerk aus, das vom Access Point ausgestrahlt werden soll.
WLAN-Netzwerk hinzufügen (Seite 184)Verwandte InformationenWLAN-Netzwerk als separate Zone einsetzen (Seite 205)Wir wollen ein WLAN-Netzwerk für Gäste erstellen, das IP-Adressen aus einem festgelegten Bereichbezieht. Wir wollen den Zugriff durch Hosts verhindern, die als Quellen von Schadprogrammenbekannt sind.
WLAN-Netzwerk als Bridge in ein Access-Point-LAN einrichten (Seite 208)Wir wollen, dass WLAN-Clients den gleichen Adressbereich verwenden wie ein Access-Point-LAN.
11.3.1 WLAN-Netzwerk hinzufügen
1. Gehen Sie zu WLAN > WLAN-Netzwerke und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen und einen Service Set Identifier (SSID) ein.
Die SSID kann auch aus 1-32 druckbaren ASCII-Zeichen bestehen.
3. Wählen Sie einen Sicherheitsmodus aus.
WPA2 wird empfohlen. Die Firewall unterstützt IEEE 802.11r auf Netzwerken, die mithilfe vonWPA2 gesichert werden.
HinweisWenn Sie Enterprise-Authentifizierung verwenden, müssen Sie auch einen RADIUS-Serverkonfigurieren. Verwenden Sie den WLAN-Netzwerknamen als NAS-ID.
4. Wählen Sie aus der Liste Client-Verkehr die Methode aus, mit der Datenverkehr aus dem WLAN-Netzwerk in Ihr lokales Netzwerk integriert wird.
Option Beschreibung
Separate Zone Das WLAN-Netzwerk wird als separatesNetzwerk mit dem festgelegten IP-Adressbereich behandelt. Wenn Sie einNetzwerk als separate Zone erstellen,erstellt die Firewall eine zugehörige virtuelleSchnittstelle. Um Clients eine Adresse undein Gateway zuzuweisen, erstellen Sie einenDHCP-Server für die Schnittstelle.
Bridge ins AP-LAN Das WLAN-Netzwerk wird über eine Bridge indas Netzwerk des gewählten Access Pointseingebunden. Clients teilen sich den IP-Adressbereich des Access Points. Wenn Sieein Netzwerk dieses Typs zu einem AccessPoint hinzufügen, erstellt die Firewall eineentsprechende Schnittstelle. Um das Netzwerkim Bridge-Modus einzusetzen, erstellen Sieeine Bridge-Schnittstelle. Um das Netzwerk imGateway-Modus einzusetzen, legen Sie eineZone und IP-Adresse fest und erstellen Sieeinen DHCP-Server.
184 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Bridge ins VLAN Das WLAN-Netzwerk wird über eine Bridgein ein VLAN eingebunden. Verwenden Siediese Methode, wenn Sie Access Points ineinem gemeinsamen Netzwerk getrennt vonden WLAN-Clients einsetzen möchten. WennSie Enterprise-Authentifizierung verwenden,können Sie festlegen, wie die Client-VLAN-IDbestimmt wird. Wenn Sie „Statisch“ auswählen,verwendet der Access Point immer die Bridgezur angegebenen VLAN-ID. Wenn Sie „RADIUSund statisch“ wählen, teilt der RADIUS-Serverdem Access Point mit, welche VLAN-IDs füreinen bestimmten Benutzer verwendet werdensollen. Wurde einem Benutzer kein VLAN-ID-Attribut zugewiesen, verwendet der AccessPoint die Bridge in die angegebene VLAN-ID.
5. Legen Sie Einstellungen fest.
Option Beschreibung
Verschlüsselung Verschlüsselungsalgorithmus, der für denNetzwerkverkehr verwendet werden soll. AESwird empfohlen.
Zeitbasierter Zugriff Zugriff auf das WLAN-Netzwerk entsprechendden Richtlinien des angegebenen Zeitplanszulassen.
Clientisolation Datenverkehr zwischen WLAN-Clientsverhindern, die sich mit derselben SSID aufdemselben Sender verbinden. Diese Einstellungwird üblicherweise in Gastnetzwerkenverwendet.
SSID verbergen WLAN-Netzwerk-SSID nicht anzeigen.
Fast Transition WLAN-Netzwerke zwingen, den Standard IEEE802.11r zu verwenden.
HinweisDiese Funktion funktioniert nicht zwischenälteren Sophos Access Points und AccessPoints der Sophos APX Serie.
MAC-Filterung Legen Sie fest, welche MAC-Adressen sichmit dem WLAN-Netzwerk verbinden dürfen.Blacklists lassen alle MAC-Adressen zu außerdenen, die Teil der ausgewählten Liste sind.Whitelists verbieten alle MAC-Adressen außerdenen, die Teil der ausgewählten Liste sind.
6. Klicken Sie auf Speichern.
Gehen Sie zu WLAN > Access Points und fügen Sie das WLAN-Netzwerk zu einem Access Pointhinzu.
Copyright © 2018 Sophos Limited 185
XG Firewall
Zugehörige KonzepteWLAN-Netzwerke (Seite 182)Ein WLAN-Netzwerk bietet typische Verbindungseinstellungen für WLAN-Clients. Diese Einstellungenumfassen SSID, Sicherheitsmodus und die Methode zum Umgang mit Client-Verkehr.
11.4 Access PointsEin Wireless Access Point (WAP) ist ein Hardwaregerät, das WLAN-Clients erlaubt, sich mit IhremKabelnetzwerk zu verbinden. Die Firewall erhält die Konfigurations- und Statusinformationen von denAccess Points über eine AES-verschlüsselte Kommunikation. Verwenden Sie diese Einstellungen, umSophos Access Points zu erlauben, sich mit Ihrem Netzwerk zu verbinden, und um die Access Pointsin Ihrem Netzwerk zu verwalten.
HinweisDamit sich Access Points mit Ihrem WLAN-Netzwerk verbinden können, müssen Sie die Ports443, 80 und 123 öffnen.
• Um einem Access Point zu erlauben, sich mit Ihrem Netzwerk zu verbinden, wählen Sie einenAccess Point aus und klicken Sie auf Annehmen.
• Um einen Access Point zu löschen, nachdem er aus Ihrem Netzwerk entfernt wurde, wählen Sieeinen Access Point aus und klicken Sie auf Löschen.
Zugehörige AufgabenWLAN-Netzwerk zu Access Point hinzufügen (Seite 191)Wählen Sie ein WLAN-Netzwerk aus, das vom Access Point ausgestrahlt werden soll.
Verwandte InformationenNetzwerke: Integrierter WLAN-Access-PointWLAN-Access-PointsWireless Access Point Models and Specifications
11.4.1 Unterstützte Access Points
Hier sind alle unterstützten Access Points zusammen mit einigen Informationen aufgeführt.
Dedizierte Access Points
Name Standards Band Band fürMesh-Netzwerke
FCC-Geltungsbereich(hauptsächlichUSA)
ETSI-Geltungsbereich(hauptsächlichEuropa)
AP 15 802.11b/g/n 2,4 GHz 2,4 GHz Kanäle 1-11 Kanäle 1-13
AP 15C 802.11b/g/n 2,4/5 GHzDual-Bandoder Single-Radio
2,4 GHz Kanäle1-11, 36-48,149-165
Kanäle 1–13,36-48
186 Copyright © 2018 Sophos Limited
XG Firewall
Name Standards Band Band fürMesh-Netzwerke
FCC-Geltungsbereich(hauptsächlichUSA)
ETSI-Geltungsbereich(hauptsächlichEuropa)
AP 55 802.11a/b/g/n/ac
2,4/5 GHzDual-Bandoder Dual-Radio
2,4 GHz und5 GHz
Kanäle1-11, 36-64,100-140,149-165
Kanäle1-13, 36-64,100-116,132-140
AP 55C 802.11a/b/g/n/ac
2,4/5 GHzDual-Bandoder Dual-Radio
2,4 GHz und5 GHz
Kanäle1-11, 36-64,100-140,149-165
Kanäle1-13, 36-64,100-116,132-140
AP 100 802.11a/b/g/n/ac
2,4/5 GHzDual-Bandoder Dual-Radio
2,4 GHz und5 GHz
Kanäle1-11, 36-64,100-140,149-165
Kanäle1-13, 36-64,100-116,132-140
AP 100C 802.11a/b/g/n/ac
2,4/5 GHzDual-Bandoder Dual-Radio
2,4 GHz und5 GHz
Kanäle1-11, 36-64,100-140,149-165
Kanäle1-13, 36-64,100-116,132-140
APX 320 802.11a/b/g/n/ac-wave2
2,4/5 GHzDual-Bandoder Dual-Radio
(2.4 GHz & 5GHz unteresBand (CH36-CH-64))
oder
(5 GHzunteresBand (CH36-CH-64)& 5 GHzoberes Band(CH100-CH165))
2,4 GHz und5 GHz
Kanäle1-11, 36-64,100-140,149-165
Kanäle1-13, 36-64,100-116,132-140
APX 530 802.11a/b/g/n/ac-wave2
2,4/5 GHzDual-Bandoder Dual-Radio
2,4 GHz und5 GHz
Kanäle1-11, 36-64,100-140,149-165
Kanäle1-13, 36-64,100-116,132-140
APX 740 802.11a/b/g/n/ac-wave2
2,4/5 GHzDual-Bandoder Dual-Radio
2,4 GHz und5 GHz
Kanäle1-11, 36-64,100-140,149-165
Kanäle1-13, 36-64,100-116,132-140
Copyright © 2018 Sophos Limited 187
XG Firewall
Access Points für den Außenbereich
Name Standards Band Bandbreitefür Mesh-Netzwerke
FCC-Geltungsbereich(hauptsächlichUSA)
ETSI-Geltungsbereich(hauptsächlichEuropa)
AP 100X 802.11a/b/g/n/ac
2,4/5 GHzDual-Band/Dual-Radio
2,4 GHz Kanäle1-11, 36-64,100-116,132-140
Kanäle 1-13,100-116,132-140
11.4.2 Informationen zu Access Points
Sie können WLAN-Netzwerke zum Access Point hinzufügen, um separate WLAN-Netzwerkefür verschiedene Zonen anzubieten, zum Beispiel ein Unternehmensnetzwerk in Büros und einGästenetzwerk in öffentlichen Bereichen. Sie können den Access Point auch ein Mesh-Netzwerkausstrahlen lassen. Verwenden Sie diese Einstellungen, um Netzwerke auszuwählen und legen Sieerweiterte Einstellungen fest, wie z.B. Kanal, Sendeleistung und VLAN-Tagging.
• Um ein WLAN-Netzwerk zu einem Access Point hinzuzufügen, klicken Sie auf Neues Elementhinzufügen und wählen Sie eine WLAN-Netzwerk aus.
• Um ein Mesh-Netzwerk über den Access Point auszustrahlen, klicken Sie auf
,wählen Sie ein Netzwerk aus und legen Sie eine Rolle fest.
TippUm Netzwerkeinstellungen für mehr als einen Access Point gleichzeitig zu verwalten, verwendenSie Access-Point-Gruppen.
Access Point bearbeiten
ID Access-Point-ID (Seriennummer).
Bezeichner Bezeichner oder Identifikation des Access Pointsin Ihrem Netzwerk.
Land Land in dem sich der Access Point befindet. DieLändereinstellung bestimmt, welche Kanäle zurVerfügung stehen.
188 Copyright © 2018 Sophos Limited
XG Firewall
HinweisWenn Sie in Access Points der Sophos APXSerie das Land ändern, zeigt die Kanallistenur die Option Auto, bis Sie die Einstellungenspeichern. Darüber hinaus behält ein AccessPoint der Sophos APX Serie die zuvoreingestellte Kanalliste des Landes solange,bis er neu startet und aktiv ist.
Gruppe Gruppe, welcher der Access Point angehört.
Mesh-Netzwerke Wählen Sie die Mesh-Netzwerke aus, dievon dem Access Point ausgestrahlt werdensollen. Sie können auf dieser Seite auch APshinzufügen, die Mesh-Netzwerke übertragensollen, indem Sie auf Neu erstellen klicken.
HinweisDiese Option wird nur angezeigt, wenn einMesh-Netzwerk konfiguriert ist.
HinweisAlle Access Points außer AP 10 und AP 30können Mesh-Netzwerke ausstrahlen.
Erweiterte Einstellungen
Bridge ins Ethernet Einschalten, um den lokalen WLAN-Access-Point über eine Bridge mit dem Ethernet zuverbinden. Der bestehende DHCP-Server wirdfür den Bridge-Port verwendet. Falls kein DHCP-Server existiert, wird automatisch ein neuerServer erstellt. Wenn Sie es ausschalten, wird dieBridge gelöscht und alle Konfigurationen auf derphysikalischen Schnittstelle wiederhergestellt.
HinweisDiese Funktion ist ausschließlich in IP4-Konfigurationen verfügbar und ist nur aufSSIDs anwendbar, die zum Typ „Bridge insLAN“ gehören.
Bridge-Port Den Port für die Bridge-Verbindung wählen.
Copyright © 2018 Sophos Limited 189
XG Firewall
HinweisDie Schnittstelle muss eine IP-Adressehaben und sollte zu keinem WAN-Port odereiner anderen Bridge gehören. Bridgingzwischen VLAN-Schnittstelle und lokalemWLAN ist nicht erlaubt.
Zone Die Zone für die Bridge-Verbindung wählen. Siekönnen hier nicht die WAN-Zone auswählen.
Kanal 2,4 GHz/5 GHz Kanaleinstellungen für 2,4-GHz- und 5-GHz-Bänder.
HinweisWenn Sie Auto wählen, wird automatischder am wenigsten genutzte Kanal für dieÜbertragung verwendet. Dies verbessert dieÜbertragungsqualität und -geschwindigkeit.
HinweisBei APX 320 müssen beide Sender auf 5GHz eingestellt sein, um alle verfügbarenKanäle nutzen zu können.
Kanalbreite Wählen Sie die Kanalbreite für das 2,4-GHz-Band aus. Wenn Sie die Kanalbreite erhöhen,erhöht sich der Durchsatz in WLAN-Umgebungenmit niedriger Dichte und verringert sich inUmgebungen mit hoher Dichte.
Standard: 20 MHz
Kanalbreite 5 GHz Wählen Sie die Kanalbreite für das 5-GHz-Band aus. Wenn Sie die Kanalbreite erhöhen,erhöht sich der Durchsatz in WLAN-Umgebungenmit niedriger Dichte und verringert sich inUmgebungen mit hoher Dichte.
Standard: 40 MHz
Dyn. Kanal Ermöglicht dem Access Point regelmäßig nachdem besten Kanal zu suchen.
Zeitbasierter Scan (verfügbar, wenn Dyn.Kanal aktiviert ist)
Ermöglicht Ihnen, eine Zeit für die Suchefestzulegen.
Scanzeit auswählen (verfügbar, wennZeitbasierter Scan aktiviert ist)
Klicken Sie auf Neues Element hinzufügen undwählen Sie einen Zeitplan für den Scan.
TX Power Steuert die Sendeleistung ausgehenderÜbertragungen vom Router zur Antenne.Die Anpassung der Sendeleistung kann beiProblemen mit Abdeckung und Datenrateweiterhelfen. Durch Reduzieren der Leistung
190 Copyright © 2018 Sophos Limited
XG Firewall
wird die Reichweite verringert, um beispielsweiseInterferenzen zu minimieren.
TX Power 5 GHz Wählen Sie die Sendeleistung für den AP.
Standard: 100 %
STP Das Spanning Tree Protocol (STP) verhindertBridge-Loops.
VLAN-Tagging Verbindet den Access Point mit der angegebenenVLAN-Schnittstelle.
AP VLAN-ID VLAN-ID, die für das VLAN-Tagging verwendetwerden soll.
11.4.3 Anforderungen für VLAN-Tagging
Sie können einen Access Point einem WLAN-Netzwerk nur zuweisen, wenn die Client-Datenverkehr-Option des WLAN-Netzwerks und das VLAN-Tagging des Access Points kompatibel sind.
Beachten Sie folgende Anforderungen:
• Bei WLAN-Netzwerken, die als separate Zone konfiguriert sind, kann VLAN-Tagging für denAccess Point ein- oder ausgeschaltet werden.
• Bei WLAN-Netzwerken, die als Bridge in ein Access-Point-VLAN konfiguriert sind, muss VLAN-Tagging für den Access Point ausgeschaltet sein.
• Bei WLAN-Netzwerken, die als Bridge in ein VLAN konfiguriert sind, muss VLAN-Tagging fürden Access Point eingeschaltet sein. Die WLAN-Clients nutzen entweder die Bridge zur VLAN-ID, wie für das WLAN-Netzwerk angegeben, oder sie erhalten ihre VLAN-ID vom RADIUS-Server, falls einer angegeben ist.
11.4.4 WLAN-Netzwerk zu Access Point hinzufügen
Wählen Sie ein WLAN-Netzwerk aus, das vom Access Point ausgestrahlt werden soll.
1. Gehen Sie zu WLAN > Access Points und klicken Sie auf einen Access Point.
2. Klicken Sie im Listenfeld WLAN-Netzwerke auf Neues Element hinzufügen und wählen Sie einNetzwerk aus.
Zugehörige KonzepteWLAN-Netzwerke (Seite 182)Ein WLAN-Netzwerk bietet typische Verbindungseinstellungen für WLAN-Clients. Diese Einstellungenumfassen SSID, Sicherheitsmodus und die Methode zum Umgang mit Client-Verkehr.
Access Points (Seite 186)Ein Wireless Access Point (WAP) ist ein Hardwaregerät, das WLAN-Clients erlaubt, sich mit IhremKabelnetzwerk zu verbinden. Die Firewall erhält die Konfigurations- und Statusinformationen von denAccess Points über eine AES-verschlüsselte Kommunikation. Verwenden Sie diese Einstellungen, umSophos Access Points zu erlauben, sich mit Ihrem Netzwerk zu verbinden, und um die Access Pointsin Ihrem Netzwerk zu verwalten.
Copyright © 2018 Sophos Limited 191
XG Firewall
11.5 Suche nach unautorisierten APsEin unautorisierter (rogue) Access Point bezeichnet einen Access Point, der ohne Autorisierung mitIhrem Netzwerk verbunden ist. Angreifer können unautorisierte Access Points verwenden, um Verkehrmitzulesen und für andere Zwecke, z.B. Man-in-the-Middle-Angriffe. Sie können diese Bedrohungenumgehen, indem Sie die Access Points in Ihrem Netzwerk scannen und unautorisierte Access Pointsals solche markieren.
• Um Scans zeitlich zu planen, wählen Sie das Kontrollkästchen Vom System angestoßenen Scanplanen um, legen Sie einen Zeitplan fest und klicken Sie auf Übernehmen.
• Um Ihr Netzwerk auf unautorisierte Access Points zu scannen, klicken Sie auf Jetzt scannen.
• Um einen Access Point zu autorisieren, klicken Sie auf
.
• Um einen Access Point als unautorisierten Access Point zu markieren, klicken Sie auf
.
Zugehörige KonzepteZeitplan (Seite 490)Zeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.
11.6 Access-Point-GruppenMit Access-Point-Gruppen können Sie einer Gruppe von Access Points WLAN-Netzwerke zuweisenund VLAN-Tagging festlegen. Gruppen bieten eine bequeme Methode, WLAN-Netzwerke für mehrereAccess Points auf einmal zu verwalten.
HinweisWenn Sie eine Gruppe ausschalten, hören alle zugehörigen Access Points auf, die WLAN-Netzwerke auszustrahlen.
Allgemeine Einstellungen
WLAN-Netzwerke WLAN-Netzwerke, die zur Gruppe gehörensollen. Alle Netzwerke werden den Access Pointszugewiesen, die Sie angeben.
VLAN-Tagging Access Points mit der angegebenen VLAN-Ethernet-Schnittstelle verbinden.
Access Points Access Points, denen die angegebenen WLAN-Netzwerke zugewiesen werden.
192 Copyright © 2018 Sophos Limited
XG Firewall
Zugehörige AufgabenAccess-Point-Gruppe hinzufügen (Seite 193)
11.6.1 Access-Point-Gruppe hinzufügen
1. Gehen Sie zu WLAN > Access-Point-Gruppen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Klicken Sie unter WLAN-Netzwerke auf Neues Element hinzufügen und wählen Sie die WLAN-Netzwerke aus.
4. Legen Sie Einstellungen fest.
Option Beschreibung
VLAN-Tagging Access Points mit der angegebenen VLAN-Ethernet-Schnittstelle verbinden.
5. Klicken Sie unter Access Points auf Neues Element hinzufügen und wählen Sie die AccessPoints aus.
6. Klicken Sie auf Speichern.
Zugehörige KonzepteAccess-Point-Gruppen (Seite 192)Mit Access-Point-Gruppen können Sie einer Gruppe von Access Points WLAN-Netzwerke zuweisenund VLAN-Tagging festlegen. Gruppen bieten eine bequeme Methode, WLAN-Netzwerke für mehrereAccess Points auf einmal zu verwalten.
11.7 Mesh-NetzwerkeEin Mesh-Netzwerk ist eine Netzwerk-Topologie, in der jeder Knoten Daten für das Netzwerkweiterleitet, so dass sich das Netzwerk über einen großen Bereich erstrecken kann. In einem Mesh-Netzwerk können Access Points als Root- oder als Mesh-Knoten agieren. Sie können ein Mesh-Netzwerk als WLAN-Repeater oder als WLAN-Bridge einrichten.
Repeater-Konfiguration
Wenn ein Access Point startet, versucht er sich über eine LAN-Verbindung mit der Firewall zuverbinden. Wenn das funktioniert, nimmt er die Rolle des Root-Access-Points an. Wenn das nichtfunktioniert, nimmt er die Rolle eines Mesh-Access-Points and und tritt dem Netzwerk als Client bei.Mesh-Access-Points strahlen die SSID des Root-Access-Points aus.
Copyright © 2018 Sophos Limited 193
XG Firewall
Bridge-Konfiguration
In einer Bridge-Konfiguration können Sie ein Mesh-Netzwerk als eine WLAN-Verbindung zwischenzwei Ethernet-Netzwerken einsetzen. Um eine WLAN-Bridge herzustellen, verbinden Sie das zweiteEthernet-Segment physikalisch mit der Ethernet-Schnittstelle des Mesh-Access-Points.
Allgemeine Einstellungen
Mesh-ID Eindeutige ID für das Mesh-Netzwerk. AccessPoints suchen nach anderen, die dieselbe Mesh-ID bekanntgeben.
Frequenzband Band, auf dem das Mesh-Netzwerk operiert.
Access Points Access Points, die zum Mesh-Netzwerk gehörensollen.
Zugehörige AufgabenMesh-Netzwerk hinzufügen (Seite 194)Verwandte InformationenMesh-Netzwerk einrichten (Seite 204)Wir wollen ein Mesh-Netzwerk einrichten, das einen Root-Access-Point und einen Mesh-Access-Pointenthält.
11.7.1 Mesh-Netzwerk hinzufügen
Beim Einrichten eines Mesh-Netzwerks wird ein WPA2-Personal-Netzwerk mit einem zufälligerzeugten Zugangscode eingerichtet, der an alle Access Points verteilt wird, die gemäßKonfiguration die Mesh-ID senden.
1. Verbinden Sie alle Access Points, die Sie im Mesh-Netzwerk einsetzen wollen, mit der Firewallüber eine kabelgebundene LAN-Verbindung.
HinweisAlle Mesh-Access-Points in Ihrem Netzwerk müssen den gleichen Kanal verwenden.Vermeiden Sie dynamische Kanalauswahl, da sich die Kanäle nach einem Neustartunterscheiden können.
194 Copyright © 2018 Sophos Limited
XG Firewall
TippUm die Netzwerk-Effizienz zu maximieren, stellen Sie die SSID der Benutzer auf 5 GHz unddie Mesh-SSID auf 2,4 GHz ein.
2. Gehen Sie zu WLAN > Access Points und akzeptieren Sie alle ausstehenden Access Points, dieSie einsetzen wollen.
3. Gehen Sie zu WLAN > Mesh-Netzwerke und klicken Sie auf Hinzufügen.
4. Geben Sie eine Mesh-ID ein und wählen Sie ein Frequenzband aus.
5. Klicken Sie auf
,um einen Access Point auszuwählen, und legen Sie eine Rolle fest.
HinweisSie müssen mindestens einen Access Point als Root festlegen. Sie können entweder SophosAccess Points oder Access Points der Sophos APX Serie auswählen.
HinweisSie können kein Mesh-Netzwerk zwischen Sophos Access Points und Access Points der SerieSophos APX erstellen. Ebenso können Sie kein Mesh-Netzwerk mit Access Points der SerieSophos APX erstellen, wenn beide Sender das 5-GHz-Band verwenden.
HinweisSie brauchen keine Mesh-Netzwerk-Rolle für Access Points der Sophos APX Seriefestzulegen.
6. Fügen Sie bei Bedarf weitere Access Points hinzu.
7. Klicken Sie auf Speichern.
8. Trennen Sie die Mesh-Access-Points vom LAN und stellen Sie sie am gewünschten Ort auf.
9. Starten Sie die Access Points neu und warten Sie fünf Minuten.
Zugehörige KonzepteMesh-Netzwerke (Seite 193)Ein Mesh-Netzwerk ist eine Netzwerk-Topologie, in der jeder Knoten Daten für das Netzwerkweiterleitet, so dass sich das Netzwerk über einen großen Bereich erstrecken kann. In einem Mesh-Netzwerk können Access Points als Root- oder als Mesh-Knoten agieren. Sie können ein Mesh-Netzwerk als WLAN-Repeater oder als WLAN-Bridge einrichten.
11.7.2 Fehler in Mesh-Netzwerken beheben
Mesh-Netzwerk nicht benutzbar
Das Mesh-Netzwerk ist sichtbar, aber Clients können sich nicht mit dem Internet verbinden.
Ihr Netzwerk könnte falsch konfiguriert sein.
• Überprüfen Sie, ob Sie mindestens einen Root-Access-Point und einen Mesh-Access-Point haben.
• Stellen Sie sicher, dass der Root-Access-Point mit dem Netzwerk über eine kabelgebundene LAN-Verbindung verbunden ist.
Copyright © 2018 Sophos Limited 195
XG Firewall
• Überprüfen Sie, ob Ihre Mesh-Access-Points sich auf demselben Kanal befinden.
• Stellen Sie sicher, dass sich Access Points, die nicht Teil des Mesh-Netzwerks sind, auf einemanderen Kanal befinden.
Mesh-Netzwerk nicht sichtbar
Das Mesh-Netzwerk ist hergestellt, aber Clients können die Mesh-ID nicht sehen.
Es kann bis zu fünf Minuten dauern, bis das Mesh-Netzwerk nach der Konfiguration zur Verfügungsteht.
1. Starten Sie Ihre Access Points neu.
2. Warten Sie fünf Minuten, bis das Netzwerk erscheint.
Das Spanning Tree Protocol (STP) blockiert Ihre Mesh-Konfiguration.
1. Gehen Sie zu WLAN > Access Points und klicken Sie auf einen Access Point, der sich in IhremMesh-Netzwerk befindet.
2. Deaktivieren Sie STP.
3. Deaktivieren Sie STP für alle anderen Access Points in Ihrem Mesh-Netzwerk.
4. Starten Sie Ihre Access Points neu.
5. Warten Sie fünf Minuten, bis das Netzwerk erscheint.
Mesh-Access-Points fehlen im Netzwerk
Das Mesh-Netzwerk ist eingerichtet, aber Sie haben Verbindungsausfälle.
Einige Access Points könnten nicht mit dem Mesh-Netzwerk verbunden sein.
• Stelle Sie sicher, dass alle Mesh-Access-Points die Konfiguration besitzen. Um eine Konfigurationzu erhalten, müssen die Access Points anfänglich über eine kabelgebundene LAN-Verbindungverbunden sein. Nachdem die Konfiguration gespeichert ist, können Sie die Mesh-Access-Pointstrennen (außer einem) und sie neu starten.
• Stellen Sie sicher, dass das LAN-Kabel mit nur einem Mesh-Access-Point verbunden ist.
11.8 HotspotsEin Hotspot ist ein Netzwerkknoten, der eine Verbindung zum Internet mithilfe eines WLAN-Gerätswie z.B. einem WLAN-Router bereitstellt. Hotspots werden üblicherweise benutzt, um in öffentlichenBereichen Gastzugang anzubieten. Wenn Sie eine Schnittstelle zu einem Hotspot hinzufügen,verhalten sich die dazugehörigen Access Points als Hotspots. Hotspots unterstützen eine ganzePalette an Schutzfunktionen und Authentifizierungsmethoden.
Wenn Sie einen Hotspot hinzufügen, erstellt die Firewall eine entsprechende Firewallregel. Mitdieser Regel können Sie Richtlinien durchsetzen und Datenverkehr scannen.
HinweisIn einigen Regionen unterliegen öffentliche Hotspots Beschränkungen im Hinblick auf Inhalt undNutzung. Es könnte für Sie auch erforderlich sein, Ihren Hotspot zu registrieren. Bevor Sie einenHotspot einrichten, informieren Sie sich über die gültigen Gesetze.
Sie können Benutzer zu einem Captive-Portal oder einer Anmeldeseite umleiten, auf der Benutzerdie Nutzungsbedingungen annehmen oder sich mittels eines erzeugten Kennworts oder Vouchers
196 Copyright © 2018 Sophos Limited
XG Firewall
authentifizieren müssen. Nach der Anmeldung können Sie Benutzer zu einer bestimmten URLweiterleiten, zum Beispiel Ihrer Unternehmensseite.
Allgemeine Einstellungen
Zu HTTPS weiterleiten Datenverkehr über HTTPS umleiten, mithilfeder Standard-IP-Adresse oder dem festgelegtenHostnamen.
Nach der Anmeldung zu URL weiterleiten Benutzer nach der Anmeldung zur angegebenenSeite umleiten (z.B. Ihre Unternehmensseite).
Anpassung aktivieren Bieten Sie eine angepasste Anmeldeseite oderVoucher an.
Zugehörige AufgabenHotspot hinzufügen (Seite 197)Verwandte InformationenHotspot mit einer eigenen Anmeldeseite einrichten (Seite 210)Wir wollen einen Hotspot mit einer selbstdefinierten Anmeldeseite für den Endbenutzer erstellen.
11.8.1 Hotspot hinzufügen
1. Gehen Sie zu WLAN > Hotspots und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Klicken Sie unter Schnittstellen auf Neues Element hinzufügen und wählen Sie dieSchnittstellen für den Hotspot aus.
4. Wählen Sie Richtlinien nach Bedarf aus.
Option Beschreibung
Anwendungsfilter-Richtlinie Steuern Sie den Zugriff auf Anwendungenmithilfe der gewählten Richtlinie.
Internetrichtlinie Steuern Sie den Zugriff auf Internetinhaltemithilfe der gewählten Richtlinie.
IPS-Richtlinie Schützen Sie Ihr Netzwerk vor Angriffen mithilfeder gewählten Richtlinie.
Traffic-Shaping-Richtlinie Steuern Sie den Datenverkehr mithilfe dergewählten Richtlinie.
5. Legen Sie Einstellungen fest.
Option Beschreibung
Zu HTTPS weiterleiten Datenverkehr über HTTPS umleiten, mithilfeder Standard-IP-Adresse oder dem festgelegtenHostnamen.
6. Wählen Sie den Hotspot-Typ aus.
Copyright © 2018 Sophos Limited 197
XG Firewall
Option Beschreibung
Annahme der Nutzungsbedingungen Gewähren Sie Benutzern Zugang zum Internet,nachdem sie den Nutzungsbedingungenzugestimmt haben.
Sie können den Gültigkeitszeitraum für dieSitzung festlegen. Nach Ablauf der Zeitmüssen Benutzer den Nutzungsbedingungenerneut zustimmen.
Geben Sie die Nutzungsbedingungen in dasvorgegebene Feld ein.
Tageskennwort Gewähren Sie Benutzern Zugang zum Internetmithilfe eines erzeugten Kennworts.
Das Kennwort ist solange gültig bis einneues Kennwort entsprechend der gewähltenErstellungszeit erzeugt wird. Nachdem einneues Kennwort erzeugt wurde, werdenaktuelle Sitzungen beendet und Benutzermüssen sich mit dem neuen Kennwortanmelden.
Benutzer können das Kennwort imBenutzerportal finden. Außerdem habenSie die Möglichkeit, das Kennwort an dieangegebene E-Mail-Adresse zu senden.
Wenn Sie das Kennwort mit dem PSKdes WLAN-Netzwerks der gewähltenSchnittstellen synchronisieren, werdenalle entsprechenden Access Points neukonfiguriert und neu gestartet.
Legen Sie Administrator-Benutzer fest, diedas Kennwort ändern können.
Sie können von Benutzern auch verlangen,dass sie den Nutzungsbedingungenzustimmen. Geben Sie dieNutzungsbedingungen in das vorgegebeneFeld ein.
Voucher Gewähren Sie Benutzern Zugang zum Internetmithilfe der festgelegten Voucher-Definitionen.
Benutzer erhalten Voucher im Benutzerportal.
Legen Sie die Geräteanzahl fest, die sich miteinem einzigen Voucher verbinden können.
Legen Sie Administrator-Benutzer fest, dieVoucher erzeugen können.
Sie können von Benutzern auch verlangen,dass sie den Nutzungsbedingungenzustimmen. Geben Sie dieNutzungsbedingungen in das vorgegebeneFeld ein.
198 Copyright © 2018 Sophos Limited
XG Firewall
7. Legen Sie Einstellungen fest.
Option Beschreibung
Nach der Anmeldung zu URL weiterleiten Benutzer nach der Anmeldung zurangegebenen Seite umleiten (z.B. IhreUnternehmensseite).
8. Wenn Sie eine selbstdefinierte Anmeldeseite oder Voucher bereitstellen wollen, klicken Sie auf denSchalter Anpassung aktivieren und legen Sie eine Art der Anpassung fest.
• Wählen Sie Komplett aus und laden Sie eine Anmeldeseitenvorlage und Formatvorlage hoch.
• Wählen Sie Grundlegend aus und legen Sie Einstellungen fest. Mit den grundlegendenAnpassungen können Sie ein Logo auswählen und selbstdefinierten Text festlegen, derBenutzern angezeigt werden soll.
Option Beschreibung
Logo Bilddatei, die auf der Anmeldeseite angezeigtwerden soll. Unterstützt werden folgendeBilddateitypen: jpg, jpeg, png und gif. Einemaximale Bildbreite von 300 Pixel und eineHöhe von 100 Pixel ist empfehlenswert.
Logo auf empfohlene Seite skalieren Verkleinern Sie das Logo auf die empfohleneGröße, falls es die empfohlene Größeüberschreitet.
Titel Hauptüberschrift (Banner) auf derAnmeldeseite.
Eigener Text Zusätzlicher Text, der auf der Anmeldeseiteangezeigt werden soll, z.B. die Netzwerk-SSID.Einfache HTML-Anweisungen und Links sindzulässig.
Voucher-Vorlage Laden Sie eine Voucher-Vorlage hoch.
9. Klicken Sie auf Speichern.
Zugehörige KonzepteHotspots (Seite 196)Ein Hotspot ist ein Netzwerkknoten, der eine Verbindung zum Internet mithilfe eines WLAN-Gerätswie z.B. einem WLAN-Router bereitstellt. Hotspots werden üblicherweise benutzt, um in öffentlichenBereichen Gastzugang anzubieten. Wenn Sie eine Schnittstelle zu einem Hotspot hinzufügen,verhalten sich die dazugehörigen Access Points als Hotspots. Hotspots unterstützen eine ganzePalette an Schutzfunktionen und Authentifizierungsmethoden.
11.8.2 Anmeldeseitenvorlage
Eine Anmeldeseitenvorlage enthält Zugangsinformationen und Formulare, die erforderlich sind, damitBenutzer sich über einen Hotspot an Ihrem Netzwerk anmelden können. Anmeldeseiten sind in HTMLgeschrieben und enthalten Variablen, die während der Erzeugung der Seite ersetzt werden. Siekönnen auch Blöcke mit Bedingungen erstellen, die nur eingeblendet werden, wenn die vorgegebenenBedingungen erfüllt sind. Weitere Beispiele für die Verwendung von Anmeldeseitenvorlagen finden Sieunter WLAN > Hotspot-Einstellungen.
Copyright © 2018 Sophos Limited 199
XG Firewall
Tabelle 12: Variablen
Name Definition
<?admin_message?> „Bei administrativen Fragen wenden Sie sich bitte an:“
<?admin_contact?> Benachrichtigungen an die E-Mail-Adresse senden, dieunter Verwaltung > Benachrichtigungseinstellungenangegeben ist.
<?asset_path?> Verzeichnis, in dem Bilder und Formatvorlagen für dievollständige Anpassung gespeichert sind. Beispiel:<img src="<?asset_path?>/logo.png">.
<?company_logo?> Das Firmenlogo, das in der Basis-Anpassungverwendet werden soll und unter WLAN > Hotspotsangegeben ist.
<?company_text?> Standard-Unternehmenstext, wie er unter WLAN >Hotspots angegeben ist.
<?error?> Fehler, der nach einem Anmeldeversuchzurückgegeben wurde
<?location?> URL, die der Nutzer angefragt hat
<?location_host?> Hostname der URL, die der Nutzer angefragt hat
<?login_form?> Anmeldeformular, das sich für den Hotspot-Typ eignet,z.B. Benutzername- und Kennwort-Textfelder, einToken-Textfeld oder ein „Annehmen“-Kontrollkästchen.
<?maclimit?> Anzahl an Geräten, die je Voucher zugelassen sind,wie unter WLAN > Hotspots angegeben.
<?numdevices?> Anzahl an Geräten, die den Voucher benutzen, wie inder Vorlage angegeben.
<?redirect_host?> Umleitungs-URL wie unter WLAN > Hotspotsangegeben.
<?terms?> Nutzungsbedingungen wie unter WLAN > Hotspotsangegeben.
<?time_total?> Vom Voucher gewährte Gesamtzeit des Kontingents,wie unter WLAN > Hotspot-Voucher-Definitionangegeben.
<?timeend?> Im Voucher festgelegter Gültigkeitszeitraum, wie unterWLAN > Hotspot-Voucher-Definition angegeben.
<?traffic_total?> Vom Voucher gewährte Gesamtdatenmenge, wie unterWLAN > Hotspot-Voucher-Definition angegeben.
Tabelle 13: Bedingungsblöcke
Name Definition
<?if_loggedin?> Abschnitt wird angezeigt, wenn der Benutzer sicherfolgreich angemeldet hat.
<?if_notloggedin?> Abschnitt wird angezeigt, wenn sich der Benutzernoch nicht angemeldet hat, z. B. wenn dieNutzungsbedingungen angenommen werden müssenoder wenn ein Fehler aufgetreten ist.
<?if_authtype_password?> Abschnitt wird angezeigt, wenn der Hotspot-Typ„Tageskennwort“ ist.
200 Copyright © 2018 Sophos Limited
XG Firewall
Name Definition
<?if_authtype_disclaimer?> Abschnitt wird angezeigt, wenn der Hotspot vom Typ„Annahme der Nutzungsbedingungen“ ist.
<?if_authtype_token?> Abschnitt wird angezeigt, wenn der Hotspot vom Typ„Voucher“ ist.
<?if_location?> Abschnitt wird angezeigt, wenn der Benutzerumgeleitet wurde.
<?if_redirect_url?> Abschnitt wird angezeigt, wenn Nach der Anmeldungzu URL weiterleiten eingeschaltet ist.
<?if_not_redirect_url?> Abschnitt wird angezeigt, wenn Nach der Anmeldungzu URL weiterleiten ausgeschaltet ist.
<?if_timelimit?> Abschnitt wird angezeigt, wenn für einen Voucher einGültigkeitszeitraum festgelegt ist.
<?if_trafficlimit?> Abschnitt wird angezeigt, wenn für einen Voucher einDatenlimit festgelegt ist.
<?if_timequota?> Abschnitt wird angezeigt, wenn für einen Voucher einZeitkontingent festgelegt ist.
<?if_maclimit?> Abschnitt wird angezeigt, wenn ein Wert für Geräte jeVoucher festgelegt ist.
<?if_terms?> Abschnitt wird angezeigt, wennNutzungsbedingungen eingeschaltet ist undNutzungsbedingungen festgelegt sind.
<?if_error?> Abschnitt wird angezeigt, wenn während einesAnmeldeversuchs ein Fehler aufgetreten ist.
Eigene Anmeldeformulare
Sie können ein Anmeldeformular erstellen, statt die vordefinierte Variable <?login_form?> zuverwenden.
Schließen Sie das Formular in folgende Tags ein:
<form action="?action=login" method="POST"> ... </form>
Fügen Sie für einen Hotspot des Typs „Annahme der Nutzungsbedingungen“ ein Auswahlkästchenzum Annehmen hinzu:
<input type="checkbox" name="accept" value="true">
Fügen Sie für Hotspots des Typs „Tageskennwort“ oder Voucher ein Token-Textfeld hinzu:
<input type="text" name="token">
Fügen Sie eine Funktion zum Senden des Formulars hinzu, z.B. eine Anmelde-Schaltfläche:
<input type="submit" name="login" value="Login">
Copyright © 2018 Sophos Limited 201
XG Firewall
11.8.3 Voucher-Vorlage
Eine Voucher-Vorlage enthält Informationen wie Zeit und Nutzungszuweisungen. Voucher werdenBenutzern zur Verfügung gestellt, die Zugriff auf Ihr Netzwerk über einen Hotspot mit Voucher-Konfiguration anfordern. Sie können eine Voucher-Vorlage erstellen, indem Sie Ihr bevorzugtes Seiten-Layout oder Textverarbeitungsprogramm verwenden und als PDF abspeichern. Vorlagen unterstützenVariablen, die während der Voucher-Erzeugung ersetzt werden. Weitere Beispiele für die Verwendungvon Voucher-Vorlagen finden Sie unter WLAN > Hotspot-Einstellungen.
Tabelle 14: Variablen
Name Definition
<?ssid0?><?ssid1?>, <?ssid2?>, ... WLAN-Netzwerk-SSID(s) wie unter WLAN-Netzwerkefestgelegt.
<?psk0?><?psk1?>, <?psk2?>, ... WLAN-Netzwerk-Kennwort/PSK(s) wie unter WLAN-Netzwerke festgelegt.
<?code?> Voucher-Code
<?validity?> Voucher-Gültigkeitszeitraum wie unter Hotspot-Voucher-Definition festgelegt.
<?datalimit?> Voucher-Datenmenge wie unter Hotspot-Voucher-Definition festgelegt.
<?timelimit?> Voucher-Zeitkontingent wie unter Hotspot-Voucher-Definition festgelegt.
<?comment?> Beschreibung wie unter Hotspot-Voucher-Definitionfestgelegt.
<?qr0?> QR-Code mit kodierten Hotspot-Zugangsdaten
Empfehlungen
• Platzieren Sie jede Variable in einer separaten Zeile.
• Verwenden Sie nur Standard-Systemschriften.
• Legen Sie den Zeichensatz in der letzten Zeile Ihrer PDF-Datei fest. Diese Zeichenfolge wirdwährend der Voucher-Erzeugung entfernt. Weitere Informationen finden Sie in der Beispiel-Vorlage.
11.9 Hotspot-EinstellungenVerwenden Sie diese Einstellungen, um verschiedene Hotspot-Einstellungen zu konfigurieren, wie z.B.Löschoptionen und Zertifikate, die für die HTTPS-Authentifizierung verwendet werden sollen.
• Um abgelaufene Voucher aus der Datenbank zu löschen, schalten Sie Abgelaufene Voucherlöschen ein, legen Sie ein Intervall fest und klicken Sie auf Übernehmen.
• Um ein Zertifikat für HTTPS-Anmeldung zu verwenden, wählen Sie ein Zertifikat und klicken Sieauf Übernehmen.
202 Copyright © 2018 Sophos Limited
XG Firewall
• Um Netzwerke festzulegen, auf die Benutzer zugreifen dürfen, welche keine Anmeldungdurchführen, klicken Sie auf Neues Element hinzufügen, wählen Sie Netzwerke oder Hosts ausund klicken Sie auf Übernehmen.
Vorlagen herunterladen
Sie können Anmeldeseitenvorlagen und Voucher-Vorlagen herunterladen und sie verändern, umIhren Anforderungen an den Markenauftritt und Sicherheitsanforderungen anzupassen.
11.10 Hotspot-Voucher-DefinitionHotspot-Voucher-Definitionen regeln den Netzwerkzugriff. Sie können Voucher-Definitionenverwenden, um die Gültigkeitsdauer, das Zeitkontingent und das Datenvolumen von Benutzern zubeschränken, die Zugang zu Hotspots mit dem Typ Voucher haben.
Allgemeine Einstellungen
Gültigkeitszeitraum Zeitraum, für die Voucher mit diesem Typ gültigsein sollen. Der Zeitraum beginnt mit der erstenAnmeldung.
Zeitkontingent Maximale Verbindungszeit für Voucher diesenTyps. Das Zeitkontingent beginnt mit derAnmeldung und endet bei der Abmeldung. DieZeitmessung wird nach fünf Minuten Inaktivitätangehalten.
Datenmenge Maximales Datenvolumen, das für Voucherdiesen Typs übertragen werden darf.
Zugehörige AufgabenHotspot-Voucher-Definition hinzufügen (Seite 203)Verwandte InformationenGastzugang mithilfe eines Hotspot-Vouchers bieten (Seite 211)Wir wollen Gastbenutzern erlauben, mithilfe eines Vouchers auf ein WLAN-Netzwerk zuzugreifen.
11.10.1 Hotspot-Voucher-Definition hinzufügen
1. Gehen Sie zu WLAN > Hotspot-Voucher-Definition und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Gültigkeitszeitraum Zeitraum, für die Voucher mit diesem Typ gültigsein sollen. Der Zeitraum beginnt mit der erstenAnmeldung.
Zeitkontingent Maximale Verbindungszeit für Voucher diesenTyps. Das Zeitkontingent beginnt mit derAnmeldung und endet bei der Abmeldung. Die
Copyright © 2018 Sophos Limited 203
XG Firewall
Option Beschreibung
Zeitmessung wird nach fünf Minuten Inaktivitätangehalten.
Datenmenge Maximales Datenvolumen, das für Voucherdiesen Typs übertragen werden darf.
4. Klicken Sie auf Speichern.
Zugehörige KonzepteHotspot-Voucher-Definition (Seite 203)Hotspot-Voucher-Definitionen regeln den Netzwerkzugriff. Sie können Voucher-Definitionenverwenden, um die Gültigkeitsdauer, das Zeitkontingent und das Datenvolumen von Benutzern zubeschränken, die Zugang zu Hotspots mit dem Typ Voucher haben.
11.11 Mesh-Netzwerk einrichtenWir wollen ein Mesh-Netzwerk einrichten, das einen Root-Access-Point und einen Mesh-Access-Pointenthält.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Access Points verbinden, sodass sie eine Mesh-Konfiguration empfangen können.
• Ein Mesh-Netzwerk mit einem Root-Access-Point und einem Mesh-Access-Point konfigurieren.
Zugehörige KonzepteMesh-Netzwerke (Seite 193)Ein Mesh-Netzwerk ist eine Netzwerk-Topologie, in der jeder Knoten Daten für das Netzwerkweiterleitet, so dass sich das Netzwerk über einen großen Bereich erstrecken kann. In einem Mesh-Netzwerk können Access Points als Root- oder als Mesh-Knoten agieren. Sie können ein Mesh-Netzwerk als WLAN-Repeater oder als WLAN-Bridge einrichten.
Verbinden Sie Access Points mit der Firewall.
1. Verbinden Sie alle Access Points, die Sie im Mesh-Netzwerk einsetzen wollen, mit der Firewallüber eine kabelgebundene LAN-Verbindung.
HinweisAlle Mesh-Access-Points in Ihrem Netzwerk müssen den gleichen Kanal verwenden.Vermeiden Sie dynamische Kanalauswahl, da sich die Kanäle nach einem Neustartunterscheiden können.
TippUm die Netzwerkeffizienz zu maximieren, stellen Sie den Root-Access-Point auf 5 GHz unddie Mesh-Access-Points auf 2,4 GHz.
204 Copyright © 2018 Sophos Limited
XG Firewall
2. Gehen Sie zu WLAN > Access Points und akzeptieren Sie alle ausstehenden Access Points, dieSie einsetzen wollen.
Mesh-Netzwerk erstellen und Access Points konfigurieren
1. Gehen Sie zu WLAN > Mesh-Netzwerke und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Mesh-ID <Mein Mesh-Netzwerk>
Frequenzband 5 GHz
3. Klicken Sie auf
und legen Sie die Einstellungen fest.
Option Beschreibung
Access Points <AP>
Rolle Root-Access-Point
HinweisSie müssen mindestens einen Access Point als Root-Access-Point und einen als Mesh-Access-Point festlegen.
HinweisSie können kein Mesh-Netzwerk zwischen Sophos Access Points und Access Points der SerieSophos APX. Ebenso können Sie kein Mesh-Netzwerk mit Access Points der Serie SophosAPX erstellen, wenn beide Sender das 5-GB-Band verwenden.
4. Fügen Sie mindestens einen weiteren Access Point hinzu.
5. Klicken Sie auf Speichern.Die Mesh-Access-Points können nun vom Kabelnetzwerk getrennt werden.
6. Trennen Sie die Mesh-Access-Points vom Kabelnetzwerk und positionieren Sie sie amgewünschten Ort.
7. Starten Sie die Access Points neu und warten Sie fünf Minuten.
11.12 WLAN-Netzwerk als separate ZoneeinsetzenWir wollen ein WLAN-Netzwerk für Gäste erstellen, das IP-Adressen aus einem festgelegten Bereichbezieht. Wir wollen den Zugriff durch Hosts verhindern, die als Quellen von Schadprogrammenbekannt sind.
Copyright © 2018 Sophos Limited 205
XG Firewall
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Eine designierte WLAN-Zone vor Bedrohungen und Schadprogrammen schützen
• Ein Gast-WLAN-Netzwerk für eine Zone erstellen und dem Netzwerk einen Adressbereichzuweisen
• Netzwerkzugriff durch angegebene Hosts verhindern
• Einen DHCP-Server für das Netzwerk erstellen, sodass Hosts eine IP-Adresse und Gatewayerhalten können
• Das Netzwerk einem Access Point zuweisen
Zugehörige KonzepteWLAN-Netzwerke (Seite 182)Ein WLAN-Netzwerk bietet typische Verbindungseinstellungen für WLAN-Clients. Diese Einstellungenumfassen SSID, Sicherheitsmodus und die Methode zum Umgang mit Client-Verkehr.
DHCP (Seite 359)Die Firewall unterstützt das Dynamic Host Configuration Protocol wie in RFC 2131 (IPv4) und RFC3315 (IPv6) definiert. Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen. Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung fürClients durchführen, die nicht im gleichen Subnetz wie der DHCP-Server sind. Sie können auch Lease-Einträge ansehen.
WLAN-Zone vor Bedrohungen und Schadprogrammenschützen
1. Gehen Sie zu WLAN > WLAN-Einstellungen.
2. Klicken Sie auf den Schalter An/Aus, um Wireless Protection einzuschalten.
3. Klicken Sie in der Liste der zugelassenen Zonen auf Neues Element hinzufügen und aktivierenSie das Kontrollkästchen WLAN.
4. Klicken Sie auf Ausgewählte Elemente übernehmen.
Die Firewall scannt Datenverkehr in der ausgewählten Zone nach Bedrohungen undSchadprogrammen.
206 Copyright © 2018 Sophos Limited
XG Firewall
Hostliste erstellen, die blockiert werden soll
1. Gehen Sie zu Hosts und Dienste > MAC-Host und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Name Unerlaubte Hosts
Typ MAC-Liste
MAC-Adresse 00:16:76:49:33:CE, 00-16-76-49-33-CE
WLAN-Netzwerk als separate Zone erstellen
1. Gehen Sie zu WLAN > WLAN-Netzwerke und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Name Gast
SSID Gast
Sicherheitsmodus WPA2 Personal
Client-Verkehr Separate Zone
Zone WLAN
IP-Adresse 192.0.2.1
Netzmaske /24 (255.255.255.0)
3. Geben Sie ein Kennwort ein und bestätigen Sie es.
4. Klicken Sie auf Erweiterte Einstellungen und legen Sie die Einstellungen fest.
Option Beschreibung
MAC-Filterung Blacklist
MAC-Liste Unerlaubte Hosts
Die Firewall besitzt ein festgelegtes WLAN-Netzwerk und eine passende virtuelle Schnittstelle.Wenn Gäste auf das Netzwerk zugreifen, wird Ihnen eine IP-Adresse aus dem angegebenenAdressbereich zugewiesen. Geräte auf der Blacklist können nicht auf das Netzwerk zugreifen.
DHCP-Server erstellen
1. Gehen Sie zu Netzwerk > DHCP.
2. Klicken Sie Hinzufügen in der Serverliste.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Name Gast DHCP
Copyright © 2018 Sophos Limited 207
XG Firewall
Option Beschreibung
Schnittstelle Gast
Anfangs-IP 192.0.2.2
End-IP 192.0.2.255
Subnetzmaske /24 (255.255.255.0)
Domänenname guest.example.com
Gateway Schnittstellen-IP als Gateway verwenden
Standard-Lease-Zeit 1440
Maximale Lease-Zeit 2880
Konflikterfassung Aktivieren
DNS-Server DNS-Einstellungen von XG Firewall verwenden
Gästen, die auf das Gastnetzwerk zugreifen, wird nun eine IP-Adresse aus dem angegebenenAdressbereich zugewiesen.
WLAN-Netzwerk zu Access Point hinzufügen
1. Gehen Sie zu WLAN > Access Points und klicken Sie auf einen aktiven Access Point.
2. Wählen Sie das Land aus, in dem sich der Access Point befindet.
3. Klicken Sie in der WLAN-Netzwerk-Liste auf Neues Element hinzufügen und wählen Sie dasangeforderte Netzwerk aus.
Das Netzwerk ist nun eingerichtet.
11.13 WLAN-Netzwerk als Bridge in ein Access-Point-LAN einrichtenWir wollen, dass WLAN-Clients den gleichen Adressbereich verwenden wie ein Access-Point-LAN.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Ein WLAN-Netzwerk erstellen, das über eine Bridge mit einem Access-Point-LAN verbundenwerden soll.
• Sicherstellen, dass Geräte auf der Blacklist nicht auf das Netzwerk zugreifen können.
• Das Netzwerk einem Access Point zuweisen
• Eine Bridge-Schnittstelle erstellen
Zugehörige KonzepteWLAN-Netzwerke (Seite 182)Ein WLAN-Netzwerk bietet typische Verbindungseinstellungen für WLAN-Clients. Diese Einstellungenumfassen SSID, Sicherheitsmodus und die Methode zum Umgang mit Client-Verkehr.
208 Copyright © 2018 Sophos Limited
XG Firewall
WLAN-Netzwerk als Bridge ins AP-LAN erstellen
1. Gehen Sie zu WLAN > WLAN-Netzwerke und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Name Bridge
SSID Bridge
Sicherheitsmodus WPA2 Personal
Client-Verkehr Bridge ins AP-LAN
3. Geben Sie ein Kennwort ein und bestätigen Sie es.
4. Klicken Sie auf Erweiterte Einstellungen und legen Sie die Einstellungen fest.
Option Beschreibung
MAC-Filterung Blacklist
MAC-Liste Unerlaubte Hosts
Die Firewall besitzt ein festgelegtes WLAN-Netzwerk und eine passende virtuelle Schnittstelle.Geräte auf der Blacklist können nicht auf das Netzwerk zugreifen.
WLAN-Netzwerk zu Access Point hinzufügen
1. Gehen Sie zu WLAN > Access Points und klicken Sie auf einen aktiven Access Point.
2. Wählen Sie das Land aus, in dem sich der Access Point befindet.
3. Klicken Sie in der WLAN-Netzwerk-Liste auf Neues Element hinzufügen und wählen Sie dasangeforderte Netzwerk aus.
Das Netzwerk ist nun eingerichtet.
Bridge-Schnittstelle erstellen
1. Gehen Sie zu Netzwerk > Schnittstelle.
2. Klicken Sie auf Schnittstelle hinzufügen und wählen Sie Bridge hinzufügen.
3. Legen Sie die folgenden Einstellungen fest.
Option Beschreibung
Name Bridge-Schnittstelle
Schnittstelle Port1 > LAN
Schnittstelle Port2 > WiFi
Anfangs-IP <IP-Adresse>
End-IP <IP-Adresse>
Subnetzmaske /24 (255.255.255.0)
Copyright © 2018 Sophos Limited 209
XG Firewall
Option Beschreibung
Domänenname site.example.com
Gateway Schnittstellen-IP als Gateway verwenden
Clients, die auf das Gastnetzwerk zugreifen, wird nun eine IP-Adresse aus dem angegebenenAdressbereich zugewiesen.
11.14 Hotspot mit einer eigenen AnmeldeseiteeinrichtenWir wollen einen Hotspot mit einer selbstdefinierten Anmeldeseite für den Endbenutzer erstellen.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Einen Hotspot erstellen
• Die Anmeldeseitenvorlage anpassen
Zugehörige KonzepteHotspots (Seite 196)Ein Hotspot ist ein Netzwerkknoten, der eine Verbindung zum Internet mithilfe eines WLAN-Gerätswie z.B. einem WLAN-Router bereitstellt. Hotspots werden üblicherweise benutzt, um in öffentlichenBereichen Gastzugang anzubieten. Wenn Sie eine Schnittstelle zu einem Hotspot hinzufügen,verhalten sich die dazugehörigen Access Points als Hotspots. Hotspots unterstützen eine ganzePalette an Schutzfunktionen und Authentifizierungsmethoden.
Einen Hotspot erstellen
1. Gehen Sie zu WLAN > Hotspots und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Klicken Sie in der Schnittstellenliste auf Neues Element hinzufügen und wählen Sie dieerforderliche Schnittstelle aus.
4. Klicken Sie auf Ausgewählte Elemente übernehmen.
5. Klicken Sie auf Speichern.
Anmeldeseitenvorlage anpassen
1. Gehen Sie zu WLAN > Hotspot-Einstellungen.
2. Klicken Sie auf Anmeldeseitenvorlage, um diese herunterzuladen.
3. Passen Sie die Vorlage an.
4. Gehen Sie zu WLAN > Hotspots und klicken Sie auf den erforderlichen Hotspot.
5. Legen Sie Einstellungen fest.
210 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Anpassung ermöglichen Aktivieren
Art der Anpassung Komplett
Anmeldeseitenvorlage Suchen
Bilder/Formatvorlage Suchen und Hochladen
11.15 Gastzugang mithilfe eines Hotspot-VouchersbietenWir wollen Gastbenutzern erlauben, mithilfe eines Vouchers auf ein WLAN-Netzwerk zuzugreifen.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Voucher-Definition erstellen
• Hotspot erstellen, der Zugriff mithilfe eines Vouchers zulässt
Zugehörige KonzepteHotspot-Voucher-Definition (Seite 203)Hotspot-Voucher-Definitionen regeln den Netzwerkzugriff. Sie können Voucher-Definitionenverwenden, um die Gültigkeitsdauer, das Zeitkontingent und das Datenvolumen von Benutzern zubeschränken, die Zugang zu Hotspots mit dem Typ Voucher haben.
Voucher-Definition erstellen
1. Gehen Sie zu WLAN > Hotspot-Voucher-Definition und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Name 1 Woche, 5 GB
Gültigkeitszeitraum 7 Tage
Datenmenge 5 GB
Nun haben Sie einen Voucher, der für sieben Tage gültig ist, mit 5 GB Datenvolumen.
Voucher-Hotspot erstellen
1. Gehen Sie zu WLAN > Hotspots und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Name Gäste
Copyright © 2018 Sophos Limited 211
Option Beschreibung
Schnittstellen GuestAP
Hotspot-Typ Voucher
Voucher-Definitionen 1 Woche, 5 GB
Administrative Benutzer Gastgruppe
Kapitel 12
12 E-MailDiese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Auf der Registerkarte „E-Mail“ können Sie SMTP/S-, POP/S- und IMAP/S-Einstellungen, E-Mail-Sicherheitsrichtlinien, Secure PDF eXchange (SPX)- und Datenkontrolle konfigurieren.
Die Appliance bietet umfassende E-Mail-Sicherheit, indem sie hochentwickelte Formen von Zero-Hour-Bedrohungen und gemischten Angriffe verhindert, einschließlich Spam, Botnets, Phishing,Spyware usw. Die Email Protection-Basiskonfiguration beinhaltet:
• Das Erstellen von Richtlinien, um E-Mail-Verkehr von und zu Ihrem Mailserver zu erlauben oder zuverbieten.
• Spam-, Schadprogramm-, Daten- und Dateischutz auf E-Mail-Verkehr anwenden.
• SPX
• Konfiguration einer maximalen E-Mail-Größe für Scans
• Festlegung von Maßnahmen, die ergriffen werden, wenn ein Virus entdeckt wird
• Blockieren von E-Mails basierend auf Absender oder Empfänger
• Blockieren von E-Mails mit bestimmten Dateitypen
SMTP-Einsatzmodi
Zwei Einsatzmodi stehen zur Verfügung:
• Legacy-Modus
• MTA-Modus
Legacy-Modus
Im Legacy-Modus agiert Sophos XG Firewall als ein transparenter Proxy, der E-Mails aufSchadprogramme und Spam scannt, SPX-Verschlüsselung und Datenschutz einsetzt.
MTA-Modus
Im MTA-Modus agiert Sophos XG Firewall als Mail-Transfer-Agent (MTA). MTA ist ein Dienst, derdafür verantwortlich ist, E-Mails zu empfangen und an die angegebenen Ziele weiterzuleiten.
Verwenden Sie den MTA-Einsatzmodus, wenn Sie E-Mails routen müssen, anstatt E-Mail-Verkehrals Proxy weiterzuleiten.
Im MTA-Modus führt Sophos XG Firewall folgende Funktionen aus:
• Führt die Weitergabe und das Routing von E-Mails aus. Das Relay von E-Mails können Sie unterE-Mail > Relay-Einstellungen konfigurieren.
• Schützt mehrere Mailserver mithilfe von SMTP-Richtlinien. Sie können den Schutz für Ihre E-Mail-Domänen unter E-Mail > Richtlinien > SMTP-Richtlinien festlegen.
• Zeigt E-Mails, die entweder warten oder deren Auslieferung fehlgeschlagen ist, unter E-Mail >Mail-Spool an.
• Zeigt Protokolle aller E-Mails an, die von der Appliance verarbeitet wurden (E-Mail > E-Mail-Protokolle.
XG Firewall
12.1 MTA-Modus
12.1.1 Richtlinien und Ausnahmen
Mit Richtlinien und Ausnahmen können Sie das Routen von E-Mails verwalten sowie Spam-,Schadprogramm-, Datei- und Datenschutz. Sie können Ausnahmen von Prüfungen für bestimmteAbsender und Empfänger erstellen. Sie können SMTP- und POP-IMAP-Richtlinien festlegen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email-Protection-Abonnement aktiviert.
Der MTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.
• Um eine neue SMTP-Richtlinie hinzuzufügen, klicken Sie auf Richtlinie hinzufügen und klickenSie dann auf SMTP-Route & -Scan.
• Um eine neue POP-IMAP-Richtlinie hinzuzufügen, klicken Sie auf Richtlinie hinzufügen undklicken Sie dann auf POP-IMAP-Scan.
• Um eine Richtlinie zu bearbeiten, klicken Sie auf
.
SMTP-Routing- und -Scanrichtlinien
SMTP-Routing- und -Scanrichtlinien können verwendet werden, um mehrere Domänen auf Ihreminternen Mailserver zu schützen. Wenn Sie diese Richtlinien verwenden, schützt die Firewall Servervor Remote-Angriffen und stellt Virenscans, E-Mail-Verschlüsselung und E-Mail-Filterdienste bereit.
POP-IMAP-Scanrichtlinien
XG Firewall wendet die Standard-POP-IMAP-Scan-Richtlinie (default-pop-av) auf POP3/S- undIMAP/S-Verkehr an, wobei mit Viren infizierte Anhänge von E-Mails entfernt werden und der E-Mail-Textkörper durch eine Benachrichtigung ersetzt wird.
Die Spam-Quarantäne speichert automatisch Spam-E-Mails. Benutzer können ihren isolierten Spamund wahrscheinlichen Spam verwalten.
Erkennung von Spam-Attributen
Die Appliance nutzt Inhaltsfilterung sowie Premium- und Standard Realtime Blackhole Lists RBLy,um SMTP/S-, POP3/S- und IMAP/S-E-Mails auf Spam-Attribute zu prüfen.
RBL ist eine Liste von IP-Adressen, welche entweder direkt für Spamverbreitung verantwortlich sindoder indirekt, indem Sie als Spam-Relay gekapert wurden. Die Firewall gleicht die verbindende IP-Adresse mit jeder RBL ab. Wenn die IP-Adresse in der Liste gefunden wird, führt die Firewall dieMaßnahme durch, die in der Richtlinie festgelegt ist.
SMTP-Routing und -Scanrichtlinie hinzufügen
214 Copyright © 2018 Sophos Limited
XG Firewall
SMTP-Routing und -Scanrichtlinien werden nur angezeigt, wenn der MTA-Modus (MailTransfer Agent) aktiviert ist. Der MTA-Modus ist nur verfügbar in Sophos Firewall XG105,Cyberoam CR25iNG, Sophos UTM SG105 und höheren Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
SMTP-Routing und -Scanrichtlinie ermöglicht es Ihnen, E-Mails vor Spam und Schadprogrammen zuschützen, E-Mails mit SPX zu verschlüsseln, und bietet Schutz für Daten und Dateien.
1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen und klicken Sie auf Richtlinie hinzufügen.Klicken Sie auf SMTP-Routing & -Scans.
2. Geben Sie einen Namen ein.
3. Geben Sie Details unter Domänen und Routenziel an.
Geschützte Domäne Wählen Sie die Domänen aus. DieRichtlinie gilt für E-Mails an und von dengewählten Domänen. Um eine neue Domänehinzuzufügen, klicken Sie auf Neu erstellen.
E-Mails, die von Benutzern der geschütztenDomänen empfangen werden, sindEingehende E-Mails.
E-Mails, die von Benutzern der geschütztenDomänen gesendet werden, sindAusgehende E-Mails.
E-Mails, die unter Benutzern der geschütztenDomänen versendet werden, sind Interne E-Mails.
HinweisSie können keine E-Mail-Adressenangeben. Bei bestehenden oder migriertenE-Mail-Adressen wendet XG Firewallweiterhin die festgelegten Einstellungenan, aber Sie können diese Adressen nichtbearbeiten.
Route nach Wählen Sie den Mailserver, an den die E-Mailsweitergeleitet werden sollen. Wählen Sie ausden folgenden Servertypen aus:
Verfügbare Optionen:
Statischer Host: Wählen Sie aus derHostliste die statische IP-Adresse des internenMailservers aus. Wenn der erste Host in dergewählten Liste nicht erreichbar ist, leitet dieAppliance die E-Mails an den jeweils nächstenHost weiter bis das Ende der Liste erreicht ist.Um einen neuen Host hinzuzufügen, klickenSie auf Erstellen. DNS-Host Wählen SieDNS-Hostname und geben Sie ihn an, z.B.mailserver.example.com. Bei einemDNS-Namen mit mehreren A-Einträgen,liefert die Firewall die E-Mails zufällig an dieverschiedenen Server aus. Fälllt ein Server aus,
Copyright © 2018 Sophos Limited 215
XG Firewall
leitet die Firewall die E-Mails automatisch andie anderen Server um. MX: Wählen Sie dieseOption, um E-Mails basierend auf MX-Einträgenzu routen.
Globale Maßnahme Wählen Sie die Maßnahme aus.Annehmen:Nimmt alle E-Mails an, die an die definiertenDomänen adressiert sind. Sie können SPX-Verschlüsselung auf ausgehende E-Mailsanwenden, indem Sie eine SPX-Vorlage ausder Auswahlliste auswählen.Ablehnen: Lehntalle E-Mails ab, die an die definierten Domänenadressiert sind. Der Absender wird darüberinformiert.
4. Schalten Sie Spamschutz ein.
a) Wählen Sie Auf eingehenden Spam prüfen aus.
b) Wählen Sie Greylisting verwenden aus, wenn Sie wollen, dass die Firewall eingehende E-Mails von IP-Adressen von unbekannten Mailservern vorübergehend ablehnt. Legitime Serverversuchen abgelehnte E-Mails in regelmäßigen Abständen erneut zu senden, und die Firewallnimmt diese E-Mails an, wobei sie die Absender-IP-Adresse für einen bestimmten Zeitraum aufdie Greylist setzt.
c) Wählen Sie Aufgrund von SPF zurückweisen aus. Mithilfe des Sender Policy Framework(SPF) verifiziert die Firewall die IP-Adresse des Mailservers des Absenders in DNS-Einträgenund lehnt E-Mails von unautorisierten Servern ab.
d) Wählen Sie Aufgrund der RBL zurückweisen aus und wählen Sie die RBL-Dienste aus, umE-Mails von negativ eingestuften IP-Adressen abzulehnen.
e) Legen Sie die Einstellungen für Empfängerverifizierung fest.
Verfügbare Maßnahmen:
• Aus
• Mit Callout. Prüft die Empfänger-E-Mail-Adresse auf Übereinstimmung mit demBenutzerkonto auf dem Zielmailserver. Die Firewall lehnt E-Mail an nicht vorhandeneBenutzer ab. Sie nimmt E-Mails für Empfänger an, wenn der Mailserver für einenbestimmten Zeitraum nicht erreichbar ist.
• In Active Directory. Verifiziert Empfänger von eingehenden E-Mails auf dem AD-Serverüber die Protokolle Simple, SSL und STARTTLS. Geben Sie den AD-Server, Bind-DNund BaseDN an.
HinweisDie Verifizierung läuft nach 30 Sekunden ab.
HinweisBind-DN ist der vollständige Distinguished Name (DN), einschließlich dem allgemeinenNamen (common name, CN) des Administrator-Benutzers, der auf dem angegebenen AD-Server konfiguriert ist.
CN=Administrator,CN=Users,DC=example,DC=com
216 Copyright © 2018 Sophos Limited
XG Firewall
HinweisBaseDN ist der Base Distinguished Name (DN), welches der Ausgangspunkt von Suchenauf dem AD-Server ist.
DC=example,DC=com
f) Wählen Sie Spam-Maßnahme aus und Maßnahme bei wahrscheinlichem Spam, wenn Siedie obigen Einstellungen anwenden wollen.
HinweisDiese Maßnahmen gelten nicht für SPF- und RBL-Prüfungen. Wenn die Prüfungenfehlschlagen, lehnt die Firewall die E-Mail ab.
Verfügbare Maßnahmen:
• Kein
• Warnen: Die E-Mail wird an den Empfänger zugestellt, nachdem ein Präfix zum Betreffhinzugefügt wurde. Geben Sie das Präfix bei Präfix im Betreff einfügen an.
• Isolieren
• Verwerfen: Verwirft die E-Mail, ohne Nachricht an den Absender.
Standard: Verwerfen
5. Schalten Sie Malware Protection ein.
Scannen Wählen Sie die Scan-Maßnahme aus.
Verfügbare Maßnahmen:
Deaktivieren: E-Mails werden nicht gescannt.Aktivieren: E-Mails werden von der Antiviren-Engine der Appliance gescannt.
HinweisIn Sophos Firewall XG105, CyberoamCR500iNG, Sophos UTM SG105 undhöheren Modellen sind anstelle vonAktivieren folgende Optionen verfügbar.
Einzelne Antiviren-Engine: Die primäreAntiviren-Engine scannt die E-Mails.
Zwei Antiviren-Engines: Die erste unddie zweite Engine scannen E-Mailsnacheinander.
Gehen Sie zu E-Mail > AllgemeineEinstellungen > Malware Protection undwählen Sie Primäre Antiviren-Engine aus.
Zero-Day-Bedrohungen mit Sandstormerkennen (Sandstorm-Modul erforderlich)
Aktivieren, um E-Mails zur Sandstorm-Analysezu schicken. E-Mails, die von Sandstorm alsunbedenklich eingestuft wurden, werden an dieEmpfänger ausgeliefert. Bei den als schädlich
Copyright © 2018 Sophos Limited 217
XG Firewall
eingestuften E-Mails wird die festgelegteMaßnahme durchgeführt.
HinweisSie können Sandstorm nicht mit derEinstellung „Einzelne Antiviren-Engine“aktivieren, wenn Avira die primäreAntiviren-Engine ist. Um die Engine zuwechseln, gehen Sie zu AllgemeineEinstellungen > Malware Protection oderSystemdienste > Malware Protection.
Gescannte Dateigröße (verfügbar wenn„Zero-Day-Bedrohungen mit Sandstormerkennen“ aktiviert ist)
Geben Sie die Größe der Dateien an, die durchSandstorm analysiert werden können. Dateien,die größer sind, werden nicht analysiert.
Antiviren-Maßnahme Wählen Sie die Maßnahme, die für bösartige E-Mails durchgeführt werden soll.
Verfügbare Maßnahmen:
• Kein
• Warnen: Die E-Mail wird an den Empfängerzugestellt, nachdem ein Präfix zum Betreffhinzugefügt wurde. Geben Sie das Präfixbei Präfix im Betreff einfügen an.
• Isolieren
• Verwerfen: Verwirft die E-Mail, ohneNachricht an den Absender.
Absender benachrichtigen Auswählen, um den Absender über die infizierteE-Mail zu benachrichtigen.
Nicht scanbaren Inhalt isolieren Auswählen, um E-Mails zu isolieren,deren Inhalt nicht gescannt werden kann.Darunter fallen kaputte, verschlüsselte undkomprimierte Dateien, zu große E-Mails undE-Mails, die aufgrund eines internen Fehlersnicht gescannt werden können.
6. Schalten Sie Dateischutz ein, um bestimmte Anhänge herauszufiltern.
Dateitypen blockieren Wählen Sie die Art des Anhangs, die Sieblockieren wollen: In der MIME-Whitelistwerden die entsprechenden MIME-Headerangezeigt.
Um mehr als einen Dateityp auszuwählen,drücken Sie Strg + Umschalttaste.
Die Appliance verfügt über eine Standardlistemit Dateitypen mit den relevantenDateierweiterungen. Gehen Sie zu E-Mail
... > Dateityp um die Liste derDateierweiterungen einzusehen.
218 Copyright © 2018 Sophos Limited
XG Firewall
Wählen Sie Alle aus, um E-Mails mitAnhängen zu blockieren.
Wählen Sie Keine aus, um E-Mails mitAnhängen zuzulassen.
MIME-Whitelist Wählen Sie die MIME-Header aus, die währendder Suche nach Schadsoftware zugelassenwerden sollen. Nicht ausgewählte Headerwerden blockiert.
Meldungen verwerfen, die größer sind als Geben Sie die maximale Dateigröße (in KB) an,die von der Appliance gescannt werden soll.Größere E-Mails werden verworfen.
Standard: 51200 KB
7. Schalten Sie Datenschutz ein. (Betrifft nur ausgehende E-Mails)
Datenkontrollliste Wählen Sie die Liste, die verwendet werdensoll, um E-Mails auf sensible Informationen zudurchsuchen.
Datenkontrolllisten (DCL) könnenaus der vorkonfigurierten SophosInhaltskontrollliste (IKL) erstellt werden,welche übliche Datentypen zu finanziellenInformationen und persönlicher Identifikationenthält, wie Kreditkartennummern,Sozialversicherungsnummern, postalischeAdressen oder E-Mail-Adressen.
Sie können eine Liste unter E-Mail >Datenkontrollliste erstellen.
Datenkontrolllisten-Maßnahme Wählen Sie die Maßnahme, die bei E-Mailsmit sensiblen Informationen durchgeführtwerden soll.
Verfügbare Maßnahmen:
Annehmen: Nimmt die E-Mail an und stellt siean den Empfänger zu.
Mit SPX annehmen: Nimmt die E-Mail an undverschlüsselt sie mit SPX, bevor sie an denEmpfänger zugestellt wird. Wählen Sie dieSPX-Vorlage aus, die für die E-Mail verwendetwerden soll. Sie können SPX-Vorlagen unterE-Mail > Verschlüsselung erstellen.
Verwerfen: Verwirft die E-Mail, ohne Nachrichtan den Absender.
Absender benachrichtigen Auswählen, wenn der Absenderbenachrichtigt werden soll, dass die E-Mailsensible Informationen enthält.
POP/IMAP-Scanrichtlinie hinzufügen
Copyright © 2018 Sophos Limited 219
XG Firewall
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Fügen Sie eine POP/IMAP-Scanrichtlinie hinzu, um ein- und ausgehenden Spam in POP/S- undIMAP/S-Verkehr zu erkennen.
1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen.
2. Klicken Sie auf Richtlinie hinzufügen und klicken Sie auf POP-IMAP-Scan.
3. Geben Sie einen Namen ein.
4. Tragen Sie die Details für E-Mail-Adresse/Domänengruppe ein.
Absender Um die Absender-E-Mail-Adresse festzulegen,wählen Sie aus den folgenden Optionen:
Enthält: Legen Sie Stichwörter fest, die mitden Absender-E-Mail-Adressen abgeglichenwerden. Beispiel: Wenn Sie das Stichwort„mail“ angeben, trifft die Regel auf allefolgenden Absender-E-Mail-Adressen zu:[email protected].
Gleicht: Geben Sie die genaue E-Mail-Adresse des Absenders ein.
Um eine Liste von Stichwörtern oder E-Mail-Adressen hinzuzufügen, klicken Sie auf Neuerstellen.
Empfänger Um die Empfänger-E-Mail-Adressefestzulegen, wählen Sie aus den folgendenOptionen:
Enthält: Legen Sie Stichwörter fest, die mitden Empfänger-E-Mail-Adressen abgeglichenwerden. Beispiel: Wenn Sie das Stichwort„mail“ angeben, trifft die Regel auf allefolgenden Empfänger-E-Mail-Adressen zu:[email protected].
Gleicht: Geben Sie die genaue E-Mail-Adresse des Empfängers ein.
Um eine Liste von Stichwörtern oder E-Mail-Adressen hinzuzufügen, klicken Sie auf Neuerstellen.
5. Wählen Sie ein Kriterium aus den folgenden Filterkriterien. Für dieses wird die angegebeneMaßnahme durchgeführt.
Eingehende E-Mail ist Wählen Sie aus den folgenden Optionen:
Spam Wahrscheinlich Spam VirenverbreitungWahrscheinliche Virenverbreitung
Quell-IP-Adresse/-Netzwerkadresse Absender-IP-Adresse stimmt mit angegebenerIP-Adresse überein.
Größe der Nachricht Die Nachrichtengröße des Absenders stimmtmit der angegebenen Begrenzung derNachrichtengröße überein.
220 Copyright © 2018 Sophos Limited
XG Firewall
Nachrichten-Header Wählen Sie einen der folgenden Nachrichten-Header aus, auf den das angegebeneStichwort zutreffen muss:
Betreff Von An Anderer
Wählen Sie, worauf das Stichwort zutreffenmuss:
Enthält: Geben Sie die Stichwörter ein, die mitdem Nachrichten-Header abgeglichen werden.
Gleicht: Geben Sie die genaueÜbereinstimmung mit den tatsächlichenHeadern ein.
Keine Auswählen um eine Richtlinie zwischenbestimmten Absendern und Empfängernanzulegen, ohne weitere Bedingungenfestzulegen.
6. Wählen Sie die Maßnahme aus.
Maßnahme Wählen Sie aus den verfügbaren Optioneneine Maßnahme:
Verfügbare Optionen:
Annehmen: Die E-Mail wird zugelassen undan den vorgesehenen Empfänger zugestellt.Präfix im Betreff einfügen: Die E-Mail wirdzugelassen und an den vorgesehenenEmpfänger zugestellt, jedoch erst nachdem derBetreffzeile ein bestimmtes Präfix hinzugefügtwurde. Geben Sie das Präfix im An-Feldan. Sie können über das Präfix kenntlichmachen, welches Filterkriterium erfüllt wurde.Beispiel: Original-Betreffzeile: Test-E-MailMarkierter Inhalt: Wahrscheinlich Spam DerEmpfänger erhält die E-Mail mit der Betreffzeile:„Wahrscheinlich Spam: Test-E-Mail“
7. Klicken Sie auf Speichern.
Ausnahmen hinzufügen
Mit Hilfe von Ausnahmen können Sie Sicherheitsprüfungen für Hosts, Netzwerke, Absender- oderEmpfänger-E-Mail-Adressen auslassen, z.B. Prüfungen auf Spam, Schadprogramme und weitere.
1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen und klicken Sie auf Ausnahme hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie Sicherheitsprüfungen aus, die ausgelassen werden sollen.
Option Beschreibung
Diese Prüfungen auslassen Wählen Sie eine oder mehrereSicherheitsprüfungen aus.
Unter Spamschutz können Sie Prüfungenwie RBL, Antispam, Greylisting,
Copyright © 2018 Sophos Limited 221
XG Firewall
Option Beschreibung
Empfängerverifizierung, IP-Reputation, RDNS/HELO und SPF auslassen. Unter MalwareProtection können Sie Schadprogrammeoder Sandstorm auswählen. Unter Sonstigekönnen Sie Datenschutz, Dateischutz,Verschlüsselung und Fußzeilenergänzungauslassen.
4. Wählen Sie eine der folgenden Optionen, für die die Ausnahme gelten soll:
Option Beschreibung
Für diese Quellen/Hosts Fügen Sie Quellen oder Hosts hinzu, für diekeine Sicherheitsprüfungen durchgeführtwerden sollen.
HinweisSie brauchen keine Ausnahme für localhostzu erstellen. Nachrichten von localhostwerden standardmäßig nicht gescannt.
Oder diese Absenderadressen Fügen Sie Absenderadressen hinzu, für diekeine Sicherheitsprüfungen durchgeführtwerden sollen. Geben Sie eine gültige E-Mail-Adresse ein ([email protected]) oder einenPlatzhalter (*@example.com).
Oder diese Empfängeradressen Fügen Sie Empfängeradressen hinzu, fürdie keine Sicherheitsprüfungen durchgeführtwerden sollen. Geben Sie eine gültige E-Mail-Adresse ein ([email protected]) oder einenPlatzhalter (*@example.com).
5. Klicken Sie auf Speichern.
12.1.2 Datenkontrollliste
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Diese Funktion ist verfügbar in den Cyberoam-Modellen CR15iNG und höher sowie in allenSophos UTM und Sophos Firewall Modellen.
Sie können eine Datenkontrollliste mit vertraulichen Daten erstellen, indem Sie sie aus derInhaltskontrollliste (CCL) auswählen. Die Firewall stellt Inhaltskontrolllisten (content control lists,CCLs) zur Verfügung, basierend auf fachkundigen Definitionen von gängigen finanziellen undpersonenbezogenen Datentypen. Z.B. Kreditkarten- und Sozialversicherungsnummer, postalischeund E-Mail-Adressen.
Danach können Sie Datenkontrolllisten verwenden, um Datenschutz für E-Mails festzulegen.
222 Copyright © 2018 Sophos Limited
XG Firewall
Datenkontrollliste hinzufügen
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Diese Funktion ist verfügbar in den Cyberoam-Modellen CR15iNG und höher sowie in allenSophos UTM-Modellen.
Datenkontrollliste Hinzufügen ermöglicht es Ihnen, eine Liste vertraulicher Dateitypen zu erstellen.Die Firewall stellt Inhaltskontrolllisten (content control lists, CCLs) zur Verfügung basierend auffachkundigen Definitionen von gängigen finanziellen und personenbezogenen Datentypen.
1. Gehen Sie zu E-Mail > Datenkontrollliste und klicken Sie auf Hinzufügen.
2. Geben Sie den Namen ein.
3. Wählen Sie die Inhaltskontrolllisten und filtern Sie sie nach Typ und Region.
4. Klicken Sie auf Speichern.
12.1.3 SMTP-Quarantäne
SMTP-Quarantäne ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
SMTP-Quarantäne ermöglicht Ihnen, nach isolierten E-Mails zu filtern. Die Seite zeigt alle E-Mailsan, die von der Appliance aus folgenden Gründen isoliert wurden:
• Von einer blockierten Quell-IP-Adresse
• Ziel ist eine blockierte Ziel-IP-Adresse
• Ist mit einem Virus infiziert
• Zu groß
• Enthält einen blockierten Header
• Enthält nicht-scanbare Inhalte oder geschützte Anhänge
• Ist von RBL blockiert
• Ist durch Data Protection (DP) blockiert
• Spam
• Als bösartig eingestuft von Sandstorm
• Aus einem anderen Grund isoliert
Mithilfe des Filters können Sie in der Liste isolierter E-Mails nach E-Mails suchen.
Als Filterergebnis wird eine Liste aller isolierten E-Mails ausgegeben, die den Filterkriterienentsprechen.
Die Gesamtnutzung gibt den Prozentsatz des Quarantänebereichs an, der von isolierten E-Mailsverwendet wird. Wenn der Quarantänespeicher voll ist, werden ältere E-Mails gelöscht.
Quarantäne-Auszug
Der Quarantäne-Auszug ist eine E-Mail mit einer Liste von isolierten E-Mails, die von der Applianceherausgefiltert wurden und sich im Quarantänebereich des Benutzers befinden. Sofern konfiguriert,
Copyright © 2018 Sophos Limited 223
XG Firewall
erhält der Benutzer einen Quarantäne-Auszug in den unter E-Mail > Quarantäne-Auszugfestgelegten Abständen. Der Auszug enthält auch einen Link zum Benutzerportal, wo der BenutzerZugriff auf die isolierten E-Mails hat und die erforderlichen Maßnahmen ergreifen kann.
Freigabe von isolierten E-Mails
Isolierte E-Mails können vom Administrator oder von einem Benutzer freigegeben werden.Der Administrator kann die isolierten E-Mails aus dem Quarantänebereich freigeben; derBenutzer hat diese Möglichkeit im Benutzerportal. Freigegebene isolierte E-Mails werden an denPosteingangsordner des vorgesehenen Empfängers verschickt. Der Administrator kann unter E-Mail > SMTP-Quarantäne auf den Quarantänebereich zugreifen, während der Benutzer sich imBenutzerportal anmelden und unter SMTP-Quarantäne auf den Quarantänebereich zugreifen kann.Wenn der Quarantäne-Auszug konfiguriert ist, erhält der Benutzer in den festgelegten Abständeneinen Auszug der isolierten E-Mails.
Hinweis• Mit einem Virus infizierte E-Mails und E-Mails, die von Sandstorm als bösartig eingestuft
wurden, können nicht freigegeben werden.
• Um mit Sandstorm verbundene E-Mails zu löschen, benötigen Sie Lese- und Schreibrechte fürSandstorm-Aktivität.
12.1.4 Mail-Spool
Mail-Spool zeigt E-Mails an, die entweder auf Zustellung warten oder einen Fehler verursacht haben.Verwenden Sie die Optionen, um die angezeigten Einträge nach dem angegebenen Datumsbereich zufiltern.
Mail-Spool wird nur angezeigt, wenn der MTA-Modus (Mail Transfer Agent) aktiviert ist. DerMTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, Sophos UTMSG105 und höheren Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Anfangs- und Enddatum Geben Sie einen Datumsbereich für den Filteran.
Standard: Aktueller Tag
Empfänger-Domäne Geben Sie die Empfänger-Domäne an, für die E-Mails angezeigt werden sollen.
Status-Filter Wählen Sie einen der folgenden Filter, um E-Mails anzuzeigen, für die zutrifft:
• In Warteschlange
• Fehlgeschlagen
• SPX blockiert Warten darauf, dass derEmpfänger ein Kennwort erzeugt (wennder SPX-Kennworttyp auf Vom Empfängerfestgelegt steht).
• Sophos Sandstorm: Warten aufSandstorm-Analyse.
• Fehler: E-Mails, die einen Fehler verursachthaben.
224 Copyright © 2018 Sophos Limited
XG Firewall
HinweisSie können E-Mails in derFehlerschlange nur herunterladen oderlöschen.
Standard: Alle Filter ausgewählt
Hinweis• Um mit Sandstorm verbundene E-Mails zu löschen oder erneut zu versuchen zu senden,
benötigen Sie Lese- und Schreibrechte für Sandstorm-Aktivität.
• Die Appliance versucht drei Tage lang E-Mails erneut zu versenden. Nach Ablauf weiterervier Tage werden die E-Mails verworfen. Sie können verworfene E-Mails in den E-Mail-Protokollen sehen.
Um die ausgewählten Einstellungen anzuwenden, klicken Sie auf Filter.
Um die Filteroptionen zurückzusetzen, klicken Sie auf Löschen.
12.1.5 E-Mail-Protokolle
E-Mail-Protokolle wird nur angezeigt, wenn der MTA-Modus (Mail Transfer Agent) aktiviertist. Der MTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email-Protection-Abonnement aktiviert.
Diese Seite zeigt die Protokolle aller verarbeiteten E-Mails an.
Anfangs- und Enddatum Wählen Sie das Anfangs- und Enddatuminnerhalb welchem die Meldung verarbeitetwurde.
Empfänger-Domäne Legen Sie die Domäne des Empfängers fest,dessen E-Mails Sie anzeigen möchten.
Ergebnisfilter Wählen Sie aus, welche Art von Meldungangezeigt werden soll.
• Zugestellt: Erfolgreich zugestellte E-Mails.
• Abgelehnt: E-Mails, die von der Applianceverworfen und bei denen Absenderbenachrichtigt wurde.
• Verworfen: E-Mails, die von der Applianceverworfen und bei denen der Absender nichtbenachrichtigt wurde.
• Isoliert: Isolierte E-Mails.
• Abgewiesen E-Mails, die automatischnach mehreren fehlgeschlagenenZustellversuchen von der Applianceverworfen wurden.
Copyright © 2018 Sophos Limited 225
XG Firewall
• Gelöscht: E-Mails, die manuell gelöschtwurden.
Ursachen-Filter Email-Protokolle nach den folgenden Ursachenfiltern:
• Mit Schadsoftware infiziert
• Spam
• Enthalten blockierte Dateien/Anhänge
• Enthalten nicht-scanbare Inhalte odergeschützte Anhänge
• Blockiert durch Data Protection (DP)
• SPX-verschlüsselt
• Nicht zugestellt und SPX-verschlüsselt
• Kein SPF-Eintrag gefunden oder passend
• Blockiert von RBL
• Als bösartig eingestuft von Sandstorm
• Aus anderem Grund blockiert
Filtern Anklicken, um den Filter auf die dargestelltenProtokolle anzuwenden.
Löschen Anklicken, um die Filteroptionen zurückzusetzen.Die Standardoptionen zeigen den aktuellen Tagals Start- und Enddatum und alle Filter sindausgewählt.
12.1.6 Verschlüsselung
SPX-Verschlüsselung ist verfügbar in Sophos Firewall XG105 und höheren Modellen, inCyberoam CR25iNG und höheren Modellen und in allen Sophos UTM Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Was ist SPX-Verschlüsselung?
Die Verschlüsselung Secure PDF eXchange (SPX) ist eine E-Mail-Verschlüsselung der nächstenGeneration. Sie funktioniert clientlos und lässt sich in jeder Umgebung äußerst bequem einrichtenund anpassen. Mit SPX werden E-Mail-Nachrichten und Anhänge, die an die Firewall geschicktwerden, in ein PDF-Dokument umgewandelt, das dann mit einem Kennwort verschlüsselt wird. Siekönnen die Firewall so konfigurieren, dass der Absender Kennwörter für die Empfänger festlegendarf. Oder der Server erzeugt das Kennwort für den Empfänger und speichert es für diesen. Oderder Server erstellt ein Einmalkennwort für den Empfänger.
Die verschlüsselte Nachricht wird an den Mailserver des Empfängers gesendet. Der Empfängerkann mithilfe eines PDF-Readers die E-Mail mit dem Kennwort, das zur Verschlüsselung des PDF-Dokuments verwendet wurde, entschlüsseln. Sämtliche gängigen Smartphone-Plattformen, die PDF-Dateien selbst oder über Drittanbieter unterstützen (inkl. Android-, iOS-, Blackberry- und WindowsMobilegeräte), können SPX-verschlüsselte E-Mails verarbeiten.
226 Copyright © 2018 Sophos Limited
XG Firewall
Die mit SPX verschlüsselte E-Mail beinhaltet eine Antworten-Schaltfläche, die zum SPX-Reply-Portal führt. Mit dem SPX-Reply-Portal kann der Empfänger auf sichere Weise antworten.
SPX-Verschlüsselung anstoßen
SPX-Verschlüsselung kann durch die folgenden Methoden angestoßen werden. Wenn Sie mehr alseine Methode konfiguriert haben, wird Verschlüsselung in der folgenden Rangfolge auf ausgehendeE-Mails angewendet.
• SPX-Verschlüsselung bei allen ausgehenden E-Mails von bestimmten Domänen durchführen.
• Wenn ein Treffer bei Inhalten oder dem Schutz vor Datenverlust (DLP, data loss prevention)erzielt wurde.
HinweisSie können diese in der Richtlinie SMTP-Route & -Scan konfigurieren.
Unter Domänen und Routenziel, stellen Sie SPX-Vorlage auf Keine, wenn Sie E-Mailsallein aufgrund von Inhalt oder DLP verschlüsseln wollen.
• Vom Absender angestoßenes SPX. Es wird von Endbenutzern im E-Mail-Header angewendet.Endbenutzer müssen folgendermaßen vorgehen, um jede E-Mail zu verschlüsseln:
— Bei Microsoft Outlook:
1. Gehen Sie ins Benutzerportal. Laden Sie Sophos Outlook Add-in herunter undinstallieren Sie es.
2. In Outlook, klicken Sie auf Verschlüsseln, um E-Mails zu verschlüsseln.
— Ohne Microsoft Outlook:
1. Setzen Sie das E-Mail-Header-Feld X-Sophos-SPXEncrypt auf „ja“. Das Gerätverwendet die Standard-SPX-Vorlage, sobald der SPX-Header in E-Mails gefunden wird.
SPX-Konfiguration
Standard-SPX-Vorlage Wählen Sie die SPX-Vorlage aus, diestandardmäßig verwendet werden soll. DieStandardvorlage wird verwendet, wennein Benutzer eine E-Mail explizit mit SPXverschlüsselt und keine Vorlage in derInhaltsscanregel ausgewählt ist.
Wenn die Standard-SPX-Vorlage auf Keinegestellt ist, wird die SPX-Verschlüsselung nichtauf die E-Mail angewendet.
Sichere Antwort zulassen für Geben Sie die maximale Zeit (in Tagen) an, dieder die Empfänger sicher über das SPX-Reply-Portal auf SPX-verschlüsselte E-Mails antwortenkann.
Nicht verwendete Kennwörter behalten für Geben Sie das Ablaufdatum in Tagen für nichtverwendete Kennwörter an.
Copyright © 2018 Sophos Limited 227
XG Firewall
Wenn zum Beispiel Nicht verwendeteKennwörter behalten für auf drei Tageeingestellt ist, läuft das Kennwort am drittenTag um 00:00 Uhr ab. Das gilt wenn keine SPX-verschlüsselte Nachricht an einen bestimmtenEmpfänger gesendet wurde.
Standard: 30 Tage
Kennwortregistrierung zulassen für Geben Sie den Zeitraum in Tagen an, nachdem der Link zum Kennwortregistrierungsportalabläuft.
Standard: 10 Tage
Fehlerbenachrichtigung senden an Geben Sie den Empfänger einer SPX-Fehlerbenachrichtigung an. Sie können dieBenachrichtigung an den Sender schickenoder gar keine Benachrichtigung senden. AlleFehlermeldungen werden im SMTP-Protokollaufgeführt.
SPX-Portaleinstellungen
Hostname Geben Sie die IP-Adresse oder Domäne an,unter welcher das Kennwortregistrierungsportalbereitgestellt wird.
Zugelassene Netzwerke Geben Sie die Netzwerke an, von welchenAnfragen zur Kennwortregistrierung akzeptiertwerden.
Port Geben Sie den Port an, auf dem das SPX-Kennwortregistrierungsportal lauschen soll.
Standard: 8094
SPX-Kennwortzurücksetzung
Kennwort zurücksetzen für Geben Sie die E-Mail-Adresse des Empfängersein, dessen Kennwort Sie zurücksetzenmöchten. Wenn an diese Adresse eineneue SPX-E-Mail versendet wird, muss derEmpfänger vom Absender ein neues Kennworterhalten.
SPX-Vorlagen
Die SPX-Vorlage definiert das Layout der PDF-Datei, die Kennworteinstellungen und dieEmpfängeranweisungen. Sie können auch mehrere SPX-Vorlagen definieren. Wenn Sie mehrereKundendomänen verwalten, können Sie diesen selbstdefinierte SPX-Vorlagen zuweisen, die zumBeispiel die passenden Unternehmenslogos und -Texte enthalten.
228 Copyright © 2018 Sophos Limited
XG Firewall
Eine SPX-Vorlage hinzufügen
SPX-Verschlüsselung ist verfügbar in Sophos Firewall XG105 und höheren Modellen, inCyberoam CR25iNG und höheren Modellen und in allen Sophos UTM Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Auf dieser Seite können Sie neue SPX-Vorlagen definieren oder bestehende Vorlagen ändern.
1. Gehen Sie zu E-Mail > Verschlüsselung > SPX-Vorlagen und klicken Sie auf Hinzufügen.
2. Geben Sie die Parameterwerte für die folgenden Basiseinstellungen ein.
Name Geben Sie einen Namen ein, um die Vorlageeindeutig zu identifizieren. Der Name mussaus einer Zeichenfolge mit alphanumerischenund Sonderzeichen bestehen, mit Ausnahmevon Schrägstrich (/), Backslash (\), Komma(,), Anführungszeichen (") und einfachenAnführungszeichen (').
Beschreibung Geben Sie nähere Informationen zur Vorlagean.
Unternehmensname Geben Sie an, welcher Unternehmensname inden Benachrichtigungen bezüglich SPX, die jenach Ihren Einstellungen an den Administratoroder den E-Mail-Empfänger versendet werden,erscheinen soll.
PDF-Verschlüsselung Wählen Sie den Verschlüsselungsstandard fürPDF-Dateien.
Seitengröße Wählen Sie die Seitengröße der PDF-Datei.
3. Geben Sie die Kennworteinstellungen ein.
Kennworttyp Wählen Sie, wie Sie das Kennwort für denZugriff auf die verschlüsselte E-Mail erzeugenmöchten. Der Absender muss dafür sorgen,dass das Kennwort sicher an den Empfängerübermittelt wird, es sei denn die Option VomEmpfänger festgelegt wurde gewählt.
Verfügbare Optionen:
Vom Absender festgelegt:
Der Absender muss ein Kennwort in denBetreff in folgendem Format eingeben:[secure:<password>]<subjecttext>, wobei <password> das Kennwortzum Öffnen der verschlüsselten PDF-Datei und <subject text> einbeliebiger Betreff ist. Zum Beispiel, Betreff:[Secure:secretp@assword]. Der Absendermuss dem Empfänger das Kennwort separatzukommen lassen. Das Kennwort wirdnicht gespeichert. Das Firewall entferntdas Kennwort, sobald die E-Mail gesendet
Copyright © 2018 Sophos Limited 229
XG Firewall
wird. Diese Methode kann mit jeder Artdes Anstoßes der SPX-Verschlüsselungverwendet werden.
Einmaliges Kennwort für jede E-Mailerzeugt:
Die Firewall erzeugt das Kennwort undschickt es per E-Mail an den Absender.Der Absender muss dem Empfänger dasKennwort zukommen lassen. Das Kennwortwird nicht gespeichert.
Der HTML-Inhalt dieser E-Mail kannals Betreff der Benachrichtigungoder Benachrichtigungstext formatiertwerden. Sie können den Standardinhaltwiederherstellen, indem Sie auf Zurücksetzen
klicken.
Vom Empfänger festgelegt:
Die Firewall schickt per E-Mail einenKennwortregistrierungslink an Empfänger,die noch nicht für ein Kennwort registriertsind. Nach der Registrierung schickt dieFirewall eine verschlüsselte E-Mail an denEmpfänger, für welche sie das gleicheKennwort verwendet. Das Kennwort wird biszum Ablaufdatum gespeichert. Der Empfängerkann alle zukünftigen E-Mails der Organisationmit diesem Kennwort entschlüsseln. Siekönnen die Ablaufzeit für das Kennwort unterSPX-Konfiguration festlegen.
HinweisWenn ein Empfänger verschiedene E-Mails erhält mit Kennwörtern, die durchErzeugt und für Empfänger gespeichertund Vom Empfänger festgelegt erzeugtwurden, müssen die jeweiligen Kennwörterverwendet werden, um die E-Mails zuentschlüsseln.
4. Anweisungen für den Empfänger festlegen:
Anweisungen für Empfänger Der Nachrichtentext der E-Mail, die überdie Firewall an den E-Mail-Empfängergesendet wird und Anweisungen bezüglich derVerschlüsselung der E-Mail enthält. EinfachesHTML und Hyperlinks sind erlaubt. Sie könnenauch Variablen verwenden, zum Beispiel,
%%ORGANIZATION_NAME%%
230 Copyright © 2018 Sophos Limited
XG Firewall
TippDie Standard-SPX-Vorlage auf dieser Registerkarte enthält alle verfügbaren Variablen und istein gutes Beispiel für Empfängeranweisungen. Die verwendeten Variablen sind:
• ENVELOPE_TO: Der Empfänger, für den das Kennwort erstellt wird.
• PASSWORD: Das Kennwort zum Öffnen der SPX-verschlüsselten E-Mail
• ORGANIZATION_NAME: Der Name aus dem Feld Name der Organisation
• SENDER: Absender der E-Mail
• REG_LINK: Link zum Registrierungsportal zur Registrierung des Kennworts.
5. Die SPX-Portaleinstellungen aktivieren
SPX-Reply-Portal aktivieren Klicken Sie hier, um den Benutzern zuermöglichen, mit Hilfe des SPX-Reply-Portalssicher auf SPX-verschlüsselte E-Mails zuantworten.
Originalmeldung in die Antwort integrieren Auswählen, um die Originalmeldung in dieAntwort zu integrieren.
12.1.7 Allgemeine Einstellungen
EinschränkungDiese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mit gültigemEmail-Protection-Abonnement aktiviert.
HinweisDer MTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, Sophos UTMSG105 und höheren Modellen.
SMTP-Einsatzmodus
Um in den MTA-Modus zu wechseln, klicken Sie auf die Schaltfläche.
Im MTA-Modus agiert die Firewall als Mail-Transfer-Agent (MTA). Im Legacy-Modus agiert sie alstransparenter Proxy.
Als ein MTA, XG Firewall routet E-Mails der geschützten Mailserver. Sie können ein- undausgehenden Mail-Relay konfigurieren, SMTP-Profile erstellen, um mehrere Domänen auf deminternen Mailserver oder mehrere Mailserver zu schützen, E-Mails sehen, die auf Auslieferungwarten oder einen Fehler verursacht haben, und E-Mail-Protokolle ansehen.
Standard: Der MTA-Modus ist aktiviert.
Copyright © 2018 Sophos Limited 231
XG Firewall
Hinweis• Wenn Sie den MTA-Modus einschalten, wird automatisch eine Firewallregel erstellt, die SMTP/
SMTPS-Verkehr zulässt.
• Wenn Sie von CyberoamOS oder SFOSv15 nach SFOSv16 migriert haben ist der Legacy-Modus automatisch aktiviert.
Fußzeilen-Einstellungen ausgehend
E-Mail-Fußzeilenmodus Wählen Sie aus, wie Fußzeilen an ausgehende E-Mails angehängt werden sollen.
HinweisDamit eine Fußzeile angehängt wird,wählen Sie SMTP scannen und SMTPSscannen unter Scans in der betreffendenGeschäftsanwendungsregel aus.
E-Mail-Fußzeile Legen Sie eine Fußzeile fest, die an ausgehendeE-Mails angehängt wird. Es sind nur Textbannerzulässig.
Beispiel:
Diese E-Mail enthält vertrauliche Informationen.Sie sind nicht berechtigt, die Inhalte ohneZustimmung des Absenders zu kopieren.Drucken Sie diese E-Mail nur aus, wenn diesunbedingt notwendig ist. Tun Sie etwas für dieUmwelt.
SMTP-Einstellungen
SMTP-Hostname Legen Sie fest, welcher SMTP-Hostname inHELO- und SMTP-Fußzeilen-Strings verwendetwerden soll. Standardmäßig verwendet XGFirewall „Sophos“ als Hostnamen.
Keine E-Mails scannen, die größer sind als Legen Sie die maximale Dateigröße (in KB)für die Scans fest. Dateien, die über SMTP/Seingehen und diese Größe überschreiten, werdennicht gescannt.
Standard: 1024 KB
Geben Sie 0 ein, um die Standard-Größenbeschränkung für Scans auf 51200 KBzu erhöhen.
Maßnahme bei übergroßen E-Mails Legen Sie die Maßnahme bei übergroßen E-Mailsfest.
Verfügbare Optionen:
232 Copyright © 2018 Sophos Limited
XG Firewall
Annehmen: Alle übergroßen E-Mails werden ohneScan an den Empfänger weitergeleitet.Ablehnen:Alle übergroßen E-Mails werden abgewiesen undder Absender wird benachrichtigt.Verwerfen: Alleübergroßen E-Mails werden verworfen, ohne dassder Absender benachrichtigt wird.
Aufgrund der IP-Reputation zurückweisen Auswählen, um E-Mails mit einer schlechtenAbsender-Reputation abzulehnen.
HinweisDie Firewall überprüft die IP-Reputation desAbsenders vor den Spam-Prüfungen, diein der SMTP-Routing- und -Scanrichtlinienfestgelegt sind.
SMTP-DoS-Einstellungen Aktivieren Sie diese Option, um die SMTP-DoS-Einstellungen zu konfigurieren, die das Netzwerkvor SMTP-DoS-Angriffen schützen.
Wird diese Option aktiviert, legen Sie Wertefür Max. Anzahl Verbindungen, Max. AnzahlVerbindungen/Host, Max. Anzahl E-Mails/Verbindung, Max. Anzahl Empfänger/E-Mail, E-Mail-Durchsatz je Minute/Host undVerbindungsdurchsatz je Sekunde/Host fest.
Max. Anzahl Verbindungen Automatisch auf den Maximalwert gesetzt,basierend auf RAM und Prozessorkapazität.
Max. Anzahl Verbindungen/Host Automatisch auf den Maximalwert gesetzt,basierend auf RAM und Prozessorkapazität.
Max. Anzahl E-Mails/Verbindung Legen Sie die maximale Anzahl von E-Mailsfest, die in einer einzelnen Verbindung geschicktwerden können.
Standard: 1000
Zulässiger Bereich: 1 bis 1000
Max. Anzahl Empfänger/E-Mail Legen Sie die maximale Anzahl an Empfängerneiner E-Mail fest.
Standard: 100
Zulässiger Bereich: 1 bis 512
E-Mail-Durchsatz Legen Sie die Anzahl von E-Mails fest, dieinnerhalb einer Minute von einem Host gesendetwerden können.
Standard: 1000
Zulässiger Bereich: 1 bis 1000
Verbindungsrate Legen Sie die Anzahl von Verbindungen fest, dieinnerhalb einer Sekunde von einem Host zumMailserver aufgebaut werden dürfen.
Standard: 100
Copyright © 2018 Sophos Limited 233
XG Firewall
Zulässiger Bereich: 1 bis 100
HinweisWenn Sie SFOS auf Version 17.5 oder später aktualisieren, migriert XG Firewall die festgelegtenWerte von E-Mail-Durchsatz und Verbindungsrate, wenn sich diese im zulässigen Bereichbefinden. Stellt automatisch den Standardwert ein, wenn die festgelegten Werte die Obergrenzeüberschreiten.
POP/S- und IMAP/S-Einstellungen
Keine E-Mails scannen, die größer sind als Legen Sie die maximale Dateigröße (in KB)für die Scans fest. Dateien, die über POP/IMAP eingehen und diese Größe überschreiten,werden nicht gescannt.
Standard: 1024 KB
Geben Sie 0 ein, um die Standard-Größenbeschränkung auf 10240 KB zuerhöhen.
Empfänger-Header Legen Sie den Header zur Ermittlung desEmpfängers für POP3/IMAP fest.
Standard: Delivered-To, Received, X-RCPT-TO
SMTP-TLS-Konfiguration
TLS-Zertifikat Wählen Sie aus den verfügbaren Optionendas CA-Zertifikat oder Server-Zertifikat für diePrüfung des SMTP-Datenverkehrs über SSLaus.
Verfügbare Optionen:
Default Appliance-ZertifikatSecurityAppliance_SSL_CA Liste eigener CAsund Server-Zertifikaten, falls vorhanden. Siekönnen eine eigene CA unter Zertifikate >Zertifizierungsstellen (CA) erstellen und eineigenes Server-Zertifikat unter Zertifikate >Zertifikate.
Ungültiges Zertifikat zulassen Ist diese Option aktiviert, werden SMTP-über-SSL-Verbindungen mit ungültigem Zertifikat vomMailserver zugelassen. Deaktivieren Sie dieseOption, wenn solche Verbindungen abgewiesenwerden sollen.
Standard: Aktiviert
Veraltete TLS-Protokolle deaktivieren Ist diese Option aktiviert, werden Protokollevor TLS Version 1.1 deaktiviert. Um TLS-Verwundbarkeiten zu vermeiden, empfehlen
234 Copyright © 2018 Sophos Limited
XG Firewall
wir die Deaktivierung von veralteten TLS-Protokollen.
Standard: Deaktivieren
TLS-Aushandlung erfordern Wählen Sie aus den verfügbaren Optionenden Remote-Host (Mailserver) oder dasNetzwerk aus, bei dem TLS-Verschlüsselungeingesetzt werden soll. Mit anderen Worten,die Appliance initiiert immer TLS-gesicherteVerbindungen, wenn E-Mails an ausgewählteHosts/Netzwerke geschickt werden sollen. WennTLS durchgesetzt wird, aber die Verbindungnicht hergestellt werden kann, werden E-Mails an den betreffenden Host/das Netzwerkverworfen.
Absender-E-Mail-Domänen erfordern Geben Sie die Absenderdomäne an, für dieTLS-Verschlüsselung bei E-Mail-Verbindungenerzwungen werden soll. Die Absender-Domäneist die Domäne des E-Mail-Absenders. E-Mailsvon der festgelegten Absender-Domäne werdennur über TLS-verschlüsselte Verbindungengesendet. Wenn TLS eingesetzt wird, aberdie Verbindung nicht hergestellt werden kann,werden E-Mails von der betreffenden Absender-Domäne verworfen.
TLS-Aushandlung auslassen Wählen Sie aus den verfügbaren Optionenden entfernten Host (Mailserver) oder dasNetzwerk aus, bei dessen Verbindungen dieTLS-Verschlüsselung übersprungen oderumgangen werden soll. Sofern konfiguriert,werden SMTP-Verbindungen zu ausgewähltenHosts in Klartext und unverschlüsselt hergestellt.
POP- und IMAP-TLS-Konfiguration
TLS-Zertifikat Wählen Sie aus den verfügbaren Optionendie CA für die Prüfung des POP- und IMAP-Datenverkehrs über SSL aus.
Verfügbare Optionen:
DefaultSecurityAppliance_SSL_CAListe eigenerCAs, sofern hinzufügt. Sie können eine eigeneCA unter Zertifikate > Zertifizierungsstellen(CA) erstellen.
Ungültiges Zertifikat zulassen Ist diese Option aktiviert, werden POP-und IMAP-Verbindungen über SSL mitungültigem Zertifikat vom Mailserver zugelassen.Deaktivieren Sie diese Option, wenn solcheVerbindungen abgelehnt werden sollen.
Standard: Aktiviert
Copyright © 2018 Sophos Limited 235
XG Firewall
Veraltete TLS-Protokolle deaktivieren Ist diese Option aktiviert, werden Protokollevor TLS Version 1.1 deaktiviert. Um TLS-Verwundbarkeiten zu vermeiden, empfehlenwir die Deaktivierung von veralteten TLS-Protokollen.
Standard: Deaktivieren
Blockierte Absender
Um E-Mail-Adressen zu blockieren, fügen Sie sie hier hinzu.
Malware Protection
Malware Protection ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR500iNG,Sophos UTM SG105 und höheren Modellen.
Sophos XG Firewall bietet duale Viren-Scans an, bei welchen der Datenverkehr von zwei (2) Anti-Virus-Engines geprüft wird. Zuerst wird der Datenverkehr von der primären Engine gescannt undanschließend von der sekundären Engine.
Primäre Antiviren-Engine Wählen Sie die primäre Anti-Virus-Engine zurPrüfung des Datenverkehrs aus. Bei dualenScans werden die Pakete erst von der primärenAnti-Virus-Engine gescannt, dann von dersekundären. Beim Einzelscan wird nur dieprimäre Engine verwendet.
Verfügbare Optionen:
SophosAvira
HinweisDie Auswahl von Avira deaktiviert Sandstorm in allen SMTP-Richtlinien mit einem einfachemAntivirenscan.
Smarthost-Einstellungen
Ein Smarthost ist ein MTA (Mail Transfer Agent) der als Zwischenserver zwischen den Mailserverndes Absenders und Empfängers agiert. Wenn Sie einen Smarthost konfigurieren, leitet die Applianceausgehende E-Mails an den festgelegten Server weiter, der sie dann an den Mailserver desEmpfängers routet. Aktivieren Sie Smarthost verwenden.
Hostname Wählen Sie den Host aus, der als Smarthostagieren wird.
HinweisSie können für den Smarthost nicht dieSchnittstellen-IP-Adresse der Applianceverwenden. Eine Routing-Schleife wäre dieFolge.
236 Copyright © 2018 Sophos Limited
XG Firewall
Port Geben Sie die Portnummer an.
Standard: 25
Appliance an Smarthost authentifizieren Wählen Sie, ob die Appliance sich erst amSmarthost authentifizieren muss, bevorer E-Mails routet. Sowohl Plain als auchLogin werden als Authentifizierungsmethodeunterstützt. Geben Sie Benutzername undKennwort ein.
Erweiterte SMTP-Einstellungen (nur im MTA-Modus)
Ungültige HELO oder fehlende RDNSablehnen
Wählen Sie diese Option, wenn Sie Hostsablehnen wollen, die ungültige HELO/EHLO-Argumente senden oder bei denen rDNS-Einträgefehlen. Wählen Sie Strikte rDNS-Prüfungendurchführen, wenn Sie zusätzlich E-Mails vonHosts mit ungültigen rDNS-Einträgen ablehnenwollen. Ein rDNS-Eintrag ist ungültig wenn dergefundene Hostname nicht zurück zur originalenIP-Adresse auflöst.
Ausgehende Mails scannen Aktivieren Sie das Scannen des gesamtenausgehenden E-Mail-Verkehrs. Die E-Mail wirdisoliert, wenn Sie mit Schadprogrammen infiziertoder als Spam markiert ist.
12.1.8 Adressgruppen
Richtlinien und Ausnahmen werden auf E-Mail-Adressen angewendet. Um die Konfiguration zuerleichtern, kann der Administrator Adressen gruppieren, die dieselbe Scanrichtlinie erfordern.Die Richtlinie, die auf die Adressgruppe angewendet wird, gilt für alle Gruppenmitglieder. Wirddie Gruppe in einer Reihe von Regeln verwendet, ist es daher wesentlich einfacher, der GruppeAdressen hinzuzufügen oder Adressen aus dieser zu entfernen, anstatt einzelne Regeln zuaktualisieren. Denn auf diese Weise kann der Administrator mit nur einer Aktualisierung alle Regelngleichzeitig anpassen.
Eine Adressgruppe ist eine Gruppierung anhand von:
• E-Mail-Adresse oder Domäne
• IP-Adresse
• Realtime Blackhole List (RBL) (nur für Spam-E-Mails anwendbar)
Eine Adresse kann zu mehreren Gruppen gehören.
Eine RBL ist eine Liste mit IP-Adressen, deren Eigentümer selbst für Spam verantwortlich sindoder deren System zur Verbreitung von Spam missbraucht wird. Diese IP-Adressen können auchzur Verbreitung von Viren genutzt werden. Die Appliance gleicht die verbindende IP-Adresse mitjeder RBL ab. Wird die IP-Adresse in einer der RBLs gefunden, wird die Maßnahme durchgeführt,die in der Richtlinie festgelegt ist. Der Administrator kann entweder die beiden im Lieferumfang derAppliance enthaltenen Standard-RBL-Gruppen verwenden oder diese entsprechend den eigenenAnforderungen aktualisieren:
• Premium-RBL-Dienste
Copyright © 2018 Sophos Limited 237
XG Firewall
• Standard-RBL-Dienste
Die Seite „Adressgruppe“ enthält eine Liste mit allen Standardgruppen sowie allenbenutzerdefinierten Gruppen. Über die Optionen auf der Seite können Gruppen hinzugefügt,Parameter aktualisiert, Adressen in bestehende Gruppen importiert oder eine Gruppe gelöschtwerden. Sie können die Liste anhand des Namens der Adressgruppe filtern.
Adressgruppe hinzufügen
1. Gehen Sie zu E-Mail > Adressgruppe und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen und eine Beschreibung ein.
3. Gruppentyp: Auswählen um E-Mail-Adressen oder Domänen zur Adressgruppe hinzuzufügen.
Verfügbare Optionen:
RBL (IPv4) oder RBL (IPv6):
Auswählen, um RBLs mit IPv4 oder IPv6-Adressen oder Domänennamen hinzuzufügen.
Wenn die sich verbindende IP-Adresse in der RBL gefunden wird, führt die Appliance dieMaßnahme durch, die in der entsprechenden Richtlinie definiert ist.
E-Mail-Adresse/Domäne:
Auswählen, um E-Mail-Adresse oder Domänenname hinzuzufügen.
Importieren: Auswählen, um eine CSV- oder Textdatei hochzuladen.
Manuell: Auswählen, um individuelle E-Mail-Adressen oder Domänen hinzuzufügen.
Hinweis• Sie können maximal 400 E-Mail-Adressen oder Domänen in einer einzigen Datei
importieren.
• Ungültige und doppelte Einträge werden nicht importiert.
4. Klicken Sie auf Speichern.
12.1.9 Relay-Einstellungen
Relay-Einstellungen wird nur angezeigt, wenn der MTA-Modus (Mail Transfer Agent) aktiviertist. Der MTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Sophos XG Firewall kann konfiguriert werden, um als E-Mail-Relay zu agieren, was bestimmtenHosts das Weiterleiten (d.h. Senden) von E-Mails über bestimmte Domänen erlaubt.
Host-basiertes Relay
Relay von Hosts/Netzwerken zulassen Wählen Sie die Hosts/Netzwerke, die Sophos XGFirewall als E-Mail-Relay verwenden kann. Siekönnen den Link Neu erstellen verwenden, um
238 Copyright © 2018 Sophos Limited
XG Firewall
einen neuen Host zu erstellen. Klicken Sie aufÜbernehmen um die Konfiguration zu speichern.
HinweisEs ist sehr wichtig, für die zugelassenenHosts/Netzwerke nicht Alle auszuwählen, dadies zu einem offenen Relay führt, das esjedem im Internet ermöglicht, Nachrichtenüber Sophos XG Firewall zu versenden.Spamversender werden dies schnellherausfinden, was zu einem massiven E-Mail-Aufkommen führt. Im schlimmstenFall werden Sie als Spamversender aufDrittanbieter-Blacklists geführt. In denmeisten Konfigurationen sind die einzigenHosts, die für Relay-E-Mails erlaubt werdensollten, die Mail-Server in Ihrem Netzwerk.
HinweisDie Firewall wird IP-Adressen scannen undablehnen, die Sie für das host-basierte Relayzugelassen haben, wenn sie den Scan nichtbestehen.
Relay von Hosts/Netzwerken blockieren Legen Sie die Hosts/Netzwerke fest, die vonder Appliance blockiert werden sollen. Siekönnen den Link Neu erstellen verwenden, umeinen neuen Host zu erstellen. Klicken Sie aufÜbernehmen um die Konfiguration zu speichern.
Upstream-Host
Relay von Hosts/Netzwerken zulassen Legen Sie die Upstream-Hosts/Netzwerke fest,von denen Sie eingehende E-Mails erlaubenmöchten. Typischerweise Ihre ISP oder externeMX. Sie können den Link Neu erstellenverwenden, um einen neuen Host zu erstellen.
Relay von Hosts/Netzwerken blockieren Legen Sie die Hosts/Netzwerke fest, dereneingehende E-Mails von der Appliance blockiertwerden sollen. Sie können den Link Neuerstellen verwenden, um einen neuen Host zuerstellen.
HinweisDie Liste „Zulassen“ für host-basiertes Relay und Upstream-Host hat höhere Priorität als die Liste„Blockieren“. Wenn zum Beispiel ein Host/Netzwerk sowohl in der Liste „Zulassen“ als auch in„Blockieren“ erscheint, wird Sophos XG Firewall das Relay von diesem Host/Netzwerk erlauben.
Copyright © 2018 Sophos Limited 239
XG Firewall
Einstellungen für authentifizierte Relays
Authentifiziertes Relay aktivieren Aktivieren Sie dies, um den authentifiziertenBenutzern oder Gruppen, die unten ausgewähltsind, zu erlauben, die Appliance als E-Mail-Relayzu verwenden.
Benutzer oder Gruppen Wählen Sie die Benutzer oder Gruppen, denenes erlaubt ist, die Appliance als E-Mail-Relay zuverwenden. Sie können den Link Neu erstellenverwenden, um einen neuen Benutzer oder eineneue Gruppe zu erstellen.
12.1.10 Dateitypen
Ein Dateityp ist eine Klassifizierung, die von der Dateierweiterung oder dem MIME-Typ bestimmt wird.Sie können Dateitypen in Internetrichtlinien einbinden, um den Zugriff auf Dateien zu kontrollieren. DieStandardtypen enthalten einige gebräuchliche Kriterien und Sie können zusätzliche Typen erstellen.
• Um einen Dateityp bearbeiten, klicken Sie auf
.
Zugehörige AufgabenDateityp hinzufügen (Seite 157)
Dateityp hinzufügen
1. Gehen Sie zu Internet > Dateitypen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Optional: Wählen Sie eine Vorlage aus.
Vorlagen organisieren häufig genutzte Dateierweiterungen und MIME-Headers nach Kategorie,z.B. Videodateien. Sie können Vorlagen verwenden, anstatt Erweiterungen und MIME-Headerseinzutippen.
4. Legen Sie Dateierweiterungen und MIME-Headers fest.
HinweisGeben Sie vor den Dateierweiterungen keinen Punkt (.) ein.
5. Klicken Sie auf Speichern.
Zugehörige KonzepteDateitypen (Seite 157)Ein Dateityp ist eine Klassifizierung, die von der Dateierweiterung oder dem MIME-Typ bestimmt wird.Sie können Dateitypen in Internetrichtlinien einbinden, um den Zugriff auf Dateien zu kontrollieren. DieStandardtypen enthalten einige gebräuchliche Kriterien und Sie können zusätzliche Typen erstellen.
240 Copyright © 2018 Sophos Limited
XG Firewall
12.1.11 Quarantäne-Auszug
Quarantäne-Auszug ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Der Quarantäne-Auszug ist eine E-Mail mit einer Liste von isolierten E-Mails, die von der Applianceherausgefiltert wurden und sich im Benutzer-Quarantänebereich befinden. Sofern konfiguriert, erhältder Benutzer einen Quarantäne-Auszug in den auf dieser Seite festgelegten Abständen. Der Auszugenthält auch einen Link zum Benutzerportal, wo der Benutzer Zugriff auf die isolierten E-Mails hatund die erforderlichen Maßnahmen ergreifen kann.
Die Einstellungen für den Quarantäne-Auszug können global für alle Benutzer oder für einzelneBenutzer konfiguriert werden. Der Benutzer erhält den Quarantäne-Auszug in der festgelegtenHäufigkeit.
Der Quarantäne-Auszug enthält für jede isolierte Nachricht folgende Informationen:
• Datum und Uhrzeit: Datum und Uhrzeit des Erhalts der Nachricht
• Absender: E-Mail-Adresse des Absenders
• Empfänger: E-Mail-Adresse des Empfängers
• Betreff: Betreff der Nachricht
HinweisDer Quarantäne-Auszug ist nicht für WLAN-Geräte verfügbar.
Quarantäne-Auszug für alle Benutzer konfigurieren
Quarantäne-Auszug aktivieren Aktivieren Sie den Quarantäne-Auszug,um den Auszugservice für alle Benutzer zukonfigurieren.
E-Mail-Häufigkeit Legen Sie die Häufigkeit für den Versand desAuszugs fest.
Auszüge können stündlich, täglich zurkonfigurierten Uhrzeit oder wöchentlich an demkonfigurierten Tag zu der festgelegten Uhrzeitversendet werden.
Von E-Mail-Adresse Geben Sie die E-Mail-Adresse an, von der dieE-Mail gesendet werden soll.
Name anzeigen Legen Sie den Namen des E-Mail-Absendersfest. Die Auszug-E-Mail wird mit diesem Namengesendet.
Test-E-Mail senden Klicken Sie hier und geben Sie eine E-Mail-Adresse ein, an welche die Nachricht zur
Copyright © 2018 Sophos Limited 241
XG Firewall
Überprüfung der E-Mail-Adresse gesendetwerden soll.
Referenz-Benutzerportal-IP Wählen Sie aus der Auswahlliste Referenz-Benutzerportal-IP die Schnittstellen-/Port-IPaus.
Der Link zum Benutzerportal in der Auszug-E-Mail verweist auf diese IP-Adresse. DerBenutzer kann auf den Link klicken, um zuseinen isolierten Nachrichten zu gelangen unddie erforderlichen Maßnahmen zu ergreifen.Benutzer, die sich nicht über die festgelegteSchnittstelle verbinden, haben direkt über ihrKonto Zugriff auf die isolierten E-Mails.
Quarantäneberichte auslassen Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse desjenigen ein, dessen isolierte E-Mails Sie vom Quarantäne-Auszug ausschließenwollen. Sie können zum Beispiel die Alias-E-Mail-Adresse „[email protected]“ hinzufügen,um deren isolierte E-Mails vom Quarantäne-Auszug auszuschließen, welcher an Benutzergesendet wird, die Teil des Alias sind.
Quarantäne-Auszug-Einstellungen desBenutzers ändern
Klicken Sie hier, um die Auszug-Einstellungeneinzelner Benutzer zu ändern.
Hier können Sie die Gruppe auswählen unddie Quarantäne-Auszug-Einstellungen vonGruppenmitgliedern aktualisieren.
Quarantäne-Auszug-Einstellungen für bestimmte Benutzer überschreiben
Klicken Sie auf Quarantäne-Auszug-Einstellungen des Benutzers ändern, um die Auszug-Einstellungen für einzelne Benutzer zu ändern. Daraufhin öffnet sich ein neues Popup-Fensternamens Quarantäne-Auszug verwalten, in dem Sie nach Gruppen und Benutzern suchen können.
Sie können einzeln nach Benutzern und Benutzergruppen suchen.
Setzen Sie zum Aktivieren des Quarantäne-Auszug ein Häkchen in das Auswahlkästchen nebendem betreffenden Benutzer. Ist diese Option aktiviert, gelten für den Benutzer die konfiguriertenQuarantäne-Auszug-Einstellungen.
12.2 Legacy-Modus
12.2.1 Richtlinien
Mit Richtlinien können Sie sich vor Spam und Schadprogrammen schützen und Datei- undDatenschutz durchsetzen. Sie können SMTP- und POP-IMAP-Richtlinien festlegen. Im Legacy-Modusagiert die Firewall als transparenter Proxy.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email-Protection-Abonnement aktiviert.
242 Copyright © 2018 Sophos Limited
XG Firewall
• Um eine neue SMTP-Schadprogramm-Richtlinie hinzuzufügen, klicken Sie auf Richtliniehinzufügen und klicken Sie dann auf SMTP-Schadprogramm-Scan.
• Um eine neue SMTP-Spam-Richtlinie hinzuzufügen, klicken Sie auf Richtlinie hinzufügen undklicken Sie dann auf SMTP-Spam-Scan.
• Um eine neue POP-IMAP-Richtlinie hinzuzufügen, klicken Sie auf Richtlinie hinzufügen undklicken Sie dann auf POP-IMAP-Scan.
• Um eine Richtlinie zu bearbeiten, klicken Sie auf
.
SMTP-Schadprogramm-Scanrichtlinien
SMTP-Schadprogramm-Scanrichtlinien ermöglichen Ihnen, Maßnahmen festzulegen, die für E-Mailsdurchgeführt werden, die mit einem Virus infiziert sind oder einen geschützten Anhang enthalten.Auf Basis der in der Regel festgelegten Maßnahme können solche E-Mails unverändert zugestellt,bereinigt und zugestellt oder isoliert werden.
In einer Schadprogramm-Scanrichtlinie wird Folgendes festgelegt:
• ob die E-Mail isoliert wird
• ob der Absender, Empfänger oder Administrator benachrichtigt wird
• ob eine E-Mail, die einen bestimmten Dateityp enthält, blockiert wird
• welche Maßnahme durchzuführen ist, wenn eine E-Mail infiziert ist oder einen geschütztenAnhang enthält: zustellen, verwerfen, bereinigen und dann zustellen
In der Firewall ist eine Standard SMTP-Schadprogramm-Scanrichtlinie namens default-smtp-avvordefiniert, die auf den gesamten SMTP-Verkehr angewendet wird, sobald Sie das Modul EmailProtection abonniert haben. Wir empfehlen, dass Sie separate Regeln erstellen, die genau aufIhre spezifischen Netzwerkanforderungen abgestimmt sind, um das Risiko für Bedrohungen zuminimieren.
SMTP-Spam-Scan- und POP/IMAP-Scanrichtlinien
Eine Richtlinie legt die Maßnahme fest, die durchgeführt wird, wenn eine E-Mail als Spam,wahrscheinlicher Spam, Teil einer Virusausbreitung oder einer wahrscheinlichen Virusausbreitungerkannt wird.
Die Spam-Quarantäne speichert automatisch Spam-E-Mails. Benutzer können ihren isolierten Spamund wahrscheinlichen Spam verwalten.
XG Firewall wendet die Standard-POP-IMAP-Scan-Richtlinie (default-pop-av) auf POP3/S- undIMAP/S-Verkehr an, wobei mit Viren infizierte Anhänge von E-Mails entfernt werden und der E-Mail-Textkörper durch eine Benachrichtigung ersetzt wird.
Erkennung von Spam-Attributen
Die Appliance nutzt Inhaltsfilterung sowie Premium- und Standard Realtime Blackhole Lists RBLy,um SMTP/S-, POP3/S- und IMAP/S-E-Mails auf Spam-Attribute zu prüfen.
RBL ist eine Liste von IP-Adressen, welche entweder direkt für Spamverbreitung verantwortlich sindoder indirekt, indem Sie als Spam-Relay gekapert wurden. Die Firewall gleicht die verbindende IP-Adresse mit jeder RBL ab. Wenn die IP-Adresse in der Liste gefunden wird, führt die Firewall dieMaßnahme durch, die in der Richtlinie festgelegt ist.
Copyright © 2018 Sophos Limited 243
XG Firewall
SMTP-Schadprogramm-Scanrichtlinie hinzufügen
SMTP-Schadprogramm-Scanrichtlinien werden nur angezeigt, wenn der Legacy-Modusaktiviert ist. Die Appliance agiert als transparenter Proxy.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Auf der Seite SMTP-Schadprogramm-Scanrichtlinien hinzufügen können Sie eine Scanrichtlinieeinrichten, um Schadprogramme in E-Mail-Datenverkehr zu erkennen und entsprechendeMaßnahmen durchzuführen.
1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen, klicken Sie auf Richtlinie hinzufügen unddann auf SMTP-Schadprogramm-Scanrichtlinie hinzufügen.
2. Geben Sie einen Namen ein.
3. Geben Sie Details für die E-Mail-Adresse/Domänengruppe ein.
Absender Wählen Sie den Namen des Senders aus derListe der Benutzer aus.
Wählen Sie Alle aus, wenn die Regel auf alleAbsender angewendet werden soll.
Sie können auch RBLs oder eine Liste mit E-Mail-Adressen hinzufügen, indem Sie auf denLink Neu erstellen klicken.
Empfänger Wählen Sie den Namen des Empfängers ausder Liste der Benutzer aus.
Wählen Sie Alle aus, wenn die Regel auf alleEmpfänger angewendet werden soll.
Sie können auch RBLs oder eine Liste mit E-Mail-Adressen hinzufügen, indem Sie auf denLink Neu erstellen klicken.
4. Geben Sie die Anhangsfilter-Details ein.
Dateitypen blockieren Wählen Sie Dateitypen aus, die alsAnhang blockiert werden sollen, um alleDateien zu entfernen, die eine potenzielleGefahr darstellen, und um Virusangriffenvorzubeugen.
Mit den Tasten Strg/Umschalt können Siemehrere Dateitypen gleichzeitig auswählen.
XG Firewall verfügt über eine Standardlistemit Dateitypen, wobei jeder Dateityp relevanteDateierweiterungen enthält. Unter E-Mail> Dateityp können Sie eine Liste mit allenDateierweiterungen anzeigen, die blockiertwerden können.
Wählen Sie Alle aus, um alle E-Mails mitAnhängen zu blockieren.
244 Copyright © 2018 Sophos Limited
XG Firewall
Wählen Sie Keine aus, um alle E-Mails mitAnhängen zuzulassen.
MIME-Whitelist Wenn ein oder mehrere Dateitypen unterDateityp blockieren ausgewählt ist, wirddieses Feld mit den zugehörigen MIME-Headern befüllt, die zu den ausgewähltenDateitypen gehören.
Wählen Sie die MIME-Header der gewähltenDateitypen aus. Nur die ausgewählten Headerwerden zugelassen, während alle anderenHeader des gewählten Dateityps beimAntiviren-Scan von E-Mail-Anhängen blockiertwerden.
5. Geben Sie die Schadprogramm-Filter-Details ein.
Scannen Wählen Sie die Scan-Maßnahme aus.
Verfügbare Maßnahmen:
Deaktivieren: E-Mails werden nicht gescannt.Aktivieren: E-Mails werden von der Antiviren-Engine der Appliance gescannt.
HinweisIn Sophos XG Firewall XG105, CyberoamCR500iNG und Sophos UTM SG105und höheren Modellen sind anstelle vonAktivieren folgende Optionen verfügbar.
Einzelne Antiviren-Engine: Die primäreAntiviren-Engine scannt die E-Mails.
Zwei Antiviren-Engines: Die erste unddie zweite Engine scannen E-Mailsnacheinander.
Wählen Sie Primäre Antiviren-Engineunter E-Mail > Allgemeine Einstellungen >Malware Protection.
Maßnahme (nur verfügbar, wenn Scannenaktiviert ist)
Aktivieren Sie unter den zur Verfügungstehenden Optionen die Maßnahme, diedurchgeführt werden soll, wenn die E-Mailempfangen wird:Isolieren: Wenn diese Optionaktiviert ist, wird die E-Mail in die Quarantäne-Dateiliste kopiert. Die E-Mail wird entsprechendder Einstellungen für Empfängermaßnahmeentweder an den Empfänger übermittelt oderverworfen. Details zur E-Mail wie z.B. Absenderund Empfänger der E-Mail können in derQuarantäne angezeigt werden. Administratorenhaben unter E-Mail > SMTP-QuarantäneZugriff auf die Quarantäne und Benutzerkönnen über das Benutzerportal auf siezugreifen.Absender benachrichtigen. Wenn
Copyright © 2018 Sophos Limited 245
XG Firewall
aktiviert, wird die ursprüngliche Nachricht vonder Appliance zurückgehalten und es wird eineBenachrichtigung an den Absender geschickt,dass die E-Mail infiziert war. Der Absendererhält die Benachrichtigung nur, wenn fürdie Empfängermaßnahme „Nicht zustellen“konfiguriert ist.
Standard: Deaktivieren
Versandmöglichkeit für infizierten Anhang/geschützten Anhang (nur verfügbar, wennScannen aktiviert ist)
Empfängermaßnahme Wählen Sie aus, welche Maßnahme ergriffenwerden soll, wenn eine Nachricht als infiziertoder verdächtig erkannt wurde oder diese einengeschützten Anhang enthält.
Verfügbare Optionen:
Nicht zustellen Der Empfänger erhält weder dieNachricht noch erhält er die Benachrichtigungüber die infizierte E-Mail.Original zustellenDer Empfänger erhält die ursprüngliche E-Mail.Entfernen und zustellen Der infizierteTeil der E-Mail wird vor der Zustellungentfernt. Der Empfänger erhält außerdem dieBenachrichtigung, dass die E-Mail infiziertwar und der infizierte Teil der E-Mail entferntwurde. Dies gilt nicht für blockierte Anhänge(Dateitypen blockieren).
HinweisGeschützte Anhänge werden nichtgescannt, der Empfänger wird aberbenachrichtigt, falls keine andere Optiongewählt wurde.
Administrator benachrichtigen Wählen Sie aus, dass der Administratorbenachrichtigt wird, wenn eine Nachricht alsinfiziert oder verdächtig erkannt wurde oderdiese einen geschützten Anhang enthält.
Verfügbare Optionen:
Nicht zustellen Der Administrator erhältkeine Benachrichtigung über die infizierte E-Mail.Original versenden Der Administrator erhältdie ursprüngliche E-Mail.Anhang entfernenDer Empfänger erhält die Nachricht ohneAnhang und der Administrator erhält eineBenachrichtigung, dass der E-Mail-Anhanginfiziert war und entfernt wurde, bevor die E-Mail zugestellt wurde.
246 Copyright © 2018 Sophos Limited
XG Firewall
HinweisGeschützte Anhänge werden nichtgescannt, der Empfänger wird aberbenachrichtigt, falls keine andere Optiongewählt wurde.
6. Klicken Sie auf Speichern.
SMTP-Spam-Scanrichtlinie hinzufügen
SMTP-Spam-Scanrichtlinien werden nur angezeigt, wenn der Legacy-Modus aktiviert ist. DieAppliance agiert als transparenter Proxy.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
SMTP-Scanrichtlinie hinzufügen ermöglicht Ihnen, Scan-Richtlinien zu konfigurieren, umeingehenden und ausgehenden Spam im E-Mail-Verkehr zu erkennen und entsprechendeMaßnahmen zu ergreifen.
1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen, klicken Sie auf Richtlinie hinzufügen unddann auf SMTP-Spam-Scan.
2. Geben Sie einen Namen ein.
3. Tragen Sie die Informationen für E-Mail-Adresse und Domänengruppe ein.
Absender Tragen Sie die E-Mail-Adressen der Absenderein. Sie können folgende Optionen auswählen:
Enthält: Tragen Sie Stichwörter ein, die mitden Absender-E-Mail-Adressen abgeglichenwerden. Die Regel gilt für Adressen, die dieseStichwörter enthalten. Zum Beispiel: Wirddas Stichwort „mail“ eingetragen, erfasstdie Regel die [email protected], [email protected].
Gleicht: Tragen Sie die genauen E-Mail-Adressen der Absender ein.
Über den Link Neu erstellen können Sie auchRBLs, eine Liste mit E-Mail-Adressen oder mitStichwörtern hinzufügen.
Empfänger Tragen Sie die E-Mail-Adressen derEmpfänger ein. Sie können folgende Optionenauswählen:
Enthält: Tragen Sie Stichwörter ein, die mitden Empfänger-E-Mail-Adressen abgeglichenwerden. Die Regel gilt für Adressen, die dieseStichwörter enthalten. Zum Beispiel: Wirddas Stichwort „mail“ eingetragen, erfasstdie Regel die Empfä[email protected], [email protected].
Copyright © 2018 Sophos Limited 247
XG Firewall
Gleicht: Tragen Sie die genauen E-Mail-Adressen der Empfänger ein.
Über den Link Neu erstellen können Sie auchRBLs, eine Liste mit E-Mail-Adressen oder mitStichwörtern hinzufügen.
4. Wählen Sie die Filterkriterien aus.
Eingehende E-Mail ist Alle E-Mails, die von den Benutzern in ihrenPosteingängen empfangen werden, werdenals „eingehend“ bezeichnet.
Wenn Sie eingehenden Spam auswählen,werden alle E-Mails, die von den Benutzernempfangen werden, von der Appliance aufSpam und Viren gescannt.
Erkennt die Appliance in der eingehenden E-Mail eine der folgenden Bedrohungen, wird diejeweils festgelegte Maßnahme durchgeführt:
Spam Wahrscheinlich Spam VirenverbreitungWahrscheinliche Virenverbreitung
Ausgehende E-Mail ist E-Mails, die von einem Benutzer im Netzwerkan einen Remote-Benutzer auf einem anderenE-Mail-System gesendet werden, werden als„ausgehend“ bezeichnet.
Wenn Sie ausgehenden Spam auswählen,werden alle E-Mails, die von den lokalenBenutzern gesendet werden, von derAppliance auf Spam und Viren gescannt,bevor Sie übermittelt werden.
Erkennt die Appliance in der ausgehenden E-Mail eine der folgenden Bedrohungen, wird diejeweils festgelegte Maßnahme durchgeführt:
Spam Wahrscheinlich Spam VirenverbreitungWahrscheinliche Virenverbreitung
Quell-IP-Adresse/-Netzwerkadresse Legen Sie die Maßnahme fest, diedurchgeführt werden soll, wenn die IP-Adresse des E-Mail-Absenders mit derhinterlegten IP-Adresse übereinstimmt.
Ziel-IP-Adresse/-Netzwerkadresse Legen Sie die Maßnahme fest, diedurchgeführt werden soll, wenn die IP-Adresse des E-Mail-Empfängers mit derhinterlegten IP-Adresse übereinstimmt.
Absender entfernter Blacklist Legen Sie die Maßnahme fest, diedurchgeführt werden soll, wenn der Absenderin der ausgewählten RBL-Gruppe enthaltenist.
248 Copyright © 2018 Sophos Limited
XG Firewall
Größe der Nachricht Die festgelegte Maßnahme wird durchgeführt,wenn die Größe der E-Mail mit derfestgelegten Größe übereinstimmt.
Nachrichten-Header Die festgelegte Maßnahme wird durchgeführt,wenn der Nachrichten-Header mit demfestgelegten Text übereinstimmt oder diesenenthält.
Enthält: Geben Sie Stichwörter ein, diemit dem Nachrichten-Header abgeglichenwerden. Die Regel erfasst Header, die dieseStichwörter enthalten.
Gleicht: Tragen Sie die exakten Header ein,nach denen gescannt werden soll.
Sie können Nachrichten-Header anhandfolgender Felder auf Spam scannen:
Betreff: Die festgelegte Maßnahme wirddurchgeführt, wenn der Nachrichten-Headerden entsprechenden Text im Betreff enthält.Von: Die festgelegte Maßnahme wirddurchgeführt, wenn der Nachrichten-Headerden zutreffenden Text enthält. An: Diefestgelegte Maßnahme wird durchgeführt, wennder Nachrichten-Header den zutreffenden Textenthält. Sonstige: Die festgelegte Maßnahmewird durchgeführt, wenn der entsprechendeText in den Headern gefunden wird.
Datenkontrollliste Die festgelegte Maßnahme wirddurchgeführt, wenn die NachrichtDaten enthält, die mit der konfiguriertenDatenschutzrichtlinie übereinstimmen. Siekönnen Datenschutzrichtlinien unter E-Mail >Datenkontrollliste erstellen.
HinweisDatenschutz ist nur auf ausgehende E-Mails anwendbar.
Keine Wählen Sie diese Option aus, um ohneweitere Bedingungen eine Regel für E-Mailszwischen einem bestimmten Sender undEmpfänger zu erstellen. Sie können alleinauf Basis des Senders und EmpfängersMaßnahmen für SMTP/S-, POP3/S- oderIMAP/S-E-Mails festlegen.
5. Wählen Sie die Maßnahme aus.
Maßnahme Wählen Sie die Maßnahme aus, die für denSMTP/S-Datenverkehr durchgeführt werdensoll.
Copyright © 2018 Sophos Limited 249
XG Firewall
Verfügbare Optionen:
Ablehnen: Die E-Mail wird abgelehnt undeine entsprechende Nachricht wird an denE-Mail-Absender geschickt. Annehmen(Nicht verfügbar für ausgehenden Spam):Die E-Mail wird zugelassen und an denvorgesehenen Empfänger zugestellt. DerAdministrator kann diese Maßnahme mit einerSPX-Vorlage verbinden, sodass die E-Mail anden vorgesehenen Empfänger zugestellt wird,nachdem sie per SPX verschlüsselt wurde.
HinweisSPX-Verschlüsselung ist nur aufausgehende E-Mails anwendbar.
Empfänger ändern: Die E-Mail wird zugelassen,aber nicht an den Empfänger zugestellt, anden die Nachricht ursprünglich gesendetwurde. Stattdessen wird die E-Mail an denEmpfänger gesendet, der in der Spam-Richtlinie festgelegt ist. Präfix im Betreffeinfügen (Nicht verfügbar für ausgehendenSpam): Die E-Mail wird zugelassen und an denvorgesehenen Empfänger zugestellt, jedocherst nachdem der Betreffzeile ein bestimmterText hinzugefügt wurde. Der Administrator kanneine SPX-Vorlage an diese Maßnahme binden,sodass die E-Mail an den vorgesehenenEmpfänger zugestellt wird, nachdem sie perSPX verschlüsselt wurde. Kennzeichnungenwerden im Feld An spezifiziert. Sie könnendie zum Betreff hinzugefügte Kennzeichnungso anpassen, dass der Empfänger weiß, dasses sich um eine Spam-E-Mail handelt. Hiereinige Beispiele, welche Kennzeichnungendem ursprünglichen Betreff hinzugefügt werdenkönnen: „Spam-Benachrichtigung von XGFirewall –“ Ursprünglicher Betreff: „Dies ist einTest“ Empfänger erhält E-Mail mit folgendemBetreff: „Spam-Benachrichtigung von XGFirewall – Dies ist ein Test“ Verwerfen: DieE-Mail wird abgelehnt, es wird jedoch keineentsprechende Nachricht an den E-Mail-Absender geschickt.
SPX-Vorlage Wenn die gewählte Maßnahme Annehmen,Präfix im Betreff einfügen oder Mit SPXannehmen ausgewählt wurde, wählen Siedie SPX-Vorlage aus, die auf die E-Mailangewendet werden soll. Sie können eineSPX-Vorlage unter E-Mail > Verschlüsselungerstellen.
250 Copyright © 2018 Sophos Limited
XG Firewall
HinweisSPX-Verschlüsselung ist nur aufausgehende E-Mails anwendbar.
Isolieren Wenn diese Option aktiviert ist, stellt dieAppliance E-Mails nicht zu, sondern kopiertsie stattdessen in die Quarantäne-Dateiliste.Details zur E-Mail wie z.B. Absenderund Empfänger der E-Mail können in derQuarantäne-Dateiliste angezeigt werden.
6. Klicken Sie auf Speichern.
POP/IMAP-Scanrichtlinie hinzufügen
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Fügen Sie eine POP/IMAP-Scanrichtlinie hinzu, um ein- und ausgehenden Spam in POP/S- undIMAP/S-Verkehr zu erkennen.
1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen.
2. Klicken Sie auf Richtlinie hinzufügen und klicken Sie auf POP-IMAP-Scan.
3. Geben Sie einen Namen ein.
4. Tragen Sie die Details für E-Mail-Adresse/Domänengruppe ein.
Absender Um die Absender-E-Mail-Adresse festzulegen,wählen Sie aus den folgenden Optionen:
Enthält: Legen Sie Stichwörter fest, die mitden Absender-E-Mail-Adressen abgeglichenwerden. Beispiel: Wenn Sie das Stichwort„mail“ angeben, trifft die Regel auf allefolgenden Absender-E-Mail-Adressen zu:[email protected].
Gleicht: Geben Sie die genaue E-Mail-Adresse des Absenders ein.
Um eine Liste von Stichwörtern oder E-Mail-Adressen hinzuzufügen, klicken Sie auf Neuerstellen.
Empfänger Um die Empfänger-E-Mail-Adressefestzulegen, wählen Sie aus den folgendenOptionen:
Enthält: Legen Sie Stichwörter fest, die mitden Empfänger-E-Mail-Adressen abgeglichenwerden. Beispiel: Wenn Sie das Stichwort„mail“ angeben, trifft die Regel auf allefolgenden Empfänger-E-Mail-Adressen zu:[email protected].
Gleicht: Geben Sie die genaue E-Mail-Adresse des Empfängers ein.
Copyright © 2018 Sophos Limited 251
XG Firewall
Um eine Liste von Stichwörtern oder E-Mail-Adressen hinzuzufügen, klicken Sie auf Neuerstellen.
5. Wählen Sie ein Kriterium aus den folgenden Filterkriterien. Für dieses wird die angegebeneMaßnahme durchgeführt.
Eingehende E-Mail ist Wählen Sie aus den folgenden Optionen:
Spam Wahrscheinlich Spam VirenverbreitungWahrscheinliche Virenverbreitung
Quell-IP-Adresse/-Netzwerkadresse Absender-IP-Adresse stimmt mit angegebenerIP-Adresse überein.
Größe der Nachricht Die Nachrichtengröße des Absenders stimmtmit der angegebenen Begrenzung derNachrichtengröße überein.
Nachrichten-Header Wählen Sie einen der folgenden Nachrichten-Header aus, auf den das angegebeneStichwort zutreffen muss:
Betreff Von An Anderer
Wählen Sie, worauf das Stichwort zutreffenmuss:
Enthält: Geben Sie die Stichwörter ein, die mitdem Nachrichten-Header abgeglichen werden.
Gleicht: Geben Sie die genaueÜbereinstimmung mit den tatsächlichenHeadern ein.
Keine Auswählen um eine Richtlinie zwischenbestimmten Absendern und Empfängernanzulegen, ohne weitere Bedingungenfestzulegen.
6. Wählen Sie die Maßnahme aus.
Maßnahme Wählen Sie aus den verfügbaren Optioneneine Maßnahme:
Verfügbare Optionen:
Annehmen: Die E-Mail wird zugelassen undan den vorgesehenen Empfänger zugestellt.Präfix im Betreff einfügen: Die E-Mail wirdzugelassen und an den vorgesehenenEmpfänger zugestellt, jedoch erst nachdem derBetreffzeile ein bestimmtes Präfix hinzugefügtwurde. Geben Sie das Präfix im An-Feldan. Sie können über das Präfix kenntlichmachen, welches Filterkriterium erfüllt wurde.Beispiel: Original-Betreffzeile: Test-E-MailMarkierter Inhalt: Wahrscheinlich Spam DerEmpfänger erhält die E-Mail mit der Betreffzeile:„Wahrscheinlich Spam: Test-E-Mail“
252 Copyright © 2018 Sophos Limited
XG Firewall
7. Klicken Sie auf Speichern.
12.2.2 Datenkontrollliste
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Diese Funktion ist verfügbar in den Cyberoam-Modellen CR15iNG und höher sowie in allenSophos UTM und Sophos Firewall Modellen.
Sie können eine Datenkontrollliste mit vertraulichen Daten erstellen, indem Sie sie aus derInhaltskontrollliste (CCL) auswählen. Die Firewall stellt Inhaltskontrolllisten (content control lists,CCLs) zur Verfügung, basierend auf fachkundigen Definitionen von gängigen finanziellen undpersonenbezogenen Datentypen. Z.B. Kreditkarten- und Sozialversicherungsnummer, postalischeund E-Mail-Adressen.
Danach können Sie Datenkontrolllisten verwenden, um Datenschutz für E-Mails festzulegen.
Datenkontrollliste hinzufügen
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Diese Funktion ist verfügbar in den Cyberoam-Modellen CR15iNG und höher sowie in allenSophos UTM-Modellen.
Datenkontrollliste Hinzufügen ermöglicht es Ihnen, eine Liste vertraulicher Dateitypen zu erstellen.Die Firewall stellt Inhaltskontrolllisten (content control lists, CCLs) zur Verfügung basierend auffachkundigen Definitionen von gängigen finanziellen und personenbezogenen Datentypen.
1. Gehen Sie zu E-Mail > Datenkontrollliste und klicken Sie auf Hinzufügen.
2. Geben Sie den Namen ein.
3. Wählen Sie die Inhaltskontrolllisten und filtern Sie sie nach Typ und Region.
4. Klicken Sie auf Speichern.
12.2.3 SMTP-Quarantäne
SMTP-Quarantäne ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
SMTP-Quarantäne ermöglicht Ihnen, nach isolierten E-Mails zu filtern. Die Seite zeigt alle E-Mailsan, die von der Appliance aus folgenden Gründen isoliert wurden:
• Von einer blockierten Quell-IP-Adresse
• Ziel ist eine blockierte Ziel-IP-Adresse
• Ist mit einem Virus infiziert
• Zu groß
• Enthält einen blockierten Header
• Enthält nicht-scanbare Inhalte oder geschützte Anhänge
• Ist von RBL blockiert
Copyright © 2018 Sophos Limited 253
XG Firewall
• Ist durch Data Protection (DP) blockiert
• Spam
• Als bösartig eingestuft von Sandstorm
• Aus einem anderen Grund isoliert
Mithilfe des Filters können Sie in der Liste isolierter E-Mails nach E-Mails suchen.
Als Filterergebnis wird eine Liste aller isolierten E-Mails ausgegeben, die den Filterkriterienentsprechen.
Die Gesamtnutzung gibt den Prozentsatz des Quarantänebereichs an, der von isolierten E-Mailsverwendet wird. Wenn der Quarantänespeicher voll ist, werden ältere E-Mails gelöscht.
Quarantäne-Auszug
Der Quarantäne-Auszug ist eine E-Mail mit einer Liste von isolierten E-Mails, die von der Applianceherausgefiltert wurden und sich im Quarantänebereich des Benutzers befinden. Sofern konfiguriert,erhält der Benutzer einen Quarantäne-Auszug in den unter E-Mail > Quarantäne-Auszugfestgelegten Abständen. Der Auszug enthält auch einen Link zum Benutzerportal, wo der BenutzerZugriff auf die isolierten E-Mails hat und die erforderlichen Maßnahmen ergreifen kann.
Freigabe von isolierten E-Mails
Isolierte E-Mails können vom Administrator oder von einem Benutzer freigegeben werden.Der Administrator kann die isolierten E-Mails aus dem Quarantänebereich freigeben; derBenutzer hat diese Möglichkeit im Benutzerportal. Freigegebene isolierte E-Mails werden an denPosteingangsordner des vorgesehenen Empfängers verschickt. Der Administrator kann unter E-Mail > SMTP-Quarantäne auf den Quarantänebereich zugreifen, während der Benutzer sich imBenutzerportal anmelden und unter SMTP-Quarantäne auf den Quarantänebereich zugreifen kann.Wenn der Quarantäne-Auszug konfiguriert ist, erhält der Benutzer in den festgelegten Abständeneinen Auszug der isolierten E-Mails.
Hinweis• Mit einem Virus infizierte E-Mails und E-Mails, die von Sandstorm als bösartig eingestuft
wurden, können nicht freigegeben werden.
• Um mit Sandstorm verbundene E-Mails zu löschen, benötigen Sie Lese- und Schreibrechte fürSandstorm-Aktivität.
12.2.4 Email Encryption
SPX-Verschlüsselung ist verfügbar in Sophos Firewall XG105 und höheren Modellen, inCyberoam CR25iNG und höheren Modellen und in allen Sophos UTM Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email-Protection-Abonnement aktiviert.
Was ist SPX-Verschlüsselung?
Die Verschlüsselung Secure PDF eXchange (SPX) ist eine E-Mail-Verschlüsselung der nächstenGeneration. Sie funktioniert clientlos und lässt sich in jeder Umgebung äußerst bequem einrichtenund anpassen. Mit der SPX-Verschlüsselung werden E-Mail-Nachrichten und Anhänge, die an dieAppliance geschickt werden, in ein PDF-Dokument umgewandelt, das dann mit einem Kennwortverschlüsselt wird. Sie können die Appliance so konfigurieren, dass der Absender die Kennwörter fürdie Empfänger selbst festlegen muss. Eine andere Möglichkeit ist, dass der Server das Kennwort für
254 Copyright © 2018 Sophos Limited
XG Firewall
den Empfänger erzeugt und es für diesen speichert. Oder der Server erstellt ein Einmalkennwort fürden Empfänger.
Die verschlüsselte Nachricht wird an den Mailserver des Empfängers gesendet. Der Empfängerkann mithilfe eines PDF-Readers die E-Mail mit dem Kennwort, das zur Verschlüsselung des PDF-Dokuments verwendet wurde, entschlüsseln. Sämtliche gängigen Smartphone-Plattformen, die PDF-Dateien selbst oder über Drittanbieter unterstützen (inkl. Android-, iOS-, Blackberry- und WindowsMobilegeräte), können SPX-verschlüsselte E-Mails verarbeiten.
Die mit SPX verschlüsselte E-Mail beinhaltet eine Antworten-Schaltfläche, die zum SPX-Reply-Portal führt. Mit dem SPX-Reply-Portal kann der Empfänger auf sichere Weise antworten.
SPX-Verschlüsselung anstoßen
SPX-Verschlüsselung kann durch die folgenden Methoden angestoßen werden. Wenn Sie mehrals eine Methode konfiguriert haben, wird Verschlüsselung in der folgenden Reihenfolge aufausgehende E-Mails angewendet.
1. SPX-Verschlüsselung bei allen ausgehenden E-Mails von bestimmten Domänen durchführen.
2. Wenn ein Treffer bei Inhalten oder dem Schutz vor Datenverlust (DLP, data loss prevention)erzielt wurde.
HinweisSie können diese in der Richtlinie SMTP-Route & -Scan konfigurieren.
Unter Domänen und Routenziel, stellen Sie SPX-Vorlage auf Keine, wenn Sie E-Mailsallein aufgrund von Inhalt oder DLP verschlüsseln wollen.
3. Vom Absender angestoßenes SPX. Es wird von Endbenutzern im E-Mail-Header angewendet.Endbenutzer müssen folgendermaßen vorgehen, um jede E-Mail zu verschlüsseln:
• Bei Microsoft Outlook:
a) Gehen Sie ins Benutzerportal. Laden Sie Sophos Outlook Add-in herunter undinstallieren Sie es.
b) In Outlook, klicken Sie auf Verschlüsseln, um E-Mails zu verschlüsseln.
• Ohne Microsoft Outlook:
a) Setzen Sie das E-Mail-Header-Feld X-Sophos-SPXEncrypt auf „yes“. Das Gerätverwendet die Standard-SPX-Vorlage, sobald der SPX-Header in E-Mails gefunden wird.
SPX-Konfiguration
Standard-SPX-Vorlage Wählen Sie die SPX-Vorlage aus, diestandardmäßig verwendet werden soll. DieStandardvorlage wird verwendet, wennein Benutzer eine E-Mail explizit mit SPXverschlüsselt und keine Vorlage in derInhaltsscanregel ausgewählt ist.
Wenn die Standard-SPX-Vorlage auf Keinegestellt ist, wird die SPX-Verschlüsselung nichtauf die E-Mail angewendet.
Copyright © 2018 Sophos Limited 255
XG Firewall
Sichere Antwort zulassen Geben Sie die maximale Zeit (in Tagen) an, dieder die Empfänger sicher über das SPX-Reply-Portal auf SPX-verschlüsselte E-Mails antwortenkann.
Nicht verwendete Kennwörter behalten für Geben Sie das Ablaufdatum in Tagen für nichtverwendete Kennwörter an.
Wenn zum Beispiel Nicht verwendeteKennwörter behalten für auf drei Tageeingestellt ist, läuft das Kennwort am dritten Tagum 00:00 Uhr ab. Das gilt, wenn keine SPX-verschlüsselte Nachricht an einen bestimmtenEmpfänger gesendet wurde.
Standard: 30 Tage
Kennwortregistrierung zulassen für Geben Sie den Zeitraum in Tagen an, nachdem der Link zum Kennwortregistrierungsportalabläuft.
Standard: 10 Tage
Fehlerbenachrichtigung senden an Geben Sie den Empfänger einer SPX-Fehlerbenachrichtigung an. Sie können dieBenachrichtigung an den Sender schickenoder gar keine Benachrichtigung senden. AlleFehlermeldungen werden im SMTP-Protokollaufgeführt.
SPX-Portaleinstellungen
Hostname Geben Sie die IP-Adresse oder Domäne an,unter welcher das Kennwortregistrierungsportalbereitgestellt wird.
Zugelassene Netzwerke Geben Sie die Netzwerke an, von welchenAnfragen zur Kennwortregistrierung akzeptiertwerden.
Port Geben Sie den Port an, auf dem das SPX-Kennwortregistrierungsportal lauschen soll.
Standard: 8094
SPX-Kennwortzurücksetzung
Kennwort zurücksetzen für Geben Sie die E-Mail-Adresse des Empfängersein, dessen Kennwort Sie zurücksetzenmöchten. Wenn an diese Adresse eineneue SPX-E-Mail versendet wird, muss derEmpfänger vom Absender ein neues Kennworterhalten.
256 Copyright © 2018 Sophos Limited
XG Firewall
SPX-Vorlagen
Die SPX-Vorlage definiert das Layout der PDF-Datei, die Kennworteinstellungen und dieEmpfängeranweisungen. Sie können auch mehrere SPX-Vorlagen definieren. Wenn Sie mehrereKundendomänen verwalten, können Sie diesen selbstdefinierte SPX-Vorlagen zuweisen, die zumBeispiel die passenden Unternehmenslogos und -Texte enthalten.
Eine SPX-Vorlage hinzufügen
SPX-Verschlüsselung ist verfügbar in Sophos Firewall XG105 und höheren Modellen, inCyberoam CR25iNG und höheren Modellen und in allen Sophos UTM Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Auf dieser Seite können Sie neue SPX-Vorlagen definieren oder bestehende Vorlagen ändern.
1. Gehen Sie zu E-Mail > Verschlüsselung > SPX-Vorlagen und klicken Sie auf Hinzufügen.
2. Geben Sie die Parameterwerte für die folgenden Basiseinstellungen ein.
Name Geben Sie einen Namen ein, um die Vorlageeindeutig zu identifizieren. Der Name mussaus einer Zeichenfolge mit alphanumerischenund Sonderzeichen bestehen, mit Ausnahmevon Schrägstrich (/), Backslash (\), Komma(,), Anführungszeichen (") und einfachenAnführungszeichen (').
Beschreibung Geben Sie nähere Informationen zur Vorlagean.
Unternehmensname Geben Sie an, welcher Unternehmensname inden Benachrichtigungen bezüglich SPX, die jenach Ihren Einstellungen an den Administratoroder den E-Mail-Empfänger versendet werden,erscheinen soll.
PDF-Verschlüsselung Wählen Sie den Verschlüsselungsstandard fürPDF-Dateien.
Seitengröße Wählen Sie die Seitengröße der PDF-Datei.
3. Geben Sie die Kennworteinstellungen ein.
Kennworttyp Wählen Sie, wie Sie das Kennwort für denZugriff auf die verschlüsselte E-Mail erzeugenmöchten. Der Absender muss dafür sorgen,dass das Kennwort sicher an den Empfängerübermittelt wird, es sei denn die Option VomEmpfänger festgelegt wurde gewählt.
Verfügbare Optionen:
Vom Absender festgelegt:
Der Absender muss ein Kennwort in denBetreff in folgendem Format eingeben:[secure:<password>]<subjecttext> wobei <password> das Kennwort
Copyright © 2018 Sophos Limited 257
XG Firewall
ist, um die verschlüsselte PDF-Dateizu öffnen und <subject text> derzufällige Betreff ist. Zum Beispiel, Betreff:[Secure:secretp@assword]. Der Absendermuss dem Empfänger das Kennwort separatzukommen lassen. Das Kennwort wirdnicht gespeichert. Das Firewall entferntdas Kennwort, sobald die E-Mail gesendetwird. Diese Methode kann mit jeder Artdes Anstoßes der SPX-Verschlüsselungverwendet werden.
Die Firewall erzeugt das Kennwort undschickt es per E-Mail an den Absender.Der Absender muss dem Empfänger dasKennwort zukommen lassen. Das Kennwortwird nicht gespeichert.
Der HTML-Inhalt dieser E-Mail kannals Betreff der Benachrichtigungoder Benachrichtigungstext formatiertwerden. Sie können den Standardinhaltwiederherstellen, indem Sie auf Zurücksetzen
klicken.
Vom Empfänger festgelegt:
Die Firewall schickt per E-Mail einenKennwortregistrierungslink an Empfänger,die noch nicht für ein Kennwort registriertsind. Nach der Registrierung schickt dieFirewall eine verschlüsselte E-Mail an denEmpfänger, für welche sie das gleicheKennwort verwendet. Das Kennwort wird biszum Ablaufdatum gespeichert. Der Empfängerkann alle zukünftigen E-Mails der Organisationmit diesem Kennwort entschlüsseln. Siekönnen die Ablaufzeit für das Kennwort unterSPX-Konfiguration festlegen.
HinweisWenn ein Empfänger verschiedene E-Mails erhält mit Kennwörtern, die durchErzeugt und für Empfänger gespeichertund Vom Empfänger festgelegt erzeugtwurden, müssen die jeweiligen Kennwörterverwendet werden, um die E-Mails zuentschlüsseln.
4. Anweisungen für den Empfänger festlegen:
Anweisungen für Empfänger Der Nachrichtentext der E-Mail, die überdie Firewall an den E-Mail-Empfängergesendet wird und Anweisungen bezüglich derVerschlüsselung der E-Mail enthält. Einfaches
258 Copyright © 2018 Sophos Limited
XG Firewall
HTML und Hyperlinks sind erlaubt. Sie könnenauch Variablen verwenden, zum Beispiel,
%%ORGANIZATION_NAME%%
TippDie Standard-SPX-Vorlage auf dieser Registerkarte enthält alle verfügbaren Variablen und istein gutes Beispiel für Empfängeranweisungen. Die verwendeten Variablen sind:
• ENVELOPE_TO: Der Empfänger, für den das Kennwort erstellt wird.
• PASSWORD: Das Kennwort zum Öffnen der SPX-verschlüsselten E-Mail
• ORGANIZATION_NAME: Der Name aus dem Feld Name der Organisation
• SENDER: Absender der E-Mail
• REG_LINK: Link zum Registrierungsportal zur Registrierung des Kennworts.
5. SPX-Portaleinstellungen
SPX-Reply-Portal aktivieren Auswählen, um den Benutzern zu ermöglichen,mithilfe des SPX-Reply-Portals sicher auf SPX-verschlüsselte E-Mails zu antworten.
Originalmeldung in die Antwort integrieren Auswählen, um die Originalmeldung in dieAntwort zu integrieren.
12.2.5 Allgemeine Einstellungen
EinschränkungDiese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mit gültigemEmail-Protection-Abonnement aktiviert.
SMTP-Einsatzmodus
Um in den Legacy-Modus zu wechseln, klicken Sie auf die Schaltfläche.
Fußzeilen-Einstellungen ausgehend
E-Mail-Fußzeilenmodus Wählen Sie aus, wie Fußzeilen an ausgehende E-Mails angehängt werden sollen.
HinweisDamit eine Fußzeile angehängt wird,wählen Sie SMTP scannen und SMTPSscannen unter Scans in der betreffendenGeschäftsanwendungsregel aus.
Copyright © 2018 Sophos Limited 259
XG Firewall
E-Mail-Fußzeile Legen Sie eine Fußzeile fest, die an ausgehendeE-Mails angehängt wird. Es sind nur Textbannerzulässig.
Beispiel:
Diese E-Mail enthält vertrauliche Informationen.Sie sind nicht berechtigt, die Inhalte ohneZustimmung des Absenders zu kopieren.Drucken Sie diese E-Mail nur aus, wenn diesunbedingt notwendig ist. Tun Sie etwas für dieUmwelt.
SMTP-Einstellungen
SMTP-Hostname Legen Sie fest, welcher SMTP-Hostname inHELO- und SMTP-Fußzeilen-Strings verwendetwerden soll. Standardmäßig verwendet XGFirewall „Sophos“ als Hostnamen. DieserHostname wird nur für vom System erzeugteBenachrichtigungen verwendet.
Keine E-Mails scannen, die größer sind als Legen Sie die maximale Dateigröße (in KB)für die Scans fest. Dateien, die über SMTP/Seingehen und diese Größe überschreiten, werdennicht gescannt.
Standard: 1024 KB
Geben Sie 0 ein, um die Standard-Größenbeschränkung für Scans auf 51200 KBzu erhöhen.
Maßnahme bei übergroßen E-Mails Legen Sie die Maßnahme bei übergroßen E-Mailsfest.
Verfügbare Optionen:
Annehmen: Alle übergroßen E-Mails werden ohneScan an den Empfänger weitergeleitet.Ablehnen:Alle übergroßen E-Mails werden abgewiesen undder Absender wird benachrichtigt.Verwerfen: Alleübergroßen E-Mails werden verworfen, ohne dassder Absender benachrichtigt wird.
Spamprüfung für SMTP/authentifizierteVerbindungen umgehen
Aktivieren Sie diese Option, damit dieSpamprüfung bei SMTP/S-Verbindungenumgangen wird, welche vom Mailserverauthentifiziert wurden.
Reputation der Absender-IP überprüfen Aktivieren, um die Reputation der IP-Adressedes Absenders zu überprüfen. Ist diese Optionaktiviert, überprüft die Appliance dynamisch dieIP-Adresse des Absenders aller E-Mails. Wirdfestgestellt, dass die IP-Adresse für den Versandvon Spam-Mails oder schädlichen Inhaltenverantwortlich ist, führt die Appliance die in denScanregeln konfigurierte Maßnahme durch.
260 Copyright © 2018 Sophos Limited
XG Firewall
Wird diese Option aktiviert, legen Sie dieMaßnahme für bestätigte Spam-Mails undwahrscheinliche Spam-Mails fest.
Verfügbare Optionen:
Annehmen: Alle Spam-Mails werden nach demScan gemäß der Konfiguration an den Empfängerweitergeleitet. Ablehnen: Alle Spam-Mails werdenabgewiesen und der Absender der E-Mail erhälteine Benachrichtigung. Verwerfen: Alle Spam-Mails werden verworfen, ohne dass der Absenderbenachrichtigt wird.
Da es sich hierbei um eine globale Optionhandelt, werden – sofern die Spamprüfungaktiviert ist – alle E-Mails zunächst einer IP-Reputationsfilterung unterzogen; daran schließtsich eine Filterung basierend auf den in derSpam-Richtlinie konfigurierten Maßnahmen an.
Standard: Deaktiviert
SMTP-DoS-Einstellungen Aktivieren Sie diese Option, um die SMTP-DoS-Einstellungen zu konfigurieren, die das Netzwerkvor SMTP-DoS-Angriffen schützen.
Wird diese Option aktiviert, legen Sie Wertefür Max. Anzahl Verbindungen, Max. AnzahlVerbindungen/Host, Max. Anzahl E-Mails/Verbindung, Max. Anzahl Empfänger/E-Mail, E-Mail-Durchsatz je Minute/Host undVerbindungsdurchsatz je Sekunde/Host fest.
Max. Anzahl Verbindungen Legen Sie die maximale Anzahl der Verbindungenfest, die mit dem Mailserver aufgebaut werdenkönnen.
Standard: 1024
Zulässiger Bereich: 1 bis 20000
Max. Anzahl Verbindungen/Host Legen Sie die maximale Anzahl der Verbindungenfest, die mit dem Mailserver aufgebaut werdendürfen.
Standard: 64
Zulässiger Bereich: 1 bis 10000
Max. Anzahl E-Mails/Verbindung Legen Sie die maximale Anzahl von E-Mailsfest, die in einer einzelnen Verbindung geschicktwerden können.
Standard: 512
Zulässiger Bereich: 1 bis 1000
Max. Anzahl Empfänger/E-Mail Legen Sie die maximale Anzahl an Empfängerneiner E-Mail fest.
Standard: 100
Copyright © 2018 Sophos Limited 261
XG Firewall
Zulässiger Bereich: 1 bis 256
E-Mail-Durchsatz Legen Sie die Anzahl von E-Mails fest, dieinnerhalb einer Minute von einem Host gesendetwerden können.
Standard: 512
Zulässiger Bereich: 1 bis 20000
Verbindungsrate Legen Sie die Anzahl von Verbindungen fest, dieinnerhalb einer Sekunde von einem Host zumMailserver aufgebaut werden dürfen.
Standard: 8
Zulässiger Bereich: 1 bis 20000
POP/S- und IMAP/S-Einstellungen
Keine E-Mails scannen, die größer sind als Legen Sie die maximale Dateigröße (in KB)für die Scans fest. Dateien, die über POP/IMAP eingehen und diese Größe überschreiten,werden nicht gescannt.
Standard: 1024 KB
Geben Sie 0 ein, um die Standard-Größenbeschränkung auf 10240 KB zuerhöhen.
Empfänger-Header Legen Sie den Header zur Ermittlung desEmpfängers für POP3/IMAP fest.
Standard: Delivered-To, Received, X-RCPT-TO
SMTP-TLS-Konfiguration
TLS-Zertifikat Wählen Sie aus den verfügbaren Optionendas CA-Zertifikat oder Server-Zertifikat für diePrüfung des SMTP-Datenverkehrs über SSLaus.
Verfügbare Optionen:
Default Appliance-ZertifikatSecurityAppliance_SSL_CA Liste eigener CAsund Server-Zertifikaten, falls vorhanden. Siekönnen eine eigene CA unter Zertifikate >Zertifizierungsstellen (CA) erstellen und eineigenes Server-Zertifikat unter Zertifikate >Zertifikate.
Ungültiges Zertifikat zulassen Ist diese Option aktiviert, werden SMTP-über-SSL-Verbindungen mit ungültigem Zertifikat vomMailserver zugelassen. Deaktivieren Sie diese
262 Copyright © 2018 Sophos Limited
XG Firewall
Option, wenn solche Verbindungen abgewiesenwerden sollen.
Standard: Aktiviert
Veraltete TLS-Protokolle deaktivieren Ist diese Option aktiviert, werden Protokollevor TLS Version 1.1 deaktiviert. Um TLS-Verwundbarkeiten zu vermeiden, empfehlenwir die Deaktivierung von veralteten TLS-Protokollen.
Standard: Deaktivieren
TLS-Aushandlung erfordern Wählen Sie aus den verfügbaren Optionenden Remote-Host (Mailserver) oder dasNetzwerk aus, bei dem TLS-Verschlüsselungeingesetzt werden soll. Mit anderen Worten,die Appliance initiiert immer TLS-gesicherteVerbindungen, wenn E-Mails an ausgewählteHosts/Netzwerke geschickt werden sollen. WennTLS durchgesetzt wird, aber die Verbindungnicht hergestellt werden kann, werden E-Mails an den betreffenden Host/das Netzwerkverworfen.
Absender-E-Mail-Domänen erfordern Geben Sie die Absenderdomäne an, für dieTLS-Verschlüsselung bei E-Mail-Verbindungenerzwungen werden soll. Die Absender-Domäneist die Domäne des E-Mail-Absenders. E-Mailsvon der festgelegten Absender-Domäne werdennur über TLS-verschlüsselte Verbindungengesendet. Wenn TLS eingesetzt wird, aberdie Verbindung nicht hergestellt werden kann,werden E-Mails von der betreffenden Absender-Domäne verworfen.
TLS-Aushandlung auslassen Wählen Sie aus den verfügbaren Optionenden entfernten Host (Mailserver) oder dasNetzwerk aus, bei dessen Verbindungen dieTLS-Verschlüsselung übersprungen oderumgangen werden soll. Sofern konfiguriert,werden SMTP-Verbindungen zu ausgewähltenHosts in Klartext und unverschlüsselt hergestellt.
POP- und IMAP-TLS-Konfiguration
TLS-Zertifikat Wählen Sie aus den verfügbaren Optionendie CA für die Prüfung des POP- und IMAP-Datenverkehrs über SSL aus.
Verfügbare Optionen:
DefaultSecurityAppliance_SSL_CAListe eigenerCAs, sofern hinzufügt. Sie können eine eigeneCA unter Zertifikate > Zertifizierungsstellen(CA) erstellen.
Copyright © 2018 Sophos Limited 263
XG Firewall
Ungültiges Zertifikat zulassen Ist diese Option aktiviert, werden POP-und IMAP-Verbindungen über SSL mitungültigem Zertifikat vom Mailserver zugelassen.Deaktivieren Sie diese Option, wenn solcheVerbindungen abgelehnt werden sollen.
Standard: Aktiviert
Veraltete TLS-Protokolle deaktivieren Ist diese Option aktiviert, werden Protokollevor TLS Version 1.1 deaktiviert. Um TLS-Verwundbarkeiten zu vermeiden, empfehlenwir die Deaktivierung von veralteten TLS-Protokollen.
Standard: Deaktivieren
E-Mail-Journaling
Da E-Mails zu den wichtigsten Kommunikationsmedien gehören und mittlerweile fester Bestandteilim Geschäftsalltag sind, ist das Aufbewahren von E-Mails in Unternehmen unerlässlich geworden.
Mithilfe des E-Mail-Journaling können Sie alle eingehenden E-Mails oder E-Mails für einenbestimmten Empfänger oder eine Empfängergruppe aufbewahren und dadurch ein Auge aufPreisgabe von Daten haben.
Die Appliance kann alle E-Mails aufbewahren, die an einen oder mehrere Empfänger gerichtet sind,und diese dann an einen oder mehrere Administratoren weiterleiten.
In diesem Bereich wird eine Liste der erstellten Archivdateien angezeigt und Sie haben dieMöglichkeit, eine neue Archivdatei hinzuzufügen, die Einstellungen einer vorhandenen Archivdateizu aktualisieren oder die Archivdatei zu löschen. Sie können die Liste nach Empfängername filtern.
Malware Protection
Malware Protection ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR500iNG,Sophos UTM SG105 und höheren Modellen.
Sophos XG Firewall bietet duale Viren-Scans an, bei welchen der Datenverkehr von zwei (2) Anti-Virus-Engines geprüft wird. Zuerst wird der Datenverkehr von der primären Engine gescannt undanschließend von der sekundären Engine.
Primäre Antiviren-Engine Wählen Sie die primäre Anti-Virus-Engine zurPrüfung des Datenverkehrs aus. Bei dualenScans werden die Pakete erst von der primärenAnti-Virus-Engine gescannt, dann von dersekundären. Beim Einzelscan wird nur dieprimäre Engine verwendet.
Verfügbare Optionen:
SophosAvira
HinweisDie Auswahl von Avira deaktiviert Sandstorm in allen SMTP-Richtlinien mit einem einfachemAntivirenscan.
264 Copyright © 2018 Sophos Limited
XG Firewall
E-Mail-Journal hinzufügen
E-Mail-Journal gibt es nur im Legacy-Modus (wenn die Appliance als a transparenter Proxyagiert).
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email-Protection-Abonnement aktiviert.
E-Mail-Journal hinzufügen ermöglicht es Ihnen, Kopien von E-Mails von bestimmten Empfängernan andere E-Mail-Adressen weiterzuleiten. Sie können zum Beispiel einen Administrator alsEmpfänger angeben.
1. Gehen Sie zu E-Mail > Allgemeine Einstellungen und klicken Sie unter E-Mail-Journal aufHinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie als Empfänger Alle, um alle eingehenden E-Mail ins Journal aufzunehmen. Alternativkönnen Sie die Adressgruppen auswählen, von deren E-Mails dann Kopien an die verschiedenenE-Mail-Adressen weitergeleitet werden.
4. Geben Sie bei Kopie der E-Mail senden an die E-Mail-Adresse an, an die eine Kopie der E-Mailsweitergeleitet werden soll.
HinweisKopie der E-Mail senden an (nur bei SMTP/S-Protokoll).
5. Klicken Sie auf Speichern.
12.2.6 Adressgruppen
Richtlinien und Ausnahmen werden auf E-Mail-Adressen angewendet. Um die Konfiguration zuerleichtern, kann der Administrator Adressen gruppieren, die dieselbe Scanrichtlinie erfordern.Die Richtlinie, die auf die Adressgruppe angewendet wird, gilt für alle Gruppenmitglieder. Wirddie Gruppe in einer Reihe von Regeln verwendet, ist es daher wesentlich einfacher, der GruppeAdressen hinzuzufügen oder Adressen aus dieser zu entfernen, anstatt einzelne Regeln zuaktualisieren. Denn auf diese Weise kann der Administrator mit nur einer Aktualisierung alle Regelngleichzeitig anpassen.
Eine Adressgruppe ist eine Gruppierung anhand von:
• E-Mail-Adresse oder Domäne
• IP-Adresse
• Realtime Blackhole List (RBL) (nur für Spam-E-Mails anwendbar)
Eine Adresse kann zu mehreren Gruppen gehören.
Eine RBL ist eine Liste mit IP-Adressen, deren Eigentümer selbst für Spam verantwortlich sindoder deren System zur Verbreitung von Spam missbraucht wird. Diese IP-Adressen können auchzur Verbreitung von Viren genutzt werden. Die Appliance gleicht die verbindende IP-Adresse mitjeder RBL ab. Wird die IP-Adresse in einer der RBLs gefunden, wird die Maßnahme durchgeführt,die in der Richtlinie festgelegt ist. Der Administrator kann entweder die beiden im Lieferumfang derAppliance enthaltenen Standard-RBL-Gruppen verwenden oder diese entsprechend den eigenenAnforderungen aktualisieren:
• Premium-RBL-Dienste
Copyright © 2018 Sophos Limited 265
XG Firewall
• Standard-RBL-Dienste
Die Seite „Adressgruppe“ enthält eine Liste mit allen Standardgruppen sowie allenbenutzerdefinierten Gruppen. Über die Optionen auf der Seite können Gruppen hinzugefügt,Parameter aktualisiert, Adressen in bestehende Gruppen importiert oder eine Gruppe gelöschtwerden. Sie können die Liste anhand des Namens der Adressgruppe filtern.
Adressgruppe hinzufügen
1. Gehen Sie zu E-Mail > Adressgruppe und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen und eine Beschreibung ein.
3. Gruppentyp: Auswählen um E-Mail-Adressen oder Domänen zur Adressgruppe hinzuzufügen.
Verfügbare Optionen:
RBL (IPv4) oder RBL (IPv6):
Auswählen, um RBLs mit IPv4 oder IPv6-Adressen oder Domänennamen hinzuzufügen.
Wenn die sich verbindende IP-Adresse in der RBL gefunden wird, führt die Appliance dieMaßnahme durch, die in der entsprechenden Richtlinie definiert ist.
E-Mail-Adresse/Domäne:
Auswählen, um E-Mail-Adresse oder Domänenname hinzuzufügen.
Importieren: Auswählen, um eine CSV- oder Textdatei hochzuladen.
Manuell: Auswählen, um individuelle E-Mail-Adressen oder Domänen hinzuzufügen.
Hinweis• Sie können maximal 400 E-Mail-Adressen oder Domänen in einer einzigen Datei
importieren.
• Ungültige und doppelte Einträge werden nicht importiert.
4. Klicken Sie auf Speichern.
12.2.7 Dateitypen
Ein Dateityp ist eine Klassifizierung, die von der Dateierweiterung oder dem MIME-Typ bestimmt wird.Sie können Dateitypen in Internetrichtlinien einbinden, um den Zugriff auf Dateien zu kontrollieren. DieStandardtypen enthalten einige gebräuchliche Kriterien und Sie können zusätzliche Typen erstellen.
• Um einen Dateityp bearbeiten, klicken Sie auf
.
Zugehörige AufgabenDateityp hinzufügen (Seite 157)
Dateityp hinzufügen
1. Gehen Sie zu Internet > Dateitypen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Optional: Wählen Sie eine Vorlage aus.
266 Copyright © 2018 Sophos Limited
XG Firewall
Vorlagen organisieren häufig genutzte Dateierweiterungen und MIME-Headers nach Kategorie,z.B. Videodateien. Sie können Vorlagen verwenden, anstatt Erweiterungen und MIME-Headerseinzutippen.
4. Legen Sie Dateierweiterungen und MIME-Headers fest.
HinweisGeben Sie vor den Dateierweiterungen keinen Punkt (.) ein.
5. Klicken Sie auf Speichern.
Zugehörige KonzepteDateitypen (Seite 157)Ein Dateityp ist eine Klassifizierung, die von der Dateierweiterung oder dem MIME-Typ bestimmt wird.Sie können Dateitypen in Internetrichtlinien einbinden, um den Zugriff auf Dateien zu kontrollieren. DieStandardtypen enthalten einige gebräuchliche Kriterien und Sie können zusätzliche Typen erstellen.
12.2.8 Quarantäne-Auszug
Quarantäne-Auszug ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, SophosUTM SG105 und höheren Modellen.
Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mitgültigem Email Protection-Abonnement aktiviert.
Der Quarantäne-Auszug ist eine E-Mail mit einer Liste von isolierten E-Mails, die von der Applianceherausgefiltert wurden und sich im Benutzer-Quarantänebereich befinden. Sofern konfiguriert, erhältder Benutzer einen Quarantäne-Auszug in den auf dieser Seite festgelegten Abständen. Der Auszugenthält auch einen Link zum Benutzerportal, wo der Benutzer Zugriff auf die isolierten E-Mails hatund die erforderlichen Maßnahmen ergreifen kann.
Die Einstellungen für den Quarantäne-Auszug können global für alle Benutzer oder für einzelneBenutzer konfiguriert werden. Der Benutzer erhält den Quarantäne-Auszug in der festgelegtenHäufigkeit.
Der Quarantäne-Auszug enthält für jede isolierte Nachricht folgende Informationen:
• Datum und Uhrzeit: Datum und Uhrzeit des Erhalts der Nachricht
• Absender: E-Mail-Adresse des Absenders
• Empfänger: E-Mail-Adresse des Empfängers
• Betreff: Betreff der Nachricht
HinweisDer Quarantäne-Auszug ist nicht für WLAN-Geräte verfügbar.
Quarantäne-Auszug für alle Benutzer konfigurieren
Quarantäne-Auszug aktivieren Aktivieren Sie den Quarantäne-Auszug,um den Auszugservice für alle Benutzer zukonfigurieren.
Copyright © 2018 Sophos Limited 267
XG Firewall
E-Mail-Häufigkeit Legen Sie die Häufigkeit für den Versand desAuszugs fest.
Auszüge können stündlich, täglich zurkonfigurierten Uhrzeit oder wöchentlich an demkonfigurierten Tag zu der festgelegten Uhrzeitversendet werden.
Von E-Mail-Adresse Geben Sie die E-Mail-Adresse an, von der dieE-Mail gesendet werden soll.
Name anzeigen Legen Sie den Namen des E-Mail-Absendersfest. Die Auszug-E-Mail wird mit diesem Namengesendet.
Test-E-Mail senden Klicken Sie hier und geben Sie eine E-Mail-Adresse ein, an welche die Nachricht zurÜberprüfung der E-Mail-Adresse gesendetwerden soll.
Referenz-Benutzerportal-IP Wählen Sie aus der Auswahlliste Referenz-Benutzerportal-IP die Schnittstellen-/Port-IPaus.
Der Link zum Benutzerportal in der Auszug-E-Mail verweist auf diese IP-Adresse. DerBenutzer kann auf den Link klicken, um zuseinen isolierten Nachrichten zu gelangen unddie erforderlichen Maßnahmen zu ergreifen.Benutzer, die sich nicht über die festgelegteSchnittstelle verbinden, haben direkt über ihrKonto Zugriff auf die isolierten E-Mails.
Quarantäneberichte auslassen Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse desjenigen ein, dessen isolierte E-Mails Sie vom Quarantäne-Auszug ausschließenwollen. Sie können zum Beispiel die Alias-E-Mail-Adresse „[email protected]“ hinzufügen,um deren isolierte E-Mails vom Quarantäne-Auszug auszuschließen, welcher an Benutzergesendet wird, die Teil des Alias sind.
Quarantäne-Auszug-Einstellungen desBenutzers ändern
Klicken Sie hier, um die Auszug-Einstellungeneinzelner Benutzer zu ändern.
Hier können Sie die Gruppe auswählen unddie Quarantäne-Auszug-Einstellungen vonGruppenmitgliedern aktualisieren.
Quarantäne-Auszug-Einstellungen für bestimmte Benutzer überschreiben
Klicken Sie auf Quarantäne-Auszug-Einstellungen des Benutzers ändern, um die Auszug-Einstellungen für einzelne Benutzer zu ändern. Daraufhin öffnet sich ein neues Popup-Fensternamens Quarantäne-Auszug verwalten, in dem Sie nach Gruppen und Benutzern suchen können.
Sie können einzeln nach Benutzern und Benutzergruppen suchen.
268 Copyright © 2018 Sophos Limited
XG Firewall
Setzen Sie zum Aktivieren des Quarantäne-Auszug ein Häkchen in das Auswahlkästchen nebendem betreffenden Benutzer. Ist diese Option aktiviert, gelten für den Benutzer die konfiguriertenQuarantäne-Auszug-Einstellungen.
Copyright © 2018 Sophos Limited 269
XG Firewall
Kapitel 13
13 WebserverSie können Webserver vor Layer-7-Schwachstellen-Exploits schützen. Diese Angriffe umfassenManipulationen von Cookies, URLs und Formularen. Verwenden Sie diese Einstellungen, umWebserver, Schutzrichtlinien und Authentifizierungsrichtlinien für die Verwendung in WAF-Regen(Web Application Firewall) zu definieren. Allgemeine Einstellungen erlauben Ihnen, Webserver vorSlowHTTP-Angriffen zu schützen.
• Um den WAF-Dienst zu verwalten, gehen Sie zu Systemdienste > Dienste.
13.1 WebserverLegen Sie die Server fest, die geschützt werden sollen. Webserver legen einen Host, einen Typ undweitere Verbindungseinstellungen fest. Sie können Klartext- (HTTP) und verschlüsselte (HTTPS)Server schützen.
Zugehörige AufgabenWebserver hinzufügen (Seite 270)
13.1.1 Webserver hinzufügen
Sie müssen einen IP-Host oder FQDN-Host erstellen.
1. Gehen Sie zu Webserver > Webserver und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Host Serverhost. Sie müssen einen IP-Host oderFQDN-Host erstellen oder auswählen.
HinweisFQDN-Hosts sind mit mehreren Servernkompatibel.
Typ Protokoll, das für die Kommunikation zwischender Firewall und dem Server verwendetwerden soll. Sie können Klartext- (HTTP) undverschlüsselte (HTTPS) Server schützen.
Port Server-Port. Standardmäßig wird derStandardport des ausgewählten Webservertypsangegeben.
Aufrechterhaltung Die Verbindung zwischen der Firewall unddem Webserver offenhalten, um nicht für jedeAnfrage eine neue Verbindung herstellen zumüssen.
270 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
HinweisÜberprüfen Sie, ob Ihr WebserverAufrechterhaltung (keep-alive) unterstützt,bevor Sie diese Einstellung einschalten.
Zeitüberschreitung Zeit in Sekunden, die die Verbindung offengehalten werden soll.
Backendverbindungen nicht wiederverwenden Alte Verbindungen aus dem Verbindungspoolnicht wiederverwenden und stattdessen jedesMal eine neue Verbindung mit dem Backend-Server herstellen.
HinweisDas Einschalten dieser Einstellung kannzu reduzierter Leistung führen und wird nurzum Zweck der Fehlersuche empfohlen.
4. Klicken Sie auf Speichern.
Zugehörige KonzepteIP-Host (Seite 498)Auf der Seite IP-Host wird eine Liste aller dynamischen Hosts, Standardhosts und manuellhinzugefügten Hosts angezeigt.
FQDN-Host (Seite 501)Auf der Seite FQDN-Host wird eine Liste aller verfügbaren FQDN-Hosts angezeigt.
Webserver (Seite 270)Legen Sie die Server fest, die geschützt werden sollen. Webserver legen einen Host, einen Typ undweitere Verbindungseinstellungen fest. Sie können Klartext- (HTTP) und verschlüsselte (HTTPS)Server schützen.
13.2 SchutzrichtlinienMithilfe von Richtlinien können Sie sich vor dem Ausnutzen von Schwachstellen schützen, wieder Manipulation von Cookies, URLs oder Formularen. Richtlinien verhindern auch verbreiteteBedrohungen wie Protokollverletzungen und Cross-Site-Scripting-(XSS)-Angriffe. Die Firewall bietetStandardrichtlinien für die Verwendung mit gängigen Internetdiensten.
Schutzeinstellungen
Cookie-Signierung Mit Cookie-Signierung können Sie Versuche,private Sitzungsdaten zu erlangen undbetrügerische Aktivitäten durch Cookie-Manipulationen durchzuführen, vereiteln. Wennder Webserver einen Cookie setzt, wird einzweiter Cookie dem ersten hinzugefügt. Dieserenthält einen Hash, der aus Namen und Wert des
Copyright © 2018 Sophos Limited 271
XG Firewall
primären Cookies erstellt ist, und ein Geheimnis,das nur der Firewall bekannt ist. Wenn eineAnfrage kein stimmiges Cookie-Paar ergibt, wirdder Cookie verworfen.
Statisches URL-Hardening Statisches URL-Hardening verhindert, dassBenutzer so genannte „Deep Links“ manuellerstellen, über die sich Unbefugte Zugriffverschaffen können. Wenn ein Client eineWebseite anfragt, werden alle statischen URLsder Webseite signiert, wobei eine Methodeähnlich der Cookie-Signierung verwendetwird. Zudem wird die Anfrage vom Webserveranalysiert und auf Links geprüft, die als nächstesordnungsgemäß angefragt werden können.
Form-Hardening Um SQL-Injection und andere Exploitszu verhindern, erhält Form-Hardening dieursprüngliche Struktur des Webformulars aufrechtund signiert es. Wenn sich die Struktur einesFormulars beim Abschicken verändert hat, weistdie Firewall die Anfrage ab.
Antivirus Einen Webserver vor Viren schützen.
Clients mit schlechtem Ruf blockieren Clients blockieren, die gemäß den Echtzeit-Blackhole-Listen (Real-time Blackhole Lists, RBL)und der GeoIP-Information einen schlechtenRuf haben. Als RBLs verwendet die FirewallCyren IP reputation intelligence und SORBS.Für GeoIP verwendet die Firewall Maxmind. DieFirewall blockiert Clients, die zu den A1 (anonymeProxys oder VPN-Dienste) und A2 (Satelliten-ISP)Klassifikationen gehören.
Allgemeiner Bedrohungsschutz
Protokollverletzungen Einhaltung der RFC-Standardspezifikation desHTTP/S Protokolls erzwingen. Wenn dieseStandards nicht eingehalten werden, weist dies inder Regel auf eine bösartige Absicht hin.
Protokollanomalien Nach häufig auftretenden Benutzungsmusternsuchen. Wenn solche Muster fehlen, weist dieshäufig auf bösartige Anfragen hin. Zu diesenMustern gehören unter anderem HTTP-Kopfzeilenwie „Host“ und „User-Agent“.
Grenzwerte anfragen Angemessene Grenzwerte in Bezugauf die Anzahl und den Bereich vonAnfrageargumenten erzwingen. Wenn übermäßigviele Anfrageargumente genutzt werden, ist diesein typischer Angriffsvektor.
HTTPS-Richtlinie Die zulässige Nutzung des HTTP-Protokollseinschränken. Webbrowser nutzen in der Regelnur einen begrenzten Teil aller möglichen HTTP-Optionen. Wenn selten genutzte Optionen nicht
272 Copyright © 2018 Sophos Limited
XG Firewall
erlaubt sind, schützt dies vor Angreifern, die aufdiese wenig unterstützten Optionen abzielen.
Schädliche Roboter Nach Eigenschaften der Nutzungsmuster vonBots und Crawlern suchen. Indem diesender Zugriff verweigert wird, können möglicheSchwachstellen Ihrer Webserver nicht so einfachentdeckt werden.
Generische Angriffe Nach versuchten Ausführungen von Befehlensuchen, die häufig bei Angriffen zum Einsatzkommen. Wenn ein Angreifer einen Webservererreicht hat, versucht er in der Regel auf demServer Befehle auszuführen, zum Beispielzur Erweiterung von Berechtigungen oderManipulation von Datenspeichern. Indem nachdiesen Ausführungsversuchen gesucht wird,können Angriffe erkannt werden, die ansonsteneventuell nicht bemerkt werden, zum Beispiel weilsie mittels legitimen Zugriff auf einen gefährdetenDienst abzielen.
SQL-Injection-Angriffe Die Anfrageargumente auf eingebettete SQL-Befehle und Maskierungszeichen prüfen. Diemeisten Angriffe auf einen Webserver zielen aufdie Eingabefelder ab, die für direkte eingebetteteSQL-Befehle an die Datenbank verwendetwerden.
XSS-Angriffe Die Anfrageargumente auf eingebettete Script-Tags und Code prüfen. Typische Scripting-Angriffe über mehrere Webseiten hinweg zielendarauf ab, in die Eingabefelder eines ZielserversScript-Code zu injizieren, oftmals auf legitimeWeise.
Hohe Sicherheit Engmaschige Sicherheitsprüfungen für Anfragendurchführen, z.B. Prüfung auf verbotene Path-Traversal-Versuche.
Trojaner Auf Nutzungsmuster prüfen, die typisch sind fürTrojaner.
HinweisDiese Einstellung verhindert nicht dieInstallation von Trojanern. Der Schutzvor Trojanern wird durch Antiviren-Scanssichergestellt.
Ausgehend Verhindern, dass Webserver Informationen anden Client preisgeben. Hierzu gehören unteranderem Fehlermeldungen, die von Servernversendet werden und die von Angreifern genutztwerden, um sensible Daten zu sammeln oderSchwachstellen zu erkennen.
Copyright © 2018 Sophos Limited 273
XG Firewall
Zugehörige AufgabenSchutzrichtlinie hinzufügen (Seite 274)
13.2.1 Schutzrichtlinie hinzufügen
1. Gehen Sie zu Webserver > Schutzrichtlinien und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie Schutzeinstellungen fest.
Option Beschreibung
Outlook Anywhere durchlassen Externen Microsoft Outlook Clients erlauben,Web Server Protection zu umgehen, um aufden Microsoft Exchange Server zuzugreifen.
Modus Verhalten bei HTTP-Anfragen. (Die Firewallprotokolliert überwachte Anfragen.)
Cookie-Signierung Schutz vor Cookie-Manipulationen.
Statisches URL-Hardening Schutz der angegebenen URLs vorUmschreiben (rewriting).
HinweisDiese Einstellung hat keinen Effekt beidynamischen URLs, die vom Client, zumBeispiel mit JavaScript, erstellt werden.
Form-Hardening Schutz der Formulare vor Umschreiben(rewriting).
Antivirus Schutz vor Viren. Wenn Sie diese Einstellungeinschalten, können Sie zusätzliches Verhaltenfestlegen.
Clients mit schlechtem Ruf blockieren Blockieren Sie Clients, die gemäß den Echtzeit-Blackhole-Listen (Real-time Blackhole Lists,RBL) und der GeoIP-Information einenschlechten Ruf haben.
TippRemote-Lookups bei Clients mit einemschlechten Ruf auszulassen, kann dieLeistung verbessern.
Filter für allgemeine Bedrohungen Legen Sie einen Schutz vorallgemeinen Bedrohungen fest, z.B. vorProtokollverletzungen und Cross-Site-Scripting-Angriffen (XSS). Abhängig von denErgebnissen wird im Live-Protokoll entweder einHinweis oder eine Warnung angezeigt oder dieAnfrage wird direkt blockiert.
Sie können eine strenge Filterungverwenden, um die Durchsetzung von
274 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Regeln zu verstärken, die für die gewähltenBedrohungsarten gelten.
HinweisDas Einschalten von strenger Filterungkann aber zu Fehlfunden führen.
Um Fehlfunde, die von einer bestimmtenRegel erzeugt wurden, zu vermeiden,fügen Sie die Nummer der Regel hinzu, dieübersprungen werden soll.
HinweisStatisches URL-Hardening und Form-Hardening betreffen alle Dateien mit der Inhaltsart HTMLoder XML. Binärdateien und andere Dateien können durch diese Art von Schutz beschädigtwerden, wenn sie als HTML oder XML angegeben sind. Um Dateien auszuschließen, ändernSie Ihre Webserver-Einstellungen, sodass betroffene Dateien mit einer anderen Inhaltsartausgeliefert werden, z.B. application/octet-stream.
4. Optional: Wenn Sie Antivirenschutz eingeschaltet haben, können Sie zusätzliches Verhaltenfestlegen.
Option Beschreibung
Modus Antiviren-Engine oder Zweifachscan.
Richtung Uploads oder Downloads oder beides.
Nicht scanbaren Inhalt blockieren Dateien blockieren, die nicht gescannt werdenkönnen, z.B. wenn sie verschlüsselt oderbeschädigt sind.
Scangröße beschränken Keine Dateien scannen, die größer als dieangegebene Größe sind. Sie können 0angeben oder diesen Wert leer lassen, um jedeDatei zu scannen.
HinweisDie Größenbeschränkung für den Scanbezieht sich auf das gesamte Upload-Volumen und nicht auf eine einzelne Datei.Wenn Sie zum Beispiel die Größe auf50 MB beschränken und innerhalb einesUpload-Vorgangs mehrere Dateien mitden Größen 45 MB, 5 MB und 10 MBhochladen, wird die letzte Datei nichtgescannt. In diesem Fall würde ein Virus inder letzten Datei nicht erkannt werden.
5. Klicken Sie auf Speichern.
Copyright © 2018 Sophos Limited 275
XG Firewall
Zugehörige KonzepteSchutzrichtlinien (Seite 271)Mithilfe von Richtlinien können Sie sich vor dem Ausnutzen von Schwachstellen schützen, wieder Manipulation von Cookies, URLs oder Formularen. Richtlinien verhindern auch verbreiteteBedrohungen wie Protokollverletzungen und Cross-Site-Scripting-(XSS)-Angriffe. Die Firewall bietetStandardrichtlinien für die Verwendung mit gängigen Internetdiensten.
13.3 AuthentifizierungsrichtlinienMit Authentifizierungsrichtlinien können Sie formularbasierte oder Basis-Reverseproxy-Authentifizierung für Ihre Webserver anbieten. Sie können sie auch verwenden, um den Zugriff auf diePfade zu steuern, die in Firewallregeln hinterlegt sind. Die Firewall unterstützt HTTP-Authentifizierungwie in RFC 7617 beschrieben. Authentifizierungsrichtlinien legen eine Authentifizierungsmethode undBenutzer fest.
Zugehörige AufgabenAuthentifizierungsrichtlinie hinzufügen (Seite 276)
13.3.1 Authentifizierungsrichtlinie hinzufügen
1. Gehen Sie zu Webserver > Authentifizierungsrichtlinien und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie einen Client-Authentifizierungsmodus aus.
Option Beschreibung
Grundlegend Benutzer authentifizieren sich mit einfacherHTTP-Authentifizierung, d.h. indem sie ihrenBenutzernamen und Kennwort eingeben. Eswerden keine Sitzungs-Cookies erzeugt und eingezieltes Abmelden ist nicht möglich.
TippDa die Zugangsdaten unverschlüsseltgesendet werden, verwenden Sie diesenModus mit HTTPS.
Formular Benutzer geben ihre Zugangsdaten in einFormular ein. Es werden Sitzungs-Cookieserzeugt und ein gezieltes Abmelden ist möglich.
4. Legen Sie zusätzliche Client-Authentifizierungseinstellungen fest.
Option Beschreibung
Basisanzeige Bei der einfachen Benutzerauthentifizierungder Text, der Benutzern Anweisungen gibt, z.B.„Bitte geben Sie Ihre Zugangsdaten ein“.
Authentifizierungsvorlage Bei formularbasierter Authentifizierung dasFormular, das Benutzern angezeigt wird.
276 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Benutzer oder Gruppen Benutzer oder Benutzergruppen, die diesemProfil zugewiesen sein sollten.
5. Legen Sie einen Modus für die Authentifizierungsweiterleitung fest.
Der Modus muss den Authentifizierungseinstellungen des Webservers entsprechen.
Option Beschreibung
Grundlegend Authentifizierung arbeitet mit einfacher HTTP-Authentifizierung durch Übermittlung vonBenutzername und Kennwort.
Keine Keine Authentifizierung zwischen der Firewallund den Webservern.
HinweisBenutzer werden über den Frontendmodusauthentifiziert, auch wenn Authentifizierungvon Ihren Webservern nicht unterstütztwird.
6. Legen Sie zusätzliche Einstellungen für die Authentifizierungsweiterleitung fest.
Option Beschreibung
Benutzername Zusatz Bei einfacher Authentifizierung der Affix-Typ, der automatisch zum Benutzernamenhinzugefügt wird. Zusätze sind nützlich, wennDomänen und E-Mail-Adressen verwendetwerden.
HinweisPräfix und Suffix werden hinzugefügt,wenn Benutzer nur einen Benutzernameneingeben.
Basic-Header entfernen Um keine Authentifizierung durchzuführen, denBasic-Header von Sophos XG Firewall nicht anden Webserver senden.
7. Optional: Legen Sie für formularbasierte Authentifizierung Einstellungen für die Benutzersitzungfest.
Option Beschreibung
Sitzungszeitüberschreitung Wenn innerhalb des festgelegten Intervallskeine Aktivität festgestellt wird, Benutzerzwingen, sich neu anzumelden.
Sitzungsdauer Begrenzen Sie die Zeit auf das festgelegteIntervall, während dem Benutzer angemeldetbleiben, unabhängig von der Aktivität.
8. Klicken Sie auf Speichern.
Copyright © 2018 Sophos Limited 277
XG Firewall
Zugehörige KonzepteAuthentifizierungsrichtlinien (Seite 276)Mit Authentifizierungsrichtlinien können Sie formularbasierte oder Basis-Reverseproxy-Authentifizierung für Ihre Webserver anbieten. Sie können sie auch verwenden, um den Zugriff auf diePfade zu steuern, die in Firewallregeln hinterlegt sind. Die Firewall unterstützt HTTP-Authentifizierungwie in RFC 7617 beschrieben. Authentifizierungsrichtlinien legen eine Authentifizierungsmethode undBenutzer fest.
13.4 AuthentifizierungsvorlagenAuthentifizierungsvorlagen legen HTML-Formulare für die Benutzung in formularbasiertenAuthentifizierungsrichtlinien fest.
Zugehörige AufgabenAuthentifizierungsvorlage hinzufügen (Seite 278)
13.4.1 Authentifizierungsvorlage hinzufügen
1. Gehen Sie zu Webserver > Authentifizierungsvorlagen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie eine HTML-Vorlage aus.
4. Optional: Wählen Sie ein oder mehrere Bilder, Formatvorlagen oder JavaScript-Dateien aus, dievon der ausgewählten Vorlage verwendet werden.
5. Klicken Sie auf Hochladen.
6. Klicken Sie auf Speichern.
Zugehörige KonzepteAuthentifizierungsvorlagen (Seite 278)Authentifizierungsvorlagen legen HTML-Formulare für die Benutzung in formularbasiertenAuthentifizierungsrichtlinien fest.
13.5 Allgemeine EinstellungenSie können SlowHTTP-Schutz konfigurieren und die TLS-Version einstellen.
SlowHTTP-Schutzeinstellungen
SlowHTTP-Angriffe sind DOS-Angriffe (Denial of Service), bei denen der Angreifer HTTP-Anfragenlangsam und in kleinen Stücken, eins nach dem anderen, an den Webserver sendet. Wenn eineHTTP-Anfrage nicht vollständig ist oder die Übertragungsrate sehr niedrig ist, hält der Server seineRessourcen in Bereitschaft und wartet auf den Rest der Daten. Wenn der Verbindungspool desServers sein Maximum an gleichzeitigen Verbindungen erreicht, entsteht der DoS.
SlowHTTP-Schutz hilft vor SlowHTTP-Angriffen zu schützen, indem eine Zeitüberschreitung fürAnfrageheader gesetzt wird.
Soft limit Minimale Zeitspanne für den Empfang einesAnfrageheaders.
278 Copyright © 2018 Sophos Limited
XG Firewall
Hard limit Maximale Zeitspanne für den Empfang desAnfrageheaders.
Verlängerungsrate Menge an Daten in Bytes, um dieZeitüberschreitung um die weiche Grenze zuverlängern. Jedes Mal, wenn die Rate verlängertwird, verringert sich die weiche Grenze um eineSekunde.
Übersprungene Netzwerke/Hosts Netzwerke oder Hosts, die nicht vom SlowHTTP-Schutz betroffen sein sollen.
TLS-Versionseinstellungen
Wählen Sie TLS-Version aus, die erforderlich ist, um sich mit der WAF zu verbinden.
HinweisÜberprüfen Sie die TLS-Unterstützung Ihres Browsers, bevor Sie eine Version auswählen.
Verwandte InformationenHow to protect from slow HTTP attacks
13.6 Einen Webserver vor Angriffen schützenSie können einen Webserver vor Angriffen schützen, indem Sie eine Geschäftsanwendungsregelverwenden.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Einen Webserver konfigurieren, der geschützt werden soll.
• Schutzeinstellungen festlegen.
• Eine Geschäftsanwendungsregel festlegen, um den Webserver zu schützen.
FQDN-Host hinzufügen
Legen Sie einen Host für den Webserver fest.
1. Gehen Sie zu Hosts und Dienste > FQDN-Host und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Name Meine Website
FQDN example.com
3. Klicken Sie auf Speichern.
Copyright © 2018 Sophos Limited 279
XG Firewall
Webserver konfigurieren
Konfigurieren Sie einen Webserver, der eine Website hosten soll.
1. Gehen Sie zu Webserver > Webserver und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
HinweisFür Einstellungen, die hier nicht aufgeführt sind, verwenden Sie den Standardwert.
Option Beschreibung
Name Mein Webserver
Host Meine Website
3. Klicken Sie auf Speichern.
Schutzrichtlinie festlegen
Diese Einstellungen schützen das Netzwerk vor unberechtigtem Zugriff und üblichen Bedrohungen.
1. Gehen Sie zu Webserver > Schutzrichtlinien und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Name Webserver-Schutz
3. Legen Sie Schutzeinstellungen fest.
Option Beschreibung
Outlook Anywhere durchlassen Aus
Modus Ablehnen
Cookie-Signierung Aus
Statisches URL-Hardening An
Einstiegs-URLs /
Form-Hardening An
Antivirus An
Clients mit schlechtem Ruf blockieren An
Keine Fernabfrage für Clients mit schlechtemRuf
Aus
Filter für allgemeine Bedrohungen An
4. Klicken Sie auf Speichern.
280 Copyright © 2018 Sophos Limited
XG Firewall
Geschäftsanwendungsregel festlegen
Um einen Webserver for Anwendungsexploits zu schützen, legen Sie eine Geschäftsanwendungsregelfest, welche die WAF-Vorlage verwendet. Sie geben den Webserver, Authentifizierungseinstellung undSchutzeinstellungen an.
1. Gehen Sie zu Firewall und klicken Sie auf Firewallregel hinzufügen >Geschäftsanwendungsregel.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Anwendungsvorlage Webserver-Schutz (WAF)
Regelname Meinen Webserver beschützen
3. Legen Sie Einstellungen für den gehosteten Server fest.
Option Beschreibung
Gehostete Adresse #Port1
Domänen webserver.example.com
Copyright © 2018 Sophos Limited 281
XG Firewall
4. Legen Sie Einstellungen für den geschützten Server fest.
Option Beschreibung
Webserver-Liste Mein Webserver
5. Legen Sie Einstellungen für die Zugangsberechtigungen fest.
Option Beschreibung
Authentifizierung Basic with passthrough
6. Legen Sie erweiterte Einstellungen fest.
Option Beschreibung
Schutz Webserver-Schutz
7. Klicken Sie auf Speichern.
282 Copyright © 2018 Sophos Limited
XG Firewall
Der Webserver wird vor den Angriffen geschützt, die in der Schutzrichtlinie festgelegt sind.
Copyright © 2018 Sophos Limited 283
XG Firewall
Kapitel 14
14 Komplexe BedrohungenAdvanced Threat Protection ermöglicht Ihnen, allen Verkehr in Ihrem Netzwerk auf Bedrohungen zuüberwachen und entsprechende Maßnahmen zu ergreifen, zum Beispiel Pakete zu verwerfen. Siekönnen auch Sandstorm Aktivitäten und die Ergebnisse von Dateianalysen ansehen. VerwendenSie diese Ergebnisse, um das Risiko einzustufen, dem Ihr Netzwerk bei Freigabe dieser Dateienausgesetzt ist.
14.1 Schutz vor komplexen BedrohungenAdvanced Threat Protection analysiert eingehenden und ausgehenden Netzwerkverkehr (z.B. DNS-Anfragen, HTTPS-Anfragen und IP-Pakete) auf Bedrohungen. Mit ATP können Sie kompromittierteClients in Ihrem Netzwerk schnell erkennen und einen Alarm auslösen oder den Verkehr dieser Clientsverwerfen.
• Um Advanced Threat Protection einzuschalten, klicken Sie auf den Schalter ein/aus.
• Um eine Maßnahme festzulegen für den Fall, dass ATP eine Bedrohung erkennt, wählen Sie Nurprotokollieren, um das Datenpaket zu protokollieren oder Protokollieren und verwerfen, um dasPaket zu protokollieren und zu verwerfen. (Standardmäßig ist Protokollieren für ATP-Ereignisseaktiviert.)
• Um bekannte Hosts festzulegen, die von ATP ignoriert werden sollen, klicken Sie auf NeuesElement hinzufügen und wählen Sie Hosts aus.
• Um Ziel-IP-Adressen oder -Domänennamen hinzuzufügen, die bei den vonATP durchgeführten Scans auf Bedrohungen ausgenommen werden sollen,geben Sie eine Adresse ein und klicken Sie auf die Schaltfläche Hinzufügen
.
AchtungIndem Sie Quellen oder Ziele ausschließen, setzen Sie Ihr Netzwerk unter Umständen hohenRisiken aus.
14.2 Sandstorm-AktivitätAktivitätseinträge bieten grundlegende Informationen wie Zeit und Datum, an dem Dateien oder E-Mails mit verdächtigen Anhängen an Sandstorm geschickt wurden. Sie geben auch den Status zurAnalyse und Freigabe an. Verwenden Sie die hinterlegten Links, um einen detaillierten Bericht und diefreigegebenen Dateien oder E-Mails zu sehen.
• Um die Ergebnisse zu filtern, klicken Sie auf die Schaltfläche Filter
( )und legen Sie die Kriterien fest.
• Um Informationen zu einer Sandstorm-Analyse zu sehen, klicken Sie auf Bericht anzeigen.
Berichte beinhalten folgendes:
• Download-Informationen, z.B. die Quelle und die Download-Zeit
284 Copyright © 2018 Sophos Limited
XG Firewall
• Dateiinformationen, z.B. den Dateinamen und -typ
• Ergebnis der Analyse
• Beschreibung der möglichen Bedrohungen, die in der Datei enthalten sind
• Eine Liste aller Benutzer, die die Datei heruntergeladen haben.
• Bei E-Mails die Absender- und Empfängeradresse
Wenn Sie eine Datei freigeben, können Benutzer sie sofort herunterladen. Nur Dateien, diemomentan analysiert werden oder die mit einem Fehler beendet wurden, können nicht freigegebenwerden. Sandstorm führt die Analyse weiterhin aus, selbst wenn Sie die Datei freigeben.
AchtungDie Freigabe einer Datei bevor die Analyse abgeschlossen ist, kann dazu führen, dass Benutzerbösartigen Inhalt herunterladen.
• Um eine Datei oder E-Mail freizugeben, klicken Sie auf Jetzt freigeben.
14.3 Sandstorm-EinstellungenVerwenden Sie diese Einstellungen, um ein Rechenzentrum festzulegen und Dateien von derSandstorm-Analyse auszuschließen.
Sandstorm Rechenzentrum-Standort Dateien, die analysiert werden sollen, werdenan ein Sandstorm-Rechenzentrum in derCloud über eine sichere SSL-Verbindungübermittelt. Standardmäßig wählt die Firewalldas nächste Rechenzentrum. Sie können diesesVerhalten jedoch überschreiben, indem Sie einRechenzentrum auswählen.
AchtungEine Änderung des Rechenzentrums kannaktuell aktive Analysen abbrechen.
Dateitypen ausschließen Schließen Sie die gewählten Arten von E-Mail-Anhängen und Internetdownloads von derSandstorm-Analyse aus. (Der Dateityp wird vonder Dateierweiterung und dem MIME-Headerbestimmt.)
HinweisArchive, die Dateien der ausgewählten Typenenthalten, werden ebenfalls ausgeschlossen,unabhängig davon, welche anderenDateitypen sie noch enthalten.
Copyright © 2018 Sophos Limited 285
HinweisObwohl Sie beliebige Dateitypenausschließen können, werden viele Typen,die als sicher betrachtet werden (z.B. Bilder),nie zur Analyse gesendet. Nur riskanteDateitypen, die Sandstorm ausführen undanalysieren kann, werden übermittelt.
Kapitel 15
15 Zentrale SynchronisierungDurch die Synchronisierung mit Sophos Central können Sie Security Heartbeat verwenden, um Gerätein Ihrem Netzwerk zu ermöglichen, Integritätsinformationen mitzuteilen. Synchronized ApplicationControl lässt Sie Anwendungen in Ihrem Netzwerk erkennen und verwalten. Zusätzlich können Sie IhreXG Firewall Appliances zentral über Sophos Central verwalten.
• Um Security Heartbeat oder Synchronized Application Control einzuschalten, klicken Sie aufRegistrieren.
• Um Security Heartbeat zu konfigurieren, klicken Sie auf Optionale Konfigurationen und fügen SieZonen zum Feld Zonen mit fehlendem Heartbeat hinzu.
HinweisFehlende Heartbeats werden nur in diesen Zonen erkannt. Wenn eine Zone durch eineRichtlinie blockiert ist, hier aber keine Zone hinzugefügt ist, zeigt das Widget SecurityHeartbeat im Kontrollzentrum Fehlend an.
Wenn Sie die Verwaltung über Security Heartbeat, Synchronized Application Control oder SophosCentral ausschalten, sind Sie weiterhin mit Ihrem Sophos Central-Konto registriert.
• Um Ihre Registrierung bei Sophos Central aufzuheben, klicken Sie auf Registrierung aufheben.
Security Heartbeat
Security Heartbeat ermöglicht XG Firewall und Endpoints, die durch Sophos Endpoint Protectionverwaltet werden, über Sophos Central miteinander zu kommunizieren und Informationen zumSicherheitszustand der Endpoints auszutauschen, dem sogenannten Integritätsstatus. XG FirewallAdministratoren sowie Sophos Central Administratoren können Richtlinien für den Netzwerkzugriffbasierend auf dem Integritätsstatus von Endpoints festlegen. Endpoints mit Sicherheitsvorfällenkönnen sofort isoliert werden, wodurch verhindert wird, dass sich Bedrohungen über das Netzwerkverbreiten.
Endpoints authentifizieren sich über Sophos Central. Dafür müssen Endpoints den Sophos EndpointProtection Client installiert haben, der vom Sophos Central Administrator bereitgestellt werdenmuss. Sophos Endpoint Protection stellt sicher, dass der Endpoint zur Organisation gehört undeine Berechtigung für den Netzwerkzugriff hat. Diese Endpoints senden in regelmäßigen IntervallenAktualisierungen zu ihrem Integritätsstatus an XG Firewall, die im Gegenzug die festgelegtenRichtlinien basierend auf dieser Information anwendet.
Sie müssen bei Sophos Central registriert sein, um diese Funktion zu nutzen.
Das Widget Security Heartbeat auf der Seite Kontrollzentrum bietet Informationen zumIntegritätsstatus der Endpoints.
Konfigurieren Sie die Zonen mit fehlendem Heartbeat, wenn Sie Security Heartbeat einschalten.Regulieren Sie Verkehr basierend auf Heartbeat-Informationen im Bereich Erweitert der Benutzer-/Netzwerk-Firewallregeln.
Damit Security Heartbeat richtig funktioniert, müssen die folgenden Bedingungen erfüllt sein:
• Es wird kein Verkehr durch einen VPN-Tunnel geleitet, bevor die Heartbeat-Verbindunghergestellt ist. Andernfalls wird der Heartbeat-Verkehr auch durch den VPN-Tunnel geleitet.Dadurch kann die Firewall den Heartbeat-Verkehr nicht sehen und markiert den Endpoint als
fehlend. Wenn der Endpoint den Status „fehlend“ hat, wird der gesamte Datenverkehr über dieFirewall von diesem Endpoint blockiert.
HinweisSophos Connect kann die Heartbeat-Signale senden, die von einem Sophos Endpointerzeugt wurden, wenn die Verbindungsrichtlinie zulässt, dass das Heartbeat-Signal durchein VPN gesendet wird. Sie können das in Sophos Connect Admin konfigurieren.
• Der Endpoint darf sich nicht hinter einem zwischengeschalteten Router befinden. Andernfallswird ein fehlender Heartbeat nicht erkannt, was nicht so falschen Ergebnissen führt, und derEndpoint wird weiterhin seinen Integritätsstatus mitteilen.
• Der Router darf kein NAT-Gateway sein. Andernfalls können Endpoints ihren IntegritätsstatusXG Firewall nicht mitteilen.
Synchronized Application Control
Synchronized Application Control erkennt Anwendungsverkehr in Ihrem Netzwerk und kategorisiertbekannte Anwendungen automatisch. Unbekannte Anwendungen können Sie umbenennen undkategorisieren. Sie können Anwendungsverkehr basierend auf dieser Information steuern. Dieinteraktive Berichterstattung über Anwendungen gewährt tiefe Einblicke in den Netzwerkverkehr.
Sie müssen bei Sophos Central registriert sein, um diese Funktion zu nutzen.
Verwaltung durch Sophos Central
Sie müssen bei Sophos Central registriert sein, um diese Funktion zu nutzen.
• Um XG Firewall so zu konfigurieren, dass sie über Sophos Central überwacht und verwaltetwerden kann, klicken Sie auf Durch Sophos Central verwalten. Der Sophos Central Administratormuss XG Firewall akzeptieren, bevor Sie beginnen können, sie über Sophos Central zu verwalten.
• Um eine Firewall-Sicherung einzurichten, klicken Sie auf Konfigurieren. Die Sicherung wird aufSophos Central gespeichert.
Zugehörige AufgabenBenutzer-/Netzwerkregel hinzufügen (IPv4) (Seite 62)Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv4-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.
Benutzer-/Netzwerkregel hinzufügen (IPv6) (Seite 68)Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv6-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.
Verwandte InformationenSophos Endpoint Security and Control for Windows
Kapitel 16
16 VPNEin Virtuelles Privates Netzwerk (VPN) ist ein Tunnel, der privaten Netzwerkverkehr von einemEndpunkt zu einem anderen über ein öffentliches Netzwerk wie das Internet leitet. VPN ermöglichtBenutzern Daten zu übertragen, als ob ihre Geräte direkt im einem privaten Netzwerk verbundenwären. Sie können ein VPN verwenden, um sichere Verbindungen von einzelnen Hosts zu eineminternen Netzwerk und zwischen Netzwerken bereitzustellen. VPNs werden häufig verwendet, um dieKommunikation zwischen Mitarbeitern außerhalb der Organisation und einem internen Netzwerk undvon einer Zweigstelle zur Firmenzentrale zu sichern.
16.1 IPsec-RichtlinienInternet-Protocol-Security-(IPsec)-Profile legen eine Reihe von Verschlüsselungs- undAuthentifizierungseinstellungen für einen Internet Key Exchange (IKE, Internet-Schlüsselaustausch)fest. Sie können Profile verwenden, wenn Sie IPsec- oder L2TP-Verbindungen einrichten. DieStandardauswahl an Profilen unterstützt einige üblicherweise verwendeten VPN-Einsatzszenarien.
• Um ein Profil zu duplizieren, klicken Sie auf
.
Allgemeine Einstellungen
Schlüsselaustausch Internet Key Exchange (IKE) Version, dieverwendet soll. IKEv2 erfordert wenigerBandbreite als IKEv1 und hat integrierte EAP-Authentifizierung und NAT-Traversal, nebenweiteren Verbesserungen.
Authentifizierungsmethode Modus, der für den Austausch vonAuthentifizierungsinformationen (Phase 1)verwendet wird.
Schlüsselaushandlungsversuche Maximale Anzahl anSchlüsselaushandlungsversuchen.
Schlüsselerneuerung zulassen Lassen Sie zu, dass die Aushandlungautomatisch von jeder Gegenstelle eingeleitetwerden kann, bevor der aktuelle Schlüsselverfällt.
Daten in komprimierten Format übergeben Daten in komprimiertem Format übergeben, umdadurch den Durchsatz zu erhöhen.
SHA-2 mit 96-Bit-Verkürzung Nur für IKEv1. Aktivieren Sie SHA2 mit 96-Bit-Verkürzung.
Phase 1
Schlüssel-Lebensdauer Lebensdauer des Schlüssels in Sekunden.
XG Firewall
Zeit bis zur Schlüsselerneuerung Zeit in Sekunden der verbleibenden Schlüssel-Lebensdauer nach der die Schlüsselerneuerungerneut durchgeführt werden sollte.
Zeit zufällig variieren um Faktor, um den die Schlüsselerneuerungszeit inzufälliger Weise variiert.
DH-Gruppe Diffie–Hellman-Gruppe, die für dieVerschlüsselung verwendet werden soll.
Algorithmus-Kombinationen Kombination von Verschlüsselungs- undAuthentifizierungsalgorithmen, die verwendetwerden sollen, um die Integrität desDatenaustauschs sicherzustellen.
Phase 2
PFS-Gruppe Perfect Forward Secrecy Gruppe (Diffie–Hellman-Gruppe), die verwendet werden soll, um einenneuen Schlüsselaustausch für jeden Phase-2-Tunnel zu erzwingen.
Schlüssel-Lebensdauer Lebensdauer des Schlüssels in Sekunden.
Algorithmus-Kombinationen Kombination von Verschlüsselungs- undAuthentifizierungsalgorithmen, die verwendetwerden sollen, um die Integrität desDatenaustauschs sicherzustellen.
Dead Peer Detection
Dead Peer Detection Im festgelegten Intervall überprüfen, ob dieGegenstelle aktiv ist.
Gegenstelle überprüfen alle Intervall in Sekunden, in dem die Gegenstellegeprüft wird.
Auf Antwort warten bis zu Zeit in Sekunden, die auf die Rückmeldung derGegenstelle gewartet wird.
Maßnahme, wenn Gegenstelle unerreichbar Maßnahme, die durchgeführt werden soll, wennfestgestellt wird, dass die Gegenstelle inaktiv ist.
Zugehörige AufgabenEine IPsec-Richtlinie hinzufügen (Seite 291)
16.1.1 Internet Key Exchange
Internet Key Exchange ist das Protokoll, das verwendet wird, um eine Security Association (SA,Sicherheitsverbindung) in IPsec herzustellen. Die Firewall unterstützt IKE wie in RFC 2409 definiert.
Der Schlüsselaustausch besteht aus den folgenden Phasen:
• Authentifizierung (Phase 1). Während Phase 1 authentifizieren sich die Gegenstellen selbstmithilfe eines verteilten Schlüssels oder digitalen Zertifikats. Ein sicherer, authentifizierter
290 Copyright © 2018 Sophos Limited
XG Firewall
Kommunikationskanal wird erstellt, indem der Diffie–Hellman-Algorithmus einen vereinbartenSchlüssel erzeugt, um die weitere Kommunikation zu verschlüsseln. Diese Aushandlung ergibtSitzungsschlüssel und eine Sicherheitsverbindung.
• Schlüsselaustausch (Phase 2). In Phase 2 verwenden die Gegenstellen den gesicherten Kanal,der in Phase 1 hergestellt wurde, um eine IPsec-Sicherheitsverbindung auszuhandeln. DasSchlüsselmaterial für diese Verbindung wird mithilfe der Schlüssel aus IKE Phase 1 erstellt oderindem ein neuer Schlüsselaustausch entsprechend den PFS-Einstellungen durchgeführt wird.Diese Verbindung verschlüsselt die wirklichen Benutzerdaten, die zwischen den Gegenstellenausgetauscht werden.
Diffie–Hellman-Schlüsselaustausch
Der Diffie–Hellman-Schlüsselaustausch ist eine Methode, um kryptografische Schlüssel sicherüber einen unsicheren Kanal auszutauschen. Der Diffie–Hellman-Algorithmus wurde erfunden,um sichere verschlüsselte Schlüssel davor zu bewahren, während der Übermittlung über dasInternet angegriffen zu werden. Die Verwendung von Diffie–Hellman-Schlüsselaustausch mit einemAuthentifizierungsalgorithmus bietet Schutz vor Spoofing- und Man-in-the-Middle-Angriffen.
Perfect Forward Secrecy (PFS)
Perfect Forward Secrecy (PFS) ist eine Methode, um Phase-2-Schlüssel unabhängig von denvorhergehenden Schlüsseln abzuleiten. Wenn Sie PFS einstellen, wird bei jeder Aushandlung einerneuer Schlüssel erzeugt und ein erneuter Schlüsselaustausch durchgeführt. PFS bietet verbesserteSicherheit, da ein Netzwerkeindringling einen zusätzlichen Schlüssel knacken müsste.
16.1.2 Eine IPsec-Richtlinie hinzufügen
1. Gehen Sie zu VPN > IPsec-Richtlinien und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie allgemeine Einstellungen fest.
Option Beschreibung
Schlüsselaustausch Internet Key Exchange (IKE) Version, dieverwendet soll. IKEv2 erfordert wenigerBandbreite als IKEv1 und hat integrierte EAP-Authentifizierung und NAT-Traversal, nebenweiteren Verbesserungen.
Authentifizierungsmethode Modus, der für den Austausch vonAuthentifizierungsinformationen (Phase 1)verwendet wird.
Hauptmodus Führt den Diffie–HellmanSchlüsselaustausch in drei Zwei-Wege-Austauschvorgängen durch.
Aggressiver Modus Führt den Diffie–HellmanSchlüsselaustausch mit drei Nachrichtendurch. Ein Tunnel kann schneller eingerichtetwerden, da während der Authentifizierungweniger Nachrichten ausgetauschtwerden und zur Verschlüsselung der
Copyright © 2018 Sophos Limited 291
XG Firewall
Option Beschreibung
Authentifizierungsinformationen keinkryptografischer Algorithmus verwendetwird. Verwenden Sie diese Option, wenndie entfernte Gegenstelle dynamische IP-Adressen besitzt.
WarnungDer aggressive Modus ist unsicher unddeshalb nicht empfehlenswert.
Schlüsselaushandlungsversuche Maximale Anzahl anSchlüsselaushandlungsversuchen.
Schlüsselerneuerung zulassen Aktivieren Sie die Schlüsselerneuerung, um dieAushandlung automatisch vor Schlüsselablaufzu starten. Die Aushandlung kann durch dielokale oder entfernte Gegenstelle eingeleitetwerden. Je nach PFS-Einstellung wird für dieAushandlung derselbe Schlüssel verwendetoder ein neuer Schlüssel erzeugt. KonfigurierenSie die Schlüssel-Lebensdauer (key life) fürPhase 1 und 2, wenn die Option aktiviert ist.
Deaktivieren, um den Aushandlungsprozessnur zu starten, wenn die Gegenstelle eineSchlüsselerneuerungsanfrage sendet. Fallsdie Gegenstelle so konfiguriert ist, dass sienicht nach einer Schlüsselerneuerung fürdie Verbindung fragt, dann verwendet dieVerbindung denselben Schlüssel, bis dieSchlüssel-Lebensdauer abläuft. Dadurchwird die Verbindung unsicher, da kein neuerSchlüssel erzeugt wird. Das Ziel ist es, dieZeit zu begrenzen, in der ein Dritter, welcherKontrolle über die Gegenstelle erlangt hat, dieSicherheitsbeziehungen ausnutzen kann.
Daten in komprimierten Format übergeben Daten in komprimiertem Format übergeben, umdadurch den Durchsatz zu erhöhen.
SHA-2 mit 96-Bit-Verkürzung Nur für IKEv1. Aktivieren Sie SHA2 mit 96-Bit-Verkürzung.
4. Legen Sie die Phase-1-Einstellungen fest.
Option Beschreibung
Schlüssel-Lebensdauer Lebensdauer des Schlüssels in Sekunden.
Zeit bis zur Schlüsselerneuerung Zeit in Sekunden der verbleibendenSchlüssel-Lebensdauer nach der dieSchlüsselerneuerung erneut durchgeführtwerden sollte. Wenn die Schlüssel-Lebensdauer beispielsweise acht Stundenbeträgt und für die Schlüsselerneuerung einZeitrahmen von zehn Minuten zur Verfügung
292 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
steht, beginnt der Aushandlungsprozess nachsieben Stunden und 50 Minuten.
Zeit zufällig variieren um Faktor, um den die Schlüsselerneuerungszeitin zufälliger Weise variiert. Wenn die Schlüssel-Lebensdauer beispielsweise acht Stundenbeträgt, die Schlüsselerneuerung zehn Minutenund die Varianz auf 20% eingestellt ist, beginntdie Aushandlung nach acht Minuten und endetbei zwölf Minuten.
DH-Gruppe Diffie–Hellman-Gruppe, die für dieVerschlüsselung verwendet werden soll.Die Gruppe gibt die für die Verschlüsselungverwendete Schlüssellänge vor.
HinweisDie entfernte Gegenstelle muss dieselbeGruppe verwenden.
Algorithmus-Kombinationen Kombination von Verschlüsselungs- undAuthentifizierungsalgorithmen, die verwendetwerden sollen, um die Integrität desDatenaustauschs sicherzustellen.
HinweisDie entfernte Gegenstelle mussmindestens eine der festgelegtenKombinationen verwenden.
5. Legen Sie die Phase-2-Einstellungen fest.
Option Beschreibung
PFS-Gruppe Perfect Forward Secrecy Gruppe (Diffie–Hellman-Gruppe), die verwendet werden soll,um einen neuen Schlüsselaustausch für jedenPhase-2-Tunnel zu erzwingen.
HinweisDer Einsatz von PFS ist sicherer, dafürkann die Schlüsselerneuerung längerdauern. Nicht alle Hersteller unterstützenPDF. Überprüfen Sie Ihre Hardware-Spezifikationen bevor Sie eine Gruppeauswählen.
Schlüssel-Lebensdauer Lebensdauer des Schlüssels in Sekunden. DieSchlüssel-Lebensdauer von Phase 2 musskürzer sein als die von Phase 1.
Algorithmus-Kombinationen Kombination von Verschlüsselungs- undAuthentifizierungsalgorithmen, die verwendet
Copyright © 2018 Sophos Limited 293
XG Firewall
Option Beschreibung
werden sollen, um die Integrität desDatenaustauschs sicherzustellen.
HinweisDie entfernte Gegenstelle mussmindestens eine der festgelegtenKombinationen verwenden.
6. Legen Sie die Einstellungen für Dead Peer Detection fest.
Option Beschreibung
Dead Peer Detection Im festgelegten Intervall überprüfen, ob dieGegenstelle aktiv ist. Bei Verbindungenmit statischen Endpunkten wird der Tunnelautomatisch neu ausgehandelt. Verbindungenmit dynamischen Endpunkten erfordern von derRemote-Seite, den Tunnel neu auszuhandeln.
Gegenstelle überprüfen alle Intervall in Sekunden, in dem die Gegenstellegeprüft wird.
Auf Antwort warten bis zu Zeit in Sekunden, die auf die Rückmeldungder Gegenstelle gewartet wird. Wenn nichtinnerhalb des festgelegten Intervalls eineAntwort empfangen wird, wird die Gegenstelleals inaktiv eingestuft.
Maßnahme, wenn Gegenstelle unerreichbar Maßnahme, die durchgeführt werden soll, wennfestgestellt wird, dass die Gegenstelle inaktivist.
7. Klicken Sie auf Speichern.
Zugehörige KonzepteIPsec-Richtlinien (Seite 289)Internet-Protocol-Security-(IPsec)-Profile legen eine Reihe von Verschlüsselungs- undAuthentifizierungseinstellungen für einen Internet Key Exchange (IKE, Internet-Schlüsselaustausch)fest. Sie können Profile verwenden, wenn Sie IPsec- oder L2TP-Verbindungen einrichten. DieStandardauswahl an Profilen unterstützt einige üblicherweise verwendeten VPN-Einsatzszenarien.
16.2 IPsec-VerbindungenBei Internet Protocol Security (IPsec) handelt es sich um eine Reihe von Protokollen, die diekryptographische Sicherung der Kommunikation auf der IP-Schicht unterstützen. Mit IPsec-Verbindungen können Sie sicheren Zugang zwischen zwei Hosts, zwei Standorten oder Remote-Benutzern und einem LAN bereitstellen. Die Firewall unterstützt IPsec wie in RFC 4301 definiert.Verwenden Sie diese Einstellungen, um IPsec-Verbindungen zu erstellen und zu verwalten undFailover zu konfigurieren.
• Um eine Verbindung hinzuzufügen, klicken Sie auf Hinzufügen.
• Um eine Verbindung mithilfe des Verbindungsassistenten hinzuzufügen, klicken Sie auf Assistent.
• Um eine Verbindung zu aktivieren, klicken Sie auf die Statusanzeige Aktiv.
294 Copyright © 2018 Sophos Limited
XG Firewall
• Um sich zu verbinden, klicken Sie auf die Statusanzeige.
• Um eine Verbindung herunterzuladen, klicken Sie auf
.
Tabelle 15: Verbindungs-Statusanzeigen
Aktiv Verbindung Beschreibung
Die Verbindung ist aktiv, aber nichtverbunden.
Die Verbindung ist aktiv undverbunden.
Die Verbindung ist aktiv, aber nurteilweise verbunden. Wenn fürdas LAN- oder Remote-Netzwerkmehrere Subnetze konfiguriertwerden, erstellt die Appliancefür jedes Subnetz eine Sub-Verbindung. Diese Status weistdarauf hin, dass eine der Sub-Verbindungen nicht aktiv ist.
Verbindung ist nicht aktiv.
Failover-Gruppen
Eine Failover-Gruppe ist eine Folge von IPsec-Verbindungen.Wenn die erste Verbindungfehlschlägt, übernimmt automatisch die zweite (oder folgende) aktive Verbindung und erhältDatenfluss.
Während einem Verbindungsfehlschlag überprüft die Firewall alle 60 Sekunden den Zustand derersten Verbindung. Wenn die erste Verbindung wiederhergestellt ist, kehrt die zweite Verbindungzurück in ihre ursprüngliche Position in der Gruppe.
• Um eine Gruppe zu aktivieren und die primäre Verbindung herzustellen, klicken Sie auf die Aktiv-Statusanzeige.
Das Ausschalten einer Failover-Gruppe deaktiviert den aktiven Tunnel, der in dieser Gruppeverwendet wird.
Zugehörige AufgabenIPsec-Verbindung hinzufügen (Seite 295)
Failovergruppe hinzufügen (Seite 298)Verwandte InformationenSite-to-Site IPsec-VPN erstellen (Seite 323)Wir wollen zwischen der Hauptgeschäftsstelle und der Zweigstelle ein IPsec-VPN erstellen undeinrichten. Wir verwenden einen verteilten Schlüssel für die Authentifizierung.
16.2.1 IPsec-Verbindung hinzufügen
1. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
Copyright © 2018 Sophos Limited 295
XG Firewall
3. Legen Sie allgemeine Einstellungen fest.
Option Beschreibung
IP-Version IP-Version, die vom Tunnel unterstützt wird. DerTunnel leitet nur die Daten weiter, welche dieangegebene IP-Version verwenden.
Verbindungstyp Fernzugriff Stellt eine sichere Verbindungzwischen einzelnen Hosts und einem privatenNetzwerk über das Internet her. Sie Art derVerbindung wird gewöhnlich von Mitarbeiternverwendet, die von außerhalb der Firma auf dasFirmennetzwerk zugreifen müssen. Um eineFernzugriffsverbindung herzustellen, müssenRemote-Benutzer VPN-Clientsoftware besitzen.
Site-to-Site Stellt eine sichere Verbindungzwischen einem ganzen Netzwerk (z.B.LAN oder WAN) und einem entferntenNetzwerk über das Internet her. Diese Artder Verbindung wird häufig verwendet, umZweigstellen mit der Firmenzentrale zuverbinden.
Host-zu-Host Stellt eine sichere Verbindungzwischen zwei Hosts, z.B. einemArbeitsplatzrechner zu einem anderenArbeitsplatzrechner her.
Gateway-Typ Maßnahme, die durchgeführt werden soll,wenn der VPN-Dienst oder das VPN-Gerät neustarten.
Deaktivieren: Die Verbindung bleibtdeaktiviert, bis der Benutzer sie aktiviert.
Nur antworten: Die Verbindung befindet sichin Bereitschaft, um auf eingehende Anfragenzu antworten.
Die Verbindung initiieren Stellt die Verbindungjedes Mal her, wenn VPN-Dienste oder dasGerät neu starten.
Beim Speichern aktivieren Aktiviert die Verbindung, sobald Sie aufSpeichern klicken.
Firewallregel erstellen Erstellt eine Firewallregel für diese Verbindung.
4. Legen Sie Verschlüsselungseinstellungen fest.
Option Beschreibung
Richtlinie IPsec-Profil, das für den Datenverkehrverwendet werden soll.
Authentifizierungsmethode Authentifizierung, die für die Verbindungverwendet werden soll.
Verteilter Schlüssel Endpoints mithilfe desSchlüssels, den beide Endpoints kennen,authentifizieren.
296 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Digitales Zertifikat Endpoints durchAustausch von Zertifikaten (entweder selbst-signierten oder von einer CA ausgestellten)authentifizieren.
RSA-Schlüssel Authentifiziert Endpoints mithilfevon RSA-Schlüsseln.
Lokales Zertifikat Zertifikat, das für die Authentifizierung durch dieFirewall verwendet werden soll.
Entferntes Zertifikat Zertifikat, das von der entfernten Gegenstellefür die Authentifizierung verwendet werden soll.
HinweisVerwenden Sie keine öffentlicheCA als Remote-CA-Zertifikat fürdie Verschlüsselung. Dies stellt einSicherheitsrisiko für Ihre Verbindung dar,da unautorisierte Personen ein gültigesZertifikat von dieser CA erlangen könnten.
5. Legen Sie Einstellungen für das lokale Gateway fest.
Option Beschreibung
Lausch-Schnittstelle Schnittstelle, die auf Verbindungsanfragenlauscht.
Lokale ID Bei verteiltem Schlüssel, wählen Sie einen ID-Typ und geben Sie einen Wert ein.
Lokales Subnetz Lokale Netzwerke, für welche Sie Fernzugriffanbieten wollen.
NAT Aktivieren Sie NAT-Traversal, wenn sichzwischen Ihren Endpunkten ein NAT-Gerätbefindet, d.h. wenn die entfernte Gegenstelleeine private oder nicht-routingfähige IP-Adressehat.
6. Legen Sie Einstellungen für das entfernte Gateway fest.
Option Beschreibung
Gateway-Adresse IP-Adresse und Port des Remote-Gateways.(Um einen beliebigen Port festzulegen, gebenSie „*“ ein.)
Entfernte ID Bei verteiltem Schlüssel, wählen Sie einen ID-Typ und geben Sie einen Wert ein.
Entferntes Subnetz Remote-Netzwerke, denen Sie Zugriff gebenwollen.
7. Legen Sie erweiterte Einstellungen fest.
Copyright © 2018 Sophos Limited 297
XG Firewall
Option Beschreibung
Benutzerauthentifizierungsmodus Authentifizierung von VPN-Clients wird vonXAUTH erfordert.
Keine Authentifizierung nicht erforderlich.
Als Client Benutzername und Kennworterforderlich für die Authentifizierung durch dasRemote-Gateway.
Als Server Alle Benutzer, denen Zugriffgewährt werden soll.
Verbindung trennen im Leerlauf Inaktive Client-Verbindungen nach derangegebenen Zeit von der Sitzung trennen.
Zeitlimit bei inaktiver Sitzung Zeit in Sekunden, nach der inaktive Clientsgetrennt werden.
8. Klicken Sie auf Speichern.
Zugehörige KonzepteIPsec-Verbindungen (Seite 294)Bei Internet Protocol Security (IPsec) handelt es sich um eine Reihe von Protokollen, die diekryptographische Sicherung der Kommunikation auf der IP-Schicht unterstützen. Mit IPsec-Verbindungen können Sie sicheren Zugang zwischen zwei Hosts, zwei Standorten oder Remote-Benutzern und einem LAN bereitstellen. Die Firewall unterstützt IPsec wie in RFC 4301 definiert.Verwenden Sie diese Einstellungen, um IPsec-Verbindungen zu erstellen und zu verwalten undFailover zu konfigurieren.
16.2.2 Failovergruppe hinzufügen
1. Gehen Sie zu VPN > IPsec-Verbindungen.
2. Blättern Sie zu Failover-Gruppen und klicken Sie auf Hinzufügen.
3. Geben Sie einen Namen ein.
4. Wählen Sie mindestens zwei Verbindungen aus.
Wenn die erste Verbindung fehlschlägt, übernimmt automatisch die zweite (oder folgende) aktiveVerbindung und erhält Datenfluss.
HinweisDie IP-Adresse der entfernten ID muss die gleiche sein für alle Verbindungen in der Gruppe.
5. Optional: Aktivieren Sie E-Mail-Benachrichtigung, um Benachrichtigungen überVerbindungsausfälle zu erhalten.
6. Optional: Aktivieren Sie Automatisches Failback, um automatisch zur primären IPsec-Verbindungzurückzukehren, wenn diese wiederhergestellt ist.
7. Legen Sie die Failover-Bedingung fest.
Die Firewall betrachtet eine Verbindung als fehlgeschlagen, wenn die Failover-Bedingung nichterfüllt ist.
8. Klicken Sie auf Speichern.
Klicken Sie auf die Status-Schaltfläche, um die Gruppe zu aktivieren und die primäre Verbindungherzustellen.
298 Copyright © 2018 Sophos Limited
XG Firewall
Zugehörige KonzepteIPsec-Verbindungen (Seite 294)Bei Internet Protocol Security (IPsec) handelt es sich um eine Reihe von Protokollen, die diekryptographische Sicherung der Kommunikation auf der IP-Schicht unterstützen. Mit IPsec-Verbindungen können Sie sicheren Zugang zwischen zwei Hosts, zwei Standorten oder Remote-Benutzern und einem LAN bereitstellen. Die Firewall unterstützt IPsec wie in RFC 4301 definiert.Verwenden Sie diese Einstellungen, um IPsec-Verbindungen zu erstellen und zu verwalten undFailover zu konfigurieren.
16.2.3 VPN-Failover
VPN-Failover bietet eine automatische Backup-Verbindung für VPN-Verkehr und stellt dadurch fürIPsec-Verbindungen eine „Immer an“-Konnektivität sicher.
Eine Failover-Gruppe ist eine Folge von IPsec-Verbindungen.Wenn die erste Verbindungfehlschlägt, übernimmt automatisch die zweite (oder folgende) aktive Verbindung und erhältDatenfluss.
Während einem Verbindungsfehlschlag überprüft die Firewall alle 60 Sekunden den Zustand derersten Verbindung. Wenn die erste Verbindung wiederhergestellt ist, kehrt die zweite Verbindungzurück in ihre ursprüngliche Position in der Gruppe.
• Pakete des in der Failover-Bedingung angegebenen Protokolls müssen vom lokalen Server anden Remote-Server zugelassen sein und die Antwort muss auf dem lokalen und entfernten Servererfolgen können.
• Eine Verbindung kann nur einer Gruppe angehören.
• Die Verbindung muss aktiv sein, um bei einem Failover berücksichtigt zu werden.
• Sobald die Verbindung als ein Mitglied zur Gruppe hinzugefügt wurde, wird Dead Peer Detectiondeaktiviert und Schlüsselaushandlungsversuche wird auf 3 gesetzt.
• Sobald die Verbindung aus der Gruppe entfernt wird, werden die ursprünglichen Richtlinien- undVerbindungskonfigurationen berücksichtigt.
• Wenn die Verbindung zum Zeitpunkt, an dem sie der Failover-Gruppe hinzugefügt wurde, bereitsbesteht, wird sie getrennt.
• Bei Rückstellung auf Werkseinstellungen wird die Failover-Konfiguration nicht beibehalten.
• Fernzugriffsverbindungen können nicht Teil einer Failover-Gruppe sein.
16.3 VPN-EinstellungenLegen Sie Einstellungen fest, die für den Fernzugriff über SSL VPN und L2TP erforderlich sind. Diesschließt Protokolle, Serverzertifikate und IP-Adressen für Clients ein.
SSL-VPN
Protokoll Protokoll, das alle SSL-VPN-Clients verwendenmüssen. TCP wird für Anwendungen empfohlen,die eine hohe Verlässlichkeit haben müssen, wieE-Mail, Internetverkehr und FTP. UDP eignet sichfür Anwendungen, die schnell und effizient Daten
Copyright © 2018 Sophos Limited 299
XG Firewall
übertragen müssen, wie z.B. Streaming-Medien,DNS, VoIP und TFTP.
SSL-Serverzertifikat Zertifikat, das vom SSL-VPN-Server verwendetwerden soll, um sich gegenüber Clients zuidentifizieren.
Hostnamen überschreiben Hostname, der verwendet werden soll, wenn derFirewall-Hostname nicht erreichbar ist. LassenSie dieses Feld leer, wenn Sie wollen, dass derFirewall-Hostname der Zielhostname für Client-VPN-Verbindungen sein soll.
Port Falls erforderlich, ändern Sie die Portnummerauf welcher der SSL-VPN-Server lauscht. Siekönnen den gleichen Port (z.B. 443) für sichereVerbindungen zum Benutzerportal und SSL-VPN-Verbindungen verwenden, die TCP verwenden.
IPv4-Lease-Bereich IPv4-Adressbereich für SSL-Clients. Dies sollteein privater IP-Adressbereich sein.
Subnetzmaske Subnetzmaske, die für den IPv4-Adressbereichverwendet werden soll.
IPv6-Lease (IPv6Präfix) IPv6-Adressbereich für SSL-Clients.
Lease-Modus Nur IPv4-Adressen oder sowohl IPv4- als auchIPv6-Adressen zuweisen.
IPv4-DNS Primärer und sekundärer DNS-Server für IhreOrganisation.
IPv4-WINS Primärer und sekundärer Windows-Internet-Naming-Service-(WINS)-Server für IhreOrganisation.
Domänenname Hostname der Firewall. Muss als vollständigerDomänenname (FQDN) angegeben werden. DerHostname wird in Mitteilungen verwendet, um dieFirewall zu identifizieren.
Tote Gegenstelle trennen nach Zeit in Sekunden, nach der eine tote Verbindungvon der Firewall beendet wird.
Inaktive Gegenstelle trennen nach Zeit in Minuten, nach der eine inaktive Verbindungvon der Firewall beendet wird.
Verschlüsselungsalgorithmus Algorithmus zur Verschlüsselung der Daten, dieüber den VPN-Tunnel gesendet werden.
Authentifizierungsalgorithmus Algorithmus, der für Authentifizungsmeldungenverwendet werden soll.
Schlüssellänge Schlüssellänge in Bits. Längere Schlüssel sindsicherer.
Schlüsselgültigkeit Zeit in Sekunden, nach welcher die Schlüsselablaufen.
SSL-VPN-Verkehr komprimieren Daten, die über SSL-VPN-Tunnel gesendetwerden, vor der Verschlüsselung komprimieren.
Fehlersuchmodus aktivieren Mehr Informationen im SSL-VPN-Protokollbereitstellen, die nützlich zur Fehlersuche sind.
300 Copyright © 2018 Sophos Limited
XG Firewall
L2TP
• Um Benutzern Zugang zu Ihrem Netzwerk über L2TP zu gewähren, legen Sie die Einstellungenfest und klicken Sie auf Übernehmen. Klicken Sie danach auf Mitglieder hinzufügen und wählenSie Benutzer aus.
• Um die Benutzer zu sehen, denen der Zugang über L2TP gewährt wird, klicken Sie auf Mitgliederanzeigen.
L2TP aktivieren Gewähren Sie bestimmten Benutzern Zugang zuIhrem Netzwerk über L2TP.
IP zuweisen aus Bereich, aus dem eine IP-Adresse an denClient vergeben wird. Der Client verwendetdie zugewiesene Adresse für die Dauerder Verbindung. Dies sollte ein privater IP-Adressbereich sein.
HinweisL2TP- und PPTP-Bereiche dürfen sich nichtüberschneiden.
Zulassen, dass L2TP-, PPTP- und SophosConnect Client ihre IP-Adresse vom RADIUS-Server beziehen
Wenn Benutzer an einem RADIUS-Serverauthentifiziert werden, die IP-Adresse verwenden,die vom RADIUS-Server vergeben wird. Wennvom RADIUS-Server keine Adressen vergebenwerden, wird die für den Benutzer konfiguriertestatische Adresse zugewiesen oder es wird eineAdresse aus dem angegebenen Adressbereichvergeben.
Clientdaten Primärer DNS-Server, der für Verbindungenverwendet werden soll. Optional können Sieeinen sekundären DNS-Server und WINS-Serverfestlegen.
16.4 SSL-VPN (Fernzugriff)Mithilfe von Fernzugriffs-Richtlinien können Sie einzelnen Hosts Zugriff auf Netzwerkressourcen überdas Internet über Tunnel mit Punkt-zu-Punkt-Verschlüsselung gewähren. Fernzugriff erfordert SSL-Zertifikate und einen Benutzernamen und Kennwort.
Benutzer können ein für sie angepasstes SSL-VPN-Client-Programmpaket vom Benutzerportalherunterladen. Das Paket beinhaltet einen SSL-VPN-Client, SSL-Zertifikate und eine Konfiguration.Der Client unterstützt viele übliche Geschäftsanwendungen.
Fernzugriffs-Richtlinien verwenden OpenVPN, eine umfangreiche SSL-VPN-Lösung.
Zugehörige AufgabenFernzugriffs-Richtlinie hinzufügen (Seite 302)Verwandte InformationenRemote-Zugriff SSL-VPN erstellen (Seite 313)
Copyright © 2018 Sophos Limited 301
XG Firewall
Wir wollen eine Verbindung konfigurieren und einrichten, die es Remote-Benutzern erlaubt, auf einlokales Netzwerk zuzugreifen. Das VPN stellt einen verschlüsselten Tunnel her, um sicheren Zugriffauf Firmenressourcen über TCP-Port 443 anzubieten.
16.4.1 Fernzugriffs-Richtlinie hinzufügen
1. Gehen Sie zu VPN > SSL-VPN (Fernzugriff) und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie Identitätseinstellungen fest.
Option Beschreibung
Mitglieder der Richtlinie Benutzer oder Gruppen, die Zugriff auf dieNetzwerk-Ressourcen haben sollen.
4. Legen Sie Tunnelzugriffseinstellungen fest.
Option Beschreibung
Als Standardgateway verwenden Diese Fernzugriffs-Richtlinie alsStandardgateway verwenden. Imeingeschalteten Zustand wird aller Verkehrinklusive externen Internetanfrage anein Standardgateway weitergeleitet. Imausgeschalteten Zustand werden interner undexterner Verkehr von verschiedenen Gatewaysgehandhabt.
Zugelassene Netzwerkressourcen Ressourcen (z.B. Schnittstellen), auf die dieseRichtlinie zugreifen darf.
5. Legen Sie Einstellungen für Abmeldung bei Zeitüberschreitung fest.
Option Beschreibung
Inaktive Client-Verbindungen trennen Inaktive Client-Verbindungen nach derangegebenen Zeit von der Sitzung trennen.
Globale Zeitüberschreitung überschreiben Zeit, nach der inaktive Clients getrennt werden.
6. Klicken Sie auf Übernehmen.
Gehen Sie zu Verwaltung > Appliance-Zugriff und aktivieren Sie LAN- und WAN-Zonen für dasBenutzerportal.
Zugehörige KonzepteSSL-VPN (Fernzugriff) (Seite 301)Mithilfe von Fernzugriffs-Richtlinien können Sie einzelnen Hosts Zugriff auf Netzwerkressourcen überdas Internet über Tunnel mit Punkt-zu-Punkt-Verschlüsselung gewähren. Fernzugriff erfordert SSL-Zertifikate und einen Benutzernamen und Kennwort.
16.5 SSL-VPN (Site-to-Site)Mit Site-to-Site-SSL-VPN können Sie Zugriff zwischen internen Netzwerken über das Internet überPunkt-zu-Punkt-verschlüsselte Tunnel anbieten. Die Endpoints des Tunnels agieren entwederals Client oder Server. Der Client richtet die Verbindung ein und der Server antwortet auf die
302 Copyright © 2018 Sophos Limited
XG Firewall
Client-Anfragen. Dies unterscheidet sich von IPsec, wo beide Endpoints eine Verbindung initiierenkönnen. SSL-VPN kann sich von Orten verbinden, an denen IPsec auf Probleme stößt aufgrund vonNetzwerkadressübersetzung und Firewallregeln.
• Um eine Serververbindung herunterzuladen, klicken Sie auf
.
Zugehörige AufgabenServer-Verbindung hinzufügen (Seite 303)Erstellen Sie den Server für den Site-to-Site-VPN-Tunnel.
Client-Verbindung hinzufügen (Seite 304)Erstellen Sie den Client für den Site-to-Site-VPN-Tunnel.
Verwandte InformationenSite-to-Site-SSL-VPN erstellen (Seite 319)Wir wollen sichere Site-to-Site-VPN-Tunnel mithilfe einer SSL-Verbindung aufbauen. Dieses VPNerlaubt einer Zweigstelle sich mit der Hauptgeschäftsstelle zu verbinden. Benutzer in der Zweigstellewerden sich mit dem LAN der Hauptgeschäftsstelle verbinden können.
Netzwerke: Site-to-Site IPsec-VPN verteilte Schlüssel
16.5.1 Server-Verbindung hinzufügen
Erstellen Sie den Server für den Site-to-Site-VPN-Tunnel.
1. Gehen Sie zu VPN > SSL-VPN (Site-to-Site).
2. Klicken Sie im Bereich Server auf Hinzufügen.
3. Geben Sie einen Namen ein.
4. Legen Sie Einstellungen fest.
Option Beschreibung
Statische virtuelle IP-Adresse verwenden Weisen Sie dem Client lieber die angegebeneIP-Adresse zu als eine Adresse aus demAdresspool. Aktivieren Sie diese Option, um zuverhindern, dass eine Adresse vergeben wird,die schon in Verwendung ist. Legen Sie eine IP-Adresse fest, die keinen Konflikt mit anderenHosts erzeugt, wie z.B. eine private IP-Adresse.
Lokale Netzwerke Netzwerke, mit denen sich Remote-Netzwerkeüber den Tunnel verbinden dürfen.
Remote-Netzwerke Netzwerke, auf die auf der Remote-Firewallüber den Tunnel zugegriffen wird.
5. Klicken Sie auf Speichern.
Laden Sie die Server-Konfigurationsdatei herunter und erstellen Sie die Client-Verbindung.
Zugehörige KonzepteSSL-VPN (Site-to-Site) (Seite 302)Mit Site-to-Site-SSL-VPN können Sie Zugriff zwischen internen Netzwerken über das Internet überPunkt-zu-Punkt-verschlüsselte Tunnel anbieten. Die Endpoints des Tunnels agieren entwederals Client oder Server. Der Client richtet die Verbindung ein und der Server antwortet auf dieClient-Anfragen. Dies unterscheidet sich von IPsec, wo beide Endpoints eine Verbindung initiieren
Copyright © 2018 Sophos Limited 303
XG Firewall
können. SSL-VPN kann sich von Orten verbinden, an denen IPsec auf Probleme stößt aufgrund vonNetzwerkadressübersetzung und Firewallregeln.
16.5.2 Client-Verbindung hinzufügen
Erstellen Sie den Client für den Site-to-Site-VPN-Tunnel.
Um eine Client-Verbindung hinzufügen zu können, müssen Sie eine Server-Konfigurationsdateihaben.
1. Gehen Sie zu VPN > SSL-VPN (Site-to-Site).
2. Klicken Sie im Bereich Client auf Hinzufügen.
3. Geben Sie einen Namen ein.
4. Klicken Sie auf Datei auswählen und wählen Sie eine Server-Konfigurationsdatei aus.
5. Wenn die Datei verschlüsselt ist, geben Sie das Kennwort ein.
6. Optional: Legen Sie Einstellungen fest.
Option Beschreibung
HTTP-Proxy-Server verwenden Erlauben Sie dem Tunnel, sich über denangegebenen Web-Proxy-Server zu verbinden.Dies wird üblicherweise frei gelassen.
Gegenstellen-Hostnamen überschreiben Hostname, der verwenden werden soll, wennder Hostname auf der Serverseite nichtöffentlich geroutet werden kann. Dies wirdüblicherweise frei gelassen.
7. Klicken Sie auf Speichern.
Zugehörige KonzepteSSL-VPN (Site-to-Site) (Seite 302)Mit Site-to-Site-SSL-VPN können Sie Zugriff zwischen internen Netzwerken über das Internet überPunkt-zu-Punkt-verschlüsselte Tunnel anbieten. Die Endpoints des Tunnels agieren entwederals Client oder Server. Der Client richtet die Verbindung ein und der Server antwortet auf dieClient-Anfragen. Dies unterscheidet sich von IPsec, wo beide Endpoints eine Verbindung initiierenkönnen. SSL-VPN kann sich von Orten verbinden, an denen IPsec auf Probleme stößt aufgrund vonNetzwerkadressübersetzung und Firewallregeln.
16.6 Sophos Connect ClientSophos Connect Client ist eine VPN-Software, die auf Microsoft Windows 7 SP2 und neuer sowie MacOS 10.12 und neuer läuft. Sie baut höchst sichere, verschlüsselte VPN-Tunnel für Remote-Mitarbeiterauf. Sie können den Sophos Connect Client und Sophos Connect Admin herunterladen, indem Sie aufHerunterladen auf der Seite Sophos Connect Client klicken. Sie können unter Sicherung & Firmware> Pattern-Updates überprüfen, ob das Pattern für die Sophos Connect Clients heruntergeladen wurde.
• Um Fernzugriff auf Ihr Netzwerk über den Sophos Connect Client zu gewähren, legen SieEinstellungen fest, fügen Sie Benutzer hinzu, aktivieren Sie den Sophos Connect Client und klickenSie auf Übernehmen.
304 Copyright © 2018 Sophos Limited
XG Firewall
HinweisDie hier konfigurierte Sophos Connect Client Richtlinie ist eine „Alles tunneln“-Richtlinie.Sie können die Richtlinie in von Sophos Connect Admin ändern, um getrenntes Tunneln zuverwenden. Anweisungen, wie Sie die Richtlinie ändern können, finden Sie unter SophosConnect Admin.
• Um eine Verbindung zu exportieren, aktivieren Sie den Sophos Connect Client und klicken Sie aufVerbindung exportieren.
HinweisSie können die Verbindung nicht exportieren, solange ein externes Zertifikat als EntferntesZertifikat ausgewählt ist.
Die Remote-Benutzer importieren die Verbindungsdatei (.tgb) und stellen eine Verbindung mithilfevon Sophos Connect Client her. Weitere Informationen finden Sie unter Sophos Connect Hilfe(englisch).
• Um zu den Werkseinstellungen zurückzukehren, klicken Sie auf Zurücksetzen.
Allgemeine Einstellungen
Sophos Connect Client Aktivieren Sie den Sophos Connect Client.
Schnittstelle Wählen Sie den WAN-Port, der als Endpoint fürIhren Tunnel agiert.
Authentifizierungsmethode Authentifizierung, die für die Verbindungverwendet werden soll.
• Verteilter Schlüssel Endpoints mithilfe desSchlüssels, den beide Endpoints kennen,authentifizieren.
• Digitales Zertifikat Endpoints durchAustausch von Zertifikaten (entweder selbst-signierten oder von einer CA ausgestellten)authentifizieren.
Lokale ID Bei verteiltem Schlüssel, wählen Sie einen ID-Typ und geben Sie einen Wert ein. DER ASN1DN(X.509) ist nicht zulässig.
Entfernte ID Bei verteiltem Schlüssel, wählen Sie einen ID-Typ und geben Sie einen Wert ein. DER ASN1DN(X.509) ist nicht zulässig.
Zugelassene Benutzer Benutzer, die sich mithilfe des konfiguriertenSophos Connect Clients verbinden dürfen.
Clientdaten
IP zuweisen aus Bereich, aus dem eine IP-Adresse an denClient vergeben wird. Der Client verwendet
Copyright © 2018 Sophos Limited 305
XG Firewall
die zugewiesene Adresse für die Dauerder Verbindung. Dies sollte ein privater IP-Adressbereich sein.
HinweisL2TP- und PPTP-Bereiche dürfen sich nichtüberschneiden.
Zulassen, dass L2TP-, PPTP- und SophosConnect Client ihre IP-Adresse vom RADIUS-Server beziehen
Wenn Benutzer an einem RADIUS-Serverauthentifiziert werden, die IP-Adresse verwenden,die vom RADIUS-Server vergeben wird. Wennvom RADIUS-Server keine Adressen vergebenwerden, wird die für den Benutzer konfiguriertestatische Adresse zugewiesen oder es wird eineAdresse aus dem angegebenen Adressbereichvergeben.
Erweiterte Einstellungen
Verbindung abbrechen, wenn Tunnel inaktivist
Inaktive Client-Verbindungen nach derangegebenen Zeit von der Sitzung trennen.
Zeitlimit bei inaktiver Sitzung Zeit in Sekunden, nach der inaktive Clientsgetrennt werden.
Verwandte InformationenNetzwerke: Cisco IPsec VPN Client
16.7 L2TP (Fernzugriff)Das Layer Two Tunneling Protocol (L2TP) ermöglicht Ihnen, Verbindungen zu Ihrem Netzwerk überprivate Tunnel über das Internet anzubieten. Die Firewall unterstützt L2TP wie in RFC 3931 definiert.
HinweisUm eine Verbindung zu aktivieren, müssen Sie zunächst L2TP einschalten. Klicken Sie auf VPN-Einstellungen anzeigen und klicken Sie auf das Tab L2TP.
• Um eine Verbindung zu aktivieren, klicken Sie auf die Statusanzeige Aktiv.
• Um sich zu verbinden, klicken Sie auf die Statusanzeige.
Tabelle 16: Verbindungs-Statusanzeigen
Aktiv Verbindung Beschreibung
Die Verbindung ist aktiv, aber nichtverbunden.
Die Verbindung ist aktiv undverbunden.
306 Copyright © 2018 Sophos Limited
XG Firewall
Aktiv Verbindung Beschreibung
Die Verbindung ist aktiv, aber nurteilweise verbunden. Wenn fürdas LAN- oder Remote-Netzwerkmehrere Subnetze konfiguriertwerden, erstellt die Appliancefür jedes Subnetz eine Sub-Verbindung. Diese Status weistdarauf hin, dass eine der Sub-Verbindungen nicht aktiv ist.
Verbindung ist nicht aktiv.
Zugehörige AufgabenFernzugriffsverbindung hinzufügen (Seite 307)
16.7.1 Fernzugriffsverbindung hinzufügen
1. Gehen Sie zu VPN > L2TP (Fernzugriff) und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie allgemeine Einstellungen fest.
Option Beschreibung
Richtlinie IPsec-Profil, das für den Datenverkehrverwendet werden soll.
Gateway-Typ Maßnahme, die durchgeführt werden soll,wenn der VPN-Dienst oder das VPN-Gerät neustarten.
Deaktivieren: Die Verbindung bleibtdeaktiviert, bis der Benutzer sie aktiviert.
Nur antworten: Die Verbindung befindet sichin Bereitschaft, um auf eingehende Anfragenzu antworten.
4. Legen Sie Authentifizierungseinstellungen fest.
Option Beschreibung
Authentifizierungsmethode Authentifizierung, die für die Verbindungverwendet werden soll.
Verteilter Schlüssel Endpoints mithilfe desSchlüssels, den beide Endpoints kennen,authentifizieren.
Digitales Zertifikat Endpoints durchAustausch von Zertifikaten (entweder selbst-signierten oder von einer CA ausgestellten)authentifizieren.
5. Legen Sie die lokalen Netzwerkinformationen fest.
Copyright © 2018 Sophos Limited 307
XG Firewall
Option Beschreibung
Lokaler WAN-Port WAN-Port, der als Endpoint für Ihren Tunnelagiert.
Lokale ID Bei verteiltem Schlüssel, wählen Sie einenID-Typ und geben Sie einen Wert ein. DERASN1DN (X.509) ist nicht zulässig.
6. Legen Sie die entfernten Netzwerkinformationen fest.
Option Beschreibung
Remote-Host IP-Adresse oder Hostname des entferntenEndpunkts.(Um eine beliebige IP-Adressefestzulegen, geben Sie „*“ ein.)
NAT-Traversal zulassen Aktivieren Sie NAT-Traversal, wenn sichzwischen Ihren Endpunkten ein NAT-Gerätbefindet, d.h. wenn die entfernte Gegenstelleeine private oder nicht-routingfähige IP-Adressehat.
Entferntes Subnetz Remote-Netzwerke, denen Sie Zugriff gebenwollen.
Entfernte ID Bei verteiltem Schlüssel, wählen Sie einenID-Typ und geben Sie einen Wert ein. DERASN1DN (X.509) ist nicht zulässig.
7. Legen Sie die Schnellmodus-Kennzeichner fest.
Option Beschreibung
Lokaler Port Port, den die lokale Gegenstelle für TCP- oderUDP-Verkehr verwendet.(Um einen beliebigenPort festzulegen, geben Sie „*“ ein.)
Entfernter Port Port, den die entfernte Gegenstelle für TCP-oder UDP-Verkehr verwendet.(Um einenbeliebigen Port festzulegen, geben Sie „*“ ein.)
8. Legen Sie erweiterte Einstellungen fest.
Option Beschreibung
Verbindung abbrechen, wenn Tunnel inaktiv ist Inaktive Client-Verbindungen nach derangegebenen Zeit von der Sitzung trennen.
Zeitlimit bei inaktiver Sitzung Zeit in Sekunden, nach der inaktive Clientsgetrennt werden.
9. Klicken Sie auf Speichern.
Zugehörige KonzepteL2TP (Fernzugriff) (Seite 306)Das Layer Two Tunneling Protocol (L2TP) ermöglicht Ihnen, Verbindungen zu Ihrem Netzwerk überprivate Tunnel über das Internet anzubieten. Die Firewall unterstützt L2TP wie in RFC 3931 definiert.
308 Copyright © 2018 Sophos Limited
XG Firewall
16.8 PPTP (Fernzugriff)Mithilfe des Point-to-Point Tunneling Protocol (PPTP) können Sie Verbindungen zu IhremNetzwerk über private Tunnel über das Internet anbieten. Das Protokoll selbst besitzt keineVerschlüsselungs- oder Authentifizierungsfunktionen. Die Firewall unterstützt jedoch verschiedeneAuthentifizierungsoptionen wie Password Authentication Protocol (PAP), Challenge HandshakeAuthentication Protocol (CHAP) und Microsoft Challenge Handshake Authentication Protocol (MS-CHAPv2). Die Firewall unterstützt PPTP wie in RFC 2637 beschrieben.
• Um Benutzern Zugang zu Ihrem Netzwerk über PPTP zu gewähren, legen Sie die Einstellungenfest und klicken Sie auf Übernehmen. Klicken Sie danach auf Mitglieder hinzufügen und wählenSie Benutzer aus.
• Um die Benutzer zu sehen, denen der Zugang über PPTP gewährt wird, klicken Sie auf Mitgliederanzeigen.
PPTP aktivieren
PPTP aktivieren Gewähren Sie bestimmten Benutzern Zugang zuIhrem Netzwerk über PPTP.
Allgemeine Einstellungen
IP zuweisen aus Bereich, aus dem eine IP-Adresse an denClient vergeben wird. Der Client verwendetdie zugewiesene Adresse für die Dauerder Verbindung. Dies sollte ein privater IP-Adressbereich sein.
HinweisL2TP- und PPTP-Bereiche dürfen sich nichtüberschneiden.
Zulassen, dass L2TP-, PPTP- und SophosConnect Client ihre IP-Adresse vom RADIUS-Server beziehen
Wenn Benutzer an einem RADIUS-Serverauthentifiziert werden, die IP-Adresse verwenden,die vom RADIUS-Server vergeben wird. Wennvom RADIUS-Server keine Adressen vergebenwerden, wird die für den Benutzer konfiguriertestatische Adresse zugewiesen oder es wird eineAdresse aus dem angegebenen Adressbereichvergeben.
Clientdaten Primärer DNS-Server, der für Verbindungenverwendet werden soll. Optional können Sieeinen sekundären DNS-Server und WINS-Serverfestlegen.
Copyright © 2018 Sophos Limited 309
XG Firewall
16.9 Clientloser ZugriffErmöglichen Sie Benutzern, mithilfe eines Browsers und ohne zusätzliche Plug-Ins, auf Dienste undBereiche (wie zum Beispiel entfernte Desktops und Dateien) in Ihrem Netzwerk zuzugreifen. Richtlinienfür clientlosen Zugriff legen Benutzer (Richtlinien-Mitglieder) und Lesezeichen fest.
Verwenden Sie clientlose Zugriffsrichtlinien, um Zugriff auf interne Ressourcen zu gewähren, dieselbst nicht den Multi-User-Modus unterstützen (z.B. Netzwerkhardware wie Switches) oder denZugriff auf bestimmte Dienst beschränken, anstatt Zugriff auf ganze System oder Netzwerke zugeben. Benutzer erhalten Zugriff zu Ihrem Netzwerk über die Lesezeichen auf der Seite VPN imBenutzerportal.
TippUm Benutzern von außerhalb Ihres Netzwerks clientlosen Zugriff zu gewähren, erlauben SieWAN-Zugriff auf das Benutzerportal.
Zugehörige AufgabenClientlose Zugriffsrichtlinie hinzufügen (Seite 310)
16.9.1 Clientlose Zugriffsrichtlinie hinzufügen
Um eine Richtlinie konfigurieren zu können, müssen Sie mindestens ein Lesezeichen erstellen.
1. Gehen Sie zu VPN > Clientloser Zugriff und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie Identitätseinstellungen fest.
Option Beschreibung
Mitglieder der Richtlinie Benutzer oder Gruppen, die Zugriff auf dieLesezeichen haben sollen.
4. Legen Sie clientlose Portaleinstellungen fest.
Option Beschreibung
Veröffentlichte Lesezeichen Lesezeichen oder Lesezeichengruppen, auf dieRichtlinienmitglieder Zugriff haben.
Webanwendungen beschränken Bereich Sicheres Internetsurfen imBenutzerportal nicht anzeigen. Dieserbeschränkt die Benutzer auf URLs, die in denLesezeichen festgelegt sind.
5. Klicken Sie auf Übernehmen.
Zugehörige KonzepteClientloser Zugriff (Seite 310)Ermöglichen Sie Benutzern, mithilfe eines Browsers und ohne zusätzliche Plug-Ins, auf Dienste undBereiche (wie zum Beispiel entfernte Desktops und Dateien) in Ihrem Netzwerk zuzugreifen. Richtlinienfür clientlosen Zugriff legen Benutzer (Richtlinien-Mitglieder) und Lesezeichen fest.
310 Copyright © 2018 Sophos Limited
XG Firewall
16.10 LesezeichenLesezeichen legen eine URL, einen Verbindungstyp und Sicherheitseinstellungen fest. Verwenden SieLesezeichen mit Richtlinien für den clientlosen Zugriff, um den Benutzern Zugriff auf interne Netzwerkeoder Dienste zu geben. Zum Beispiel möchten Sie vielleicht Zugriff auf Dateien ermöglichen oder aufentfernte Desktops. Benutzer können auf Lesezeichen über die Seite VPN im Benutzerportal zugreifen.
Zugehörige AufgabenLesezeichen hinzufügen (Seite 311)
16.10.1 Lesezeichen hinzufügen
1. Gehen Sie zu VPN > Lesezeichen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie einen Typ (Protokoll) aus.
HinweisWenn Sie einen sicheren Typ auswählen, müssen Sie die Sicherheitseinstellungen festlegen.
Option Beschreibung
HTTPS Sicherer, browser-basierter Zugriff zuWebanwendungen mithilfe des HypertextTransfer Protocol.
HTTP Nicht-sicherer, browser-basierter Zugriff zuWebanwendungen mithilfe des HypertextTransfer Protocol.
RDP Zugriff zu entfernten Desktops mithilfe desRemote Desktop Protocol.
TLS-, NLA- und RPD-Protokollsicherheit wirdunterstützt. Ihre Sicherheitseinstellungenmüssen mit den Servereinstellungen vereinbarsein.
TELNET Terminal-Zugriff mit dem Telnet-Protokoll.
SSH Sicherer Terminal-Zugriff mit Secure SocketShell.
FTP Nicht-sicherer Zugriff zu Servern mit dem FileTransfer Protocol.
FTPS Sicherer Zugriff zu Servern mit dem FileTransfer Protocol. Die Sicherheit ist durch TLSund SSL gewährleistet.
SFTP Sicherer Zugriff zu Servern mit dem Secure FileTransfer Protocol. Die Sicherheit ist durch SSHgewährleistet.
Copyright © 2018 Sophos Limited 311
XG Firewall
Option Beschreibung
SMB Zugriff auf Server mit dem Server MessageBlock Dateitausch-Protokoll.
VNC Entfernter Zugriff auf Linux-/UNIX-Hosts mitVirtual Network Computing.
Klassische VNC-Authentifizierung (nurKennwort) wird unterstützt.
4. Geben Sie die URL der Website oder die IP-Adresse des Servers ein, zu dem Sie Zugriff gebenmöchten.
HinweisDie Standard-Portnummer sollten nur erfahrene Benutzer ändern.
5. Legen Sie die benötigten Sicherheitseinstellungen fest.
• Für SSH: Legen Sie einen Benutzernamen fest und fügen Sie den öffentlichen Hostschlüsselein.
• Für FTPS: Fügen Sie den öffentlichen Hostschlüssel ein.
• Für SFTP: Geben Sie einen Benutzernamen ein und wählen Sie eineAuthentifizierungsmethode. Legen Sie ein Kennwort fest und fügen Sie die erforderlichenSchlüssel ein.
6. Legen Sie Einstellungen fest.
Option Beschreibung
Automatische Anmeldung Wenn aktiviert, müssen Benutzer keineAnmeldedaten angeben. Die Sitzung wird unterVerwendung des festgelegten Benutzernamensund Kennworts aufgebaut.
Sitzung teilen Wenn aktiviert, können Benutzer die gleicheVerbindung simultan verwenden, was ihnenerlaubt, denselben Bildschirminhalt zu sehen.
Domäne Domäne, auf die der Benutzer zugreifen darf.
Verwiesene Domänen Domänen oder URLs, die Formatierungenoder Skripte enthalten (z.B. CSS oderJavaScript), welche erforderlich sind, um diemit einem Lesezeichen gekennzeichnete URLentsprechend darzustellen.
Entferntes Verzeichnis initialisieren Entferntes Verzeichnis Nach erfolgreicherAuthentifizierung wird der Benutzer zumangegebenen Ordner auf dem entferntenServer umgeleitet.
7. Klicken Sie auf Speichern.
Zugehörige KonzepteLesezeichen (Seite 311)Lesezeichen legen eine URL, einen Verbindungstyp und Sicherheitseinstellungen fest. Verwenden SieLesezeichen mit Richtlinien für den clientlosen Zugriff, um den Benutzern Zugriff auf interne Netzwerke
312 Copyright © 2018 Sophos Limited
XG Firewall
oder Dienste zu geben. Zum Beispiel möchten Sie vielleicht Zugriff auf Dateien ermöglichen oder aufentfernte Desktops. Benutzer können auf Lesezeichen über die Seite VPN im Benutzerportal zugreifen.
16.11 LesezeichengruppenLesezeichengruppen ermöglicht es Ihnen, Lesezeichen für einfaches Auffinden zu kombinieren. Siekönnen zum Beispiel eine Gruppe erstellen, die alle Lesezeichen für entfernte Desktops beinhaltet,sodass Sie den Zugriff nicht individuell definieren müssen.
Zugehörige AufgabenLesezeichengruppe hinzufügen (Seite 313)
16.11.1 Lesezeichengruppe hinzufügen
1. Gehen Sie zu VPN > Lesezeichengruppen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Klicken Sie auf Neues Element hinzufügen und wählen Sie Lesezeichen aus.
4. Klicken Sie auf Speichern.
Zugehörige KonzepteLesezeichengruppen (Seite 313)Lesezeichengruppen ermöglicht es Ihnen, Lesezeichen für einfaches Auffinden zu kombinieren. Siekönnen zum Beispiel eine Gruppe erstellen, die alle Lesezeichen für entfernte Desktops beinhaltet,sodass Sie den Zugriff nicht individuell definieren müssen.
16.12 Remote-Zugriff SSL-VPN erstellenWir wollen eine Verbindung konfigurieren und einrichten, die es Remote-Benutzern erlaubt, auf einlokales Netzwerk zuzugreifen. Das VPN stellt einen verschlüsselten Tunnel her, um sicheren Zugriffauf Firmenressourcen über TCP-Port 443 anzubieten.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Einen Adressbereich für SSL-VPN-Clients angeben.
• Eine Benutzergruppe für SSL-VPN-Clients erstellen und einen Benutzer hinzufügen.
• Ein lokales Subnetz und einen entfernten SSL-VPN-Bereich festlegen.
• Eine SSL-VPN-Fernzugriffs-Richtlinie hinzufügen.
• Firewallregel hinzufügen.
• SSL-VPN-Client-Software vom Client herunterladen und mit dem internen Netzwerk verbinden.
• Verbindung prüfen.
Zugehörige KonzepteSSL-VPN (Fernzugriff) (Seite 301)
Copyright © 2018 Sophos Limited 313
XG Firewall
Mithilfe von Fernzugriffs-Richtlinien können Sie einzelnen Hosts Zugriff auf Netzwerkressourcen überdas Internet über Tunnel mit Punkt-zu-Punkt-Verschlüsselung gewähren. Fernzugriff erfordert SSL-Zertifikate und einen Benutzernamen und Kennwort.
VPN-Einstellungen angeben
Wir geben einen IP-Adressbereich für SSL-Clients an. Dies ist ein privater Adressbereich. Wenn sichSSL-Clients anmelden, wird Ihnen eine Adresse aus dem Adressbereich zugewiesen.
1. Gehen Sie zu VPN und klicken Sie auf VPN-Einstellungen anzeigen.
2. Geben Sie einen Lease-Bereich an.
3. Klicken Sie auf Übernehmen.
Benutzergruppe und Benutzer hinzufügen
Wir legen eine Benutzergruppe für das Remote-SSL-VPN an und fügen einen Benutzer hinzu. DieGruppe legt ein Surfkontingent und die Zugriffszeit fest. Benutzer der Gruppe haben unbegrenztenZugriff.
1. Gehen Sie zu Authentifizierung > Gruppen und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Name Remote-SSL-VPN-Gruppe
Surfkontingent Unbegrenzter Internetzugriff
Zugriffszeit Immer erlaubt
3. Klicken Sie auf Speichern.
4. Gehen Sie zu Authentifizierung > Benutzer und klicken Sie auf Hinzufügen.
5. Legen Sie Einstellungen fest.
Option Beschreibung
Benutzername john.smith
314 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Name John Smith
Gruppe Remote-SSL-VPN-Gruppe
6. Klicken Sie auf Speichern.
Lokales Subnetz und entfernten SSL-VPN-Bereich festlegen
Wir erstellen Hosts für das lokale Subnetz und den entfernten SSL-VPN-Bereich. Die lokalen Subnetzelegen die Netzwerkressourcen fest, auf welche Remote-Clients zugreifen können werden.
1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen für das lokale Subnetz ein.
3. Klicken Sie auf Speichern.
4. Klicken Sie auf Hinzufügen.
5. Geben Sie einen Namen für das entfernte Subnetz ein.
6. Klicken Sie auf Speichern.
SSL-VPN-Fernzugriffs-Richtlinie hinzufügen
Wir erstellen eine Richtlinie, die es Clients in der „Remote-SSL-VPN-Gruppe“ ermöglicht, sich zuverbinden. Diese Benutzern ist es erlaubt, auf die Ressourcen im lokalen Subnetz zuzugreifen.
1. Gehen Sie zu VPN > SSL-VPN (Fernzugriff) und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein und geben Sie Mitglieder der Richtlinie und zugelasseneNetzwerkressourcen an.
Copyright © 2018 Sophos Limited 315
XG Firewall
3. Klicken Sie auf Übernehmen.
Authentifizierungsdienste überprüfen
Wir verwenden lokale Authentifizierung für die Firewall-Authentifizierungsmethoden und SSL-VPN-Authentifizierungsmethoden.
1. Gehen Sie zu Authentifizierung > Dienste.
2. Überprüfen Sie, dass der Authentifizierungsserver auf Lokal gestellt ist.
3. Blättern Sie zu SSL-VPN-Authentifizierungsmethoden.
4. Überprüfen Sie, dass der Authentifizierungsserver auf Lokal gestellt ist.
316 Copyright © 2018 Sophos Limited
XG Firewall
Appliance-Zugriffseinstellungen überprüfen
Um die Verbindung einsetzen zu können und sicherzustellen, dass Benutzer Zugang zur Verbindunghaben, müssen der Appliance-Zugriff für SSL-VPN und das Benutzerportal aktiviert sein.
1. Gehen Sie zu Verwaltung > Appliance-Zugriff.
2. Überprüfen Sie den Zugriff auf SSL-VPN und das Benutzerportal.
3. Klicken Sie auf Übernehmen.
Firewallregel hinzufügen
1. Gehen Sie zu Firewall und klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
Copyright © 2018 Sophos Limited 317
XG Firewall
2. Legen Sie Einstellungen fest.
3. Klicken Sie auf Speichern.
Verbindung einrichten
Remote-Benutzer installieren einen Authentifizierungsclient und verbinden sich mithilfe der VPN-Verbindung mit dem internen Netzwerk.
Die folgenden Schritte werden auf der Client-Computer ausgeführt.
1. Melden Sie sich am Benutzerportal an, indem Sie die öffentliche IP-Adresse der Firewall und denHTTPS-Port des Benutzerportals verwenden.
318 Copyright © 2018 Sophos Limited
XG Firewall
TippSie können den HTTPS-Port des Benutzerportals herausfinden, indem Sie zu Verwaltung >Admin-Einstellungen gehen.
In diesem Beispiel ist das Benutzerportal über https://192.0.2.15:4443 erreichbar.
2. Laden Sie den SSL-VPN-Client herunter.
3. Doppelklicken Sie auf die Client-Installationsdatei und folgen Sie den Anweisungen, um dieInstallation abzuschließen.
4. Starten Sie den Client und melden Sie sich mit Benutzernamen und Kennwort an.
Konnektivität prüfen
Wir überprüfen die Konnektivität vom Client aus und auf der Firewall.
• Überprüfen Sie auf dem Client, dass Sie eine IP-Adresse aus dem SSL-VPN-Bereich erhaltenhaben, der zuvor auf der Firewall konfiguriert wurde.Öffnen Sie unter Windows die Kommandozeile und tippen Sie ipconfig ein. Sie sollten eineAdresse im Bereich 10.81.234.5 – 10.81.234.55 sehen.
• Klicken Sie auf der Firewall auf Firewall und sehen Sie sich den Verkehr an.
16.13 Site-to-Site-SSL-VPN erstellenWir wollen sichere Site-to-Site-VPN-Tunnel mithilfe einer SSL-Verbindung aufbauen. Dieses VPNerlaubt einer Zweigstelle sich mit der Hauptgeschäftsstelle zu verbinden. Benutzer in der Zweigstellewerden sich mit dem LAN der Hauptgeschäftsstelle verbinden können.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• LANs festlegen.
• Eine SSL-VPN-(Site-to-Site)-Server-Verbindung hinzufügen.
Copyright © 2018 Sophos Limited 319
XG Firewall
• Die Client-Konfigurationsdatei herunterladen.
• Eine SSL-VPN-(Site-to-Site)-Client-Verbindung hinzufügen.
• Fehler in den SSL-VPN-Einstellungen beheben.
Voraussetzungen
Bevor Sie beginnen, wählen Sie eine Firewall als Server aus. Wenn es einen Unterschied bei denModellen gibt, ist es sinnvoll, die leistungsfähigere auszuwählen. Wenn ein System eine dynamischeIP-Adresse besitzt und das andere eine statische, verwenden Sie das System mit der statischenAdresse.
Zugehörige KonzepteSSL-VPN (Site-to-Site) (Seite 302)Mit Site-to-Site-SSL-VPN können Sie Zugriff zwischen internen Netzwerken über das Internet überPunkt-zu-Punkt-verschlüsselte Tunnel anbieten. Die Endpoints des Tunnels agieren entwederals Client oder Server. Der Client richtet die Verbindung ein und der Server antwortet auf dieClient-Anfragen. Dies unterscheidet sich von IPsec, wo beide Endpoints eine Verbindung initiierenkönnen. SSL-VPN kann sich von Orten verbinden, an denen IPsec auf Probleme stößt aufgrund vonNetzwerkadressübersetzung und Firewallregeln.
LANs festlegen.
Wir erstellen Hosts für die Zweigstelle und die Netzwerke der Zweigstelle.
Die folgenden Schritte werden auf der Hauptgeschäftsstellen-Firewall ausgeführt.
1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
2. Erstellen Sie einen Host für das LAN der Hauptgeschäftsstelle.
3. Klicken Sie auf Speichern.
4. Klicken Sie auf Hinzufügen.
5. Erstellen Sie einen Host für das LAN der Zweigstelle.
6. Klicken Sie auf Speichern.
320 Copyright © 2018 Sophos Limited
XG Firewall
SSL-VPN-Site-to-Site-Server-Verbindung hinzufügen
Wir erstellen eine Verbindung und laden die Datei herunter, die verwendet wird, um das Clientsystemzu konfigurieren.
Die folgenden Schritte werden auf der Hauptgeschäftsstellen-Firewall ausgeführt.
1. Gehen Sie zu VPN > SSL-VPN (Site-to-Site).
2. Klicken Sie im Bereich Server auf Hinzufügen.
3. Geben Sie den logischen Namen für den Tunnel und die Netzwerk an, die über den Tunnel erreichtwerden können.
4. Klicken Sie auf Speichern.Die Verbindung wird erstellt und erscheint in der Serverliste.
5. Klicken Sie auf
und speichern Sie die Datei, die verwendet wird, um das Clientsystem zu konfigurieren.
Sie können ein Kennwort eingeben, um die Datei bei Bedarf zu verschlüsseln. Das Dateiformatist .apc.
SSL-VPN-Site-to-Site-Client-Verbindung hinzufügen
Wir verwenden die Datei, die auf dem Server erstellt wurde, um eine Clientverbindung zu erstellen undzu konfigurieren.
Die folgenden Schritte werden auf der Client-Firewall ausgeführt.
1. Gehen Sie zu VPN > SSL-VPN (Site-to-Site).
Copyright © 2018 Sophos Limited 321
XG Firewall
2. Klicken Sie im Bereich Client auf Hinzufügen.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Verbindungsname HQ_to_branch_client
4. Klicken Sie auf Datei auswählen und wählen Sie die Datei aus, die Sie vom SSL-VPN-Serverheruntergeladen haben.
5. Klicken Sie auf Speichern.
Die neue Verbindung wird in der Clientliste angezeigt. Der Tunnel ist funktionsfähig, wenn dieStatusanzeige grün zeigt.
Fehler in den VPN-Einstellungen beheben
Bei den SSL-VPN-Einstellungen sollten üblicherweise die Standardeinstellungen beibehaltenwerden. Hier sind einige der häufigsten Änderungen, die Sie vielleicht vornehmen müssen:
• Protokoll: Hier wird eigentlich immer TCP verwendet, aber das VPN wird auch funktionieren,wenn beide Seiten UDP verwenden.
• Hostnamen überschreiben: Wenn Ihr System einen Hostnamen besitzt, der nicht öffentlicherreichbar ist, fügen Sie hier Ihre öffentliche IP-Adresse ein.
• Kryptografische Einstellungen: Sie können die kryptografischen Einstellungen ändern, wenn Siewollen. So lange beide Seiten des Tunnels übereinstimmen, wird die Funktionalität des Tunnelsnicht beeinträchtigt.
• SSL-VPN-Verkehr komprimieren: Wenn Sie Pakete im Tunnel komprimieren wollen, umBandbreite zu sparen, aktivieren Sie diese Option.
• Fehlersuchmodus aktivieren: Wenn Sie Schwierigkeiten mit der Verbindung haben, können Sieden Fehlersuchmodus aktivieren, damit zusätzliche Informationen ins Protokoll geschriebenwerden.
322 Copyright © 2018 Sophos Limited
XG Firewall
16.14 Site-to-Site IPsec-VPN erstellenWir wollen zwischen der Hauptgeschäftsstelle und der Zweigstelle ein IPsec-VPN erstellen undeinrichten. Wir verwenden einen verteilten Schlüssel für die Authentifizierung.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Das IPsec-VPN der Hauptgeschäftsstelle konfigurieren. Dafür müssen Sie LANs festlegen, eineIPsec-Verbindung hinzufügen, eine Firewallregel bearbeiten und eine Firewallregel erstellen.
• Das IPsec-VPN der Zweigstelle konfigurieren.
• Verbindung prüfen.
Zugehörige KonzepteIPsec-Verbindungen (Seite 294)Bei Internet Protocol Security (IPsec) handelt es sich um eine Reihe von Protokollen, die diekryptographische Sicherung der Kommunikation auf der IP-Schicht unterstützen. Mit IPsec-Verbindungen können Sie sicheren Zugang zwischen zwei Hosts, zwei Standorten oder Remote-Benutzern und einem LAN bereitstellen. Die Firewall unterstützt IPsec wie in RFC 4301 definiert.Verwenden Sie diese Einstellungen, um IPsec-Verbindungen zu erstellen und zu verwalten undFailover zu konfigurieren.
LANs in der Hauptgeschäftsstelle festlegen
Wir erstellen Hosts für die Hauptgeschäftsstelle und Zweigstellennetzwerke in derHauptgeschäftsstelle.
1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
2. Erstellen Sie einen Host für das LAN der Hauptgeschäftsstelle.
3. Klicken Sie auf Speichern.
4. Klicken Sie auf Hinzufügen.
5. Erstellen Sie einen Host für das LAN der Zweigstelle.
Copyright © 2018 Sophos Limited 323
XG Firewall
6. Klicken Sie auf Speichern.
IPsec-Verbindung in der Hauptgeschäftsstelle hinzufügen
Wir erstellen und aktivieren eine IPsec-Verbindung in der Hauptgeschäftsstelle. Die Verbindung gibtdie Endpunkt- und Netzwerkinformationen und einen verteilten Schlüssel an.
1. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
2. Legen Sie allgemeine Einstellungen fest.
Wir wollen eine Firewallregel für die Verbindung erstellen, deshalb aktivieren wir Firewallregelerstellen.
3. Legen Sie Verschlüsselungseinstellungen fest.
HinweisNotieren Sie sich den verteilten Schlüssel, da Sie ihn später brauchen werden, wenn Sie dieZweigstellenverbindung konfigurieren.
4. Legen Sie Einstellungen für das lokale Gateway fest.
324 Copyright © 2018 Sophos Limited
XG Firewall
5. Legen Sie Einstellungen für das entfernte Gateway fest.
Wir wollen, dass die Verbindung sich mit jeder Schnittstelle des Remote-Gateways verbinden kann,deshalb geben wir einen Platzhalter (*) an.
6. Klicken Sie auf Speichern.Das Verbindung wird in der Liste der IPsec-Verbindungen angezeigt.
7. Klicken Sie auf die Statusanzeige
( ),um die Verbindung zu aktivieren.
Copyright © 2018 Sophos Limited 325
XG Firewall
Bearbeiten Sie die Firewallregel
Wir bearbeiten die Firewallregel, die wird erstellt haben, als wir die IPsec-Verbindung erstellt haben.Diese Regel trifft auf ausgehenden VPN-Verkehr zu.
1. Gehen Sie zu Firewall und klicken Sie auf die Regel „IPsec HQ to Branch“.
2. Ändern Sie den Namen der Regel und legen Sie Einstellungen fest.
326 Copyright © 2018 Sophos Limited
XG Firewall
3. Klicken Sie auf Speichern.
Firewallregel hinzufügen
Wir erstellen eine Regel für eingehenden VPN-Verkehr.
1. Klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Regelname Eingehender VPN-Verkehr
Copyright © 2018 Sophos Limited 327
XG Firewall
Option Beschreibung
Quellzonen VPN
Quellnetzwerke und Geräte Branch_LAN
Zielzonen LAN
Zielnetzwerke HQ_LAN
3. Klicken Sie auf Speichern.
LANs in der Zweigstelle erstellen
Wir erstellen Hosts für die Zweigstelle und die Netzwerke der Hauptgeschäftsstelle in der Zweigstelle.
1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
2. Legen Sie die lokalen LAN-Einstellungen fest.
Option Beschreibung
Name Branch_LAN
Typ Netzwerk
IP-Adresse 192.168.3.0
3. Legen Sie die entfernten LAN-Einstellungen fest.
Option Beschreibung
Name HQ_LAN
Typ Netzwerk
IP-Adresse 192.168.2.0
IPsec-Verbindung in der Zweigstelle hinzufügen
Wir erstellen und aktivieren eine IPsec-Verbindung in der Zweigstelle.
1. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
2. Legen Sie allgemeine Einstellungen fest.
Option Beschreibung
Name Branch_to_HQ
Verbindungstyp Standort-zu-Standort
Gateway-Typ Initiieren
Firewallregel erstellen Aktiviert
3. Legen Sie Verschlüsselungseinstellungen fest.
Option Beschreibung
Richtlinie DefaultBranchOffice
Authentifizierungsmethode Verteilter Schlüssel
4. Geben Sie den verteilten Schlüssel ein und bestätigen Sie ihn.
328 Copyright © 2018 Sophos Limited
XG Firewall
HinweisStellen Sie sicher, dass Sie denselben verteilten Schlüssel wie in der Hauptgeschäftsstelleverwenden.
5. Legen Sie Einstellungen für das lokale Gateway fest.
Option Beschreibung
Lausch-Schnittstelle Port1 – 10.118.96.115
Lokales Subnetz Branch_LAN
6. Legen Sie Einstellungen für das entfernte Gateway fest.
Option Beschreibung
Gateway-Adresse *
Entfernte ID IP-Adresse – 10.118.96.91
Entferntes Subnetz HQ_LAN
7. Klicken Sie auf Speichern.Das Verbindung wird in der Liste der IPsec-Verbindungen angezeigt.
8. Klicken Sie auf die Statusanzeige
( ),um die Verbindung zu aktivieren.
Bearbeiten Sie die Firewallregel
Wir bearbeiten die Firewallregel, die wird erstellt haben, als wir die IPsec-Verbindung erstellt haben.Diese Regel trifft auf ausgehenden VPN-Verkehr zu.
1. Gehen Sie zu Firewall und klicken Sie auf die Regel „IPsec Branch to HQ“.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Regelname Ausgehender VPN-Verkehr
Quellzonen LAN
Quellnetzwerke und Geräte Branch_LAN
Zielzonen VPN
Zielnetzwerke HQ_LAN
3. Klicken Sie auf Speichern.
Firewallregel hinzufügen
Wir erstellen eine Regel für eingehenden VPN-Verkehr.
1. Klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
Copyright © 2018 Sophos Limited 329
2. Legen Sie Einstellungen fest.
Option Beschreibung
Regelname Eingehender VPN-Verkehr
Quellzonen VPN
Quellnetzwerke und Geräte HQ_LAN
Zielzonen LAN
Zielnetzwerke Branch_LAN
3. Klicken Sie auf Speichern.
Konnektivität prüfen
Wir überprüfen die Konnektivität von der Hauptgeschäftsstelle zur Zweigstelle und umgekehrt.
• Überprüfen Sie von der Hauptgeschäftsstelle aus, dass Sie die Zweigstelle anpingen können.Öffnen Sie unter Windows die Kommandozeile und tippen Sie ping 192.168.3.0 ein.
• Überprüfen Sie von der Zweigstelle aus, dass Sie die Hauptgeschäftsstelle anpingen können.Öffnen Sie unter Windows die Kommandozeile und tippen Sie ping 192.168.2.0 ein.
• Klicken Sie in der Hauptgeschäftsstelle auf Firewall und sehen Sie sich den Verkehr an.
• Klicken Sie in der Zweigstelle auf Firewall und sehen Sie sich den Verkehr an.
Konfiguration von Hauptgeschäftsstelle und Zweigstelle
In einer Konfiguration von Hauptgeschäftsstelle und Zweigstelle initiiert die Firewall in derZweigstelle den Tunnel und die Firewall in der Hauptgeschäftsstelle antwortet aus den folgendenGründen:
• Wenn das Zweigstellengerät mit einer dynamischen IP-Adresse konfiguriert ist, kann dasHauptgeschäftsstellengerät die Verbindung nicht initiieren.
• Da die Anzahl der Zweigstellen variiert, ist es empfehlenswert, dass jede Zweigstelle selbstversucht sich zu verbinden, anstatt dass die Hauptgeschäftsstelle versucht, sich mit allenZweigstellen zu verbinden.
Kapitel 17
17 NetzwerkNetzwerkobjekte ermöglichen Ihnen, die Sicherheit zu verbessern und die Leistungen von Gerätenhinter der Firewall zu optimieren. Sie können diese Einstellungen verwenden, um physikalische Portszu konfigurieren, virtuelle Netzwerke zu erstellen und Remote Ethernet Devices zu unterstützen.Zonen ermöglichen Ihnen, Schnittstellen zu gruppieren und Firewallregeln auf alle zugehörigenGeräte anzuwenden. Netzwerkredundanz und -verfügbarkeit wird durch Failover und Lastverteilunggewährleistet. Andere Einstellungen ermöglichen Ihnen, sicheren WLAN-Breitbanddienst für mobileGeräte anzubieten und erweiterte Unterstützung für die Einrichtung von IPv6-Geräten und fürDatenverkehrstunnel zu konfigurieren.
17.1 SchnittstellenDie Firewall wird mit physikalischen und virtuellen Schnittstellen ausgeliefert. Eine physikalischeSchnittstelle ist ein Port, z.B. Port1, PortA oder eth0. Eine virtuelle Schnittstelle ist eine logischeDarstellung einer Schnittstelle, mit welcher Sie Ihr Netzwerk unter Verwendung der vorhandenenPorts erweitern können. Sie können mehrere IP-Adressen an eine einzelne physikalische Schnittstellebinden, indem Sie ein Alias verwenden. Sie können auch Schnittstellen erstellen und konfigurieren, dieRemote Ethernet Devices unterstützen.
• Um eine virtuelle Schnittstelle oder ein Alias zu erstellen, klicken Sie auf Schnittstelle hinzufügenund wählen Sie einen Typ aus.
• Um eine Schnittstelle zu aktualisieren, klicken Sie auf
und wählen Sie Schnittstelle bearbeiten aus.
• Um eine virtuelle Schnittstelle zu löschen, klicken Sie auf
und wählen Sie Schnittstelle löschen aus.
AchtungDas Aktualisieren oder Löschen von Schnittstellen kann sich auf zugehörige Konfigurationenauswirken.
Tabelle 17: Virtuelle Schnittstellen
Name Beschreibung
Bridge Bridges ermöglichen Ihnen, transparente Subnetz-Gateways konfigurieren.
LAG Linkbündelungsgruppen (link aggregration groups)vereinen physikalische Links zu einem logischen Link,der die Firewall mit einem anderen Netzwerk verbindet.
VLAN Virtuelle LANs sind isolierte Broadcast-Domäneninnerhalb eines Netzwerks. Sie können ein VLANeinem oder mehreren Ports auf einem einzelnen Switchzuweisen.
XG Firewall
Name Beschreibung
RED Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. DasRED stellt ein VPN zurück zur Firewall her, so dassalles, was an das RED angeschlossen ist, als Teil desNetzwerks anerkannt wird.
Tabelle 18: Andere Schnittstellen
Name Beschreibung
WLAN-Netzwerk Ein WLAN-Netzwerk bietet typischeVerbindungseinstellungen für WLAN-Clients. DieseEinstellungen umfassen SSID, Sicherheitsmodus unddie Methode zum Umgang mit Client-Verkehr. WennSie ein Netzwerk als separate Zone erstellen, erstelltdie Firewall eine zugehörige virtuelle Schnittstelle.
Mobiles WAN Wireless-WAN-Netzwerke bieten mobilen Gerätensicheren WLAN-Breitband-Dienst. Wenn Sie Wireless-WAN aktivieren, erstellt die Firewall die WWAN1-Schnittstelle.
Test-Access-Point (TAP) Indem Sie die Firewall im Erkennungsmodus einsetzen,können Sie den gesamten Netzwerkdatenverkehrüberwachen, ohne Änderungen am Netzwerkschemavorzunehmen. Sie können den Erkennungsmodusaktivieren und einen Port über die Konsolekonfigurieren. Die Firewall führt die entsprechendeSchnittstelle als „Discover, physical (TAP)“ auf.
Tabelle 19: Statusmeldungen der Schnittstelle
Name Beschreibung
Deaktiviert Schnittstelle ist momentan an keine Zone gebunden.
Verbunden Schnittstelle ist konfiguriert und verbunden.
Verbindung wird hergestellt Eine neue IP-Adresse wird bezogen.
Nicht verbunden IP-Adresse wurde freigegeben.
Verbindung wird getrennt IP-Adresse wird freigegeben.
Nicht angeschlossen Keine physikalische Verbindung.
Nicht verfügbar FleXi Ports wurden konfiguriert und das FleXi PortModul wurde entfernt.
Verwandte InformationenNetzwerke: Zonen und Schnittstellen
17.1.1 Schnittstellen aktualisieren und löschen
Die Aktualisierung von Schnittstellen kann sich auf abhängige Konfigurationen auswirken,einschließlich der Bindung der Schnittstelle an eine Zone, DNS, Gateway, schnittstellenbasierte Hosts,VLAN-Schnittstellen und dynamisches DNS.
332 Copyright © 2018 Sophos Limited
XG Firewall
Das Löschen einer Schnittstelle wird auch alle abhängigen Konfigurationen entfernen, inklusiveSchnittstellen-Zonen-Anbindung, DHCP-Server oder -Relay, schnittstellenbasierte Firewallregel,ARP (statisch und Proxy), geschützte Server, geschützte, serverbasierte Firewallregeln,schnittstellenbasierte Hosts und Referenzen von Hostgruppen sowie Unicast- und Multicast-Routen.
Das Löschen einer virtuellen Schnittstelle löscht auch die für sie festgelegte Firewallregel.
Ihre Netzwerkverbindungen können zeitweise nicht reagieren oder unerreichbar sein, nachdem SieSchnittstellen aktualisiert oder gelöscht haben.
17.1.2 Physikalische Schnittstellen
Allgemeine Einstellungen
Physikalische Schnittstelle Eine physikalische Schnittstelle ist ein Port, z.B.Port1, PortA oder eth0.
Netzwerkzone Zone, die einem Netzwerk zugewiesen ist.
Erweiterte Einstellungen
Schnittstellengeschwindigkeit Schnittstellengeschwindigkeit für dieSynchronisierung.
HinweisStimmt die Geschwindigkeit zwischen derAppliance und Routern oder Switches vonDrittanbietern nicht überein, kann dieszu Fehlern oder Kollisionen, fehlenderVerbindung, erhöhter Latenz oder geringerLeistung führen.
MTU MTU-Wert (Maximum Transmission Unit) inBytes. Die MTU ist die größte Paketgröße, dieein Netzwerk übertragen kann. Pakete, dieden festgelegten Wert überschreiten, werdenvor dem Senden in kleinere Pakete aufgeteilt(fragmentiert).
MSS überschreiben MSS (Maximum Segment Size) in Bytes. DieMSS gibt die Datenmenge an, die in einem TCP-Paket übertragen werden kann.
Standard-MAC-Adresse verwenden Die Standard-MAC-Adresse der Schnittstelleverwenden. Der erste Port, der als Mitglied-Portaufgenommen wird, wird standardmäßig dieStandard-MAC-Adresse.
Standard-MAC-Adresse überschreiben Überschreiben Sie die Standard-MAC-Adresseder Schnittstelle und geben Sie eine neueAdresse ein. Bei einer Werksrücksetzung wirddie Adresse auf die Standard-MAC-Adressezurückgesetzt.
Copyright © 2018 Sophos Limited 333
XG Firewall
DAD-Versuche Anzahl der nacheinander gesendeten Neighbor-Solicitation-Nachrichten während DuplicateAddress Detection (DAD, Erkennung doppelterAdressen) für eine vorläufige Adressedurchgeführt wird.
Zugelassene RA-Server Fernzugriff-Server, die sich über die Schnittstelleverbinden dürfen.
Zugehörige AufgabenAlias hinzufügen (Seite 336)Sie können mehrere IP-Adressen an eine einzelne physikalische Schnittstelle binden, indem Sie einAlias verwenden.
IPv4-Konfiguration
Methode, mit der einer Schnittstelle eine IPv4-Adresse zugewiesen wird.
Statisch
Geben Sie die IP-Adresse an.
IPv4/Netzmaske IPv4-Adresse und Subnetzmaske.
Gateway-Informationen Gateway, über das Datenverkehr geleitet werdensoll.
PPPoE
Eine IP-Adresse von einem PPPoE-Server beziehen.
Bevorzugte IP Bevorzugte IP-Adresse für die PPPoE-Verbindung. Viele Internetdienstanbieter weisenPPPoE-Verbindungen eine statische IP-Adressezu. Die Firewall ermöglicht es Ihnen, die statischeIP-Adresse an die PPPoE-Verbindung zu binden.
HinweisAbhängig von der PPPoE-Server-Konfiguration kann der PPPoE-Verbindungeine andere Adresse zugewiesen werden alsdie bevorzugte IP-Adresse.
Gateway-Informationen Gateway, über das Datenverkehr geleitet werdensoll.
Benutzername Benutzername des PPPoE-Kontos.
Kennwort Kennwort des PPPoE-Kontos.
Zugangs-Konzentrator/Dienstname Access-Concentrator und Dienstname. DieFirewall erlaubt nur Sitzungen mit einem Access-Concentrator, der den festgelegten Dienstanbietet.
334 Copyright © 2018 Sophos Limited
XG Firewall
LCP-Echo-Intervall Zeit in Sekunden wie lange das System wartensoll, bevor es eine Echo-Anfrage sendet, umzu prüfen, ob der Link aktiv ist. Sobald einVersuch unternommen wurde, wartet die Firewalldie festgelegte Zeit, bevor ein neuer Versuchunternommen wird.
LCP-Fehlschlag Anzahl der Versuche (Echo-Anfragen), dieunternommen werden sollen. Sobald diefestgelegte Anzahl an Versuchen unternommenwurde, ohne eine Antwort vom Client zu erhalten,beendet die Firewall die PPPoE-Verbindung.
Zeit für Wiederverbindung planen Die Adresse, die einer PPPoE-Verbindungzugewiesen ist, egal ob dynamisch oderstatisch (bevorzugt), kann eine vordefinierteGültigkeitsdauer haben. Nach Ablauf derGültigkeit wird die PPPoE-Verbindungbeendet und erneut hergestellt. Um eineWiederverbindung während der Arbeitszeitenzu vermeiden, aktivieren Sie die Zeitplanung fürPPPoE.
HinweisBei der Wiederverbindung könnte derPPPoE-Verbindung eine andere Adresse alsdie bevorzugte IP-Adresse (falls angegeben)zugewiesen werden.
DHCP
Eine IP-Adresse von einem DHCP-Server beziehen.
Gateway-Informationen Gateway, über das Datenverkehr geleitet werdensoll.
IPv6-Konfiguration
Methode, mit der einer Schnittstelle eine IPv6-Adresse zugewiesen wird.
Statisch
Geben Sie die IP-Adresse an.
IPv6/Präfix IPv6-Adresse und Präfix.
Gateway-Informationen Gateway, über das Datenverkehr geleitet werdensoll.
Copyright © 2018 Sophos Limited 335
XG Firewall
DHCP
Eine IP-Adresse von einem DHCP-Server beziehen.
Modus Sie können IPv6-Adresszuweisung sokonfigurieren, dass zustandsbehaftete oderzustandslose Methoden verwendet werden.
• Auto Konfigurieren Sie die IPv6-Adresse mithilfe von DHCPv6 oderzustandsloser automatischer automatischenAdresskonfiguration (SLAAC) entsprechenddem Kennzeichen (flag) für eine verwalteteAdresskonfiguration (M) oder eineandere Konfiguration (O), die im Router-Advertisement bekannt gegeben wird.
• Manuell Konfigurieren Sie die IPv6-Adresse mithilfe von DHCPv6 oder SLAACentsprechend den angegebenen Optionen.Bei Nur DHCP wird der Client die Adresseund andere Parameter mithilfe des DHCPv6-Servers konfigurieren. Bei Zustandslos wirdder Client die Adresse mithilfe von SLAACbasierend auf der bekannt gegebenenRA-Nachricht konfigurieren. Sie könnenAndere Konfiguration von DHCP annehmenauswählen, um weitere Parameter mithilfe desDHCPv6-Servers zu konfigurieren.
DHCP Rapid Commit Konfigurieren Sie die Schnittstelle mithilfe desAustauschs zweier Nachrichten (Solicit undReply) anstatt vier (Solicit, Advertise, Request,und Reply). Diese Option bietet eine schnellereClient-Konfiguration.
HinweisAuf dem DHCPv6-Server muss außerdemRapid Commit aktiviert sein.
Gateway-Informationen Gateway, über das Datenverkehr geleitet werdensoll.
Alias hinzufügen
Sie können mehrere IP-Adressen an eine einzelne physikalische Schnittstelle binden, indem Sie einAlias verwenden.
1. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen-Alias aus.
2. Legen Sie Einstellungen fest.
336 Copyright © 2018 Sophos Limited
XG Firewall
HinweisDie Alias-IP-Adresse kann in einem anderen Subnetz sein als die ursprüngliche IP-Adresse,die der Schnittstelle zugewiesen ist, und muss die gleiche IP-Version verwenden, wie jene,die für die physikalische Schnittstelle verwendet wird. Wenn die Schnittstelle zum Beispiel miteiner IPv4-Adresse konfiguriert ist, muss der Alias eine IPv4-Adresse sein.
Option Beschreibung
Physikalische Schnittstelle Schnittstelle, an die der Alias gebunden wird.
IP-Version IP-Version, die mit der gewählten Schnittstelleübereinstimmt.
IPv4/Netzmaske IPv4-Adresse und Subnetzmaske.
IPv6/Präfix IPv6-Adresse und Präfix.
3. Klicken Sie auf Speichern.
Die IP-Adresse ist an die gewählte Schnittstelle gebunden.
Zugehörige KonzeptePhysikalische Schnittstellen (Seite 333)
17.1.3 Bridges
Bridges ermöglichen Ihnen, transparente Subnetz-Gateways konfigurieren.
Allgemeine Einstellungen
Physikalische Schnittstelle Eine physikalische Schnittstelle ist ein Port, z.B.Port1, PortA oder eth0.
Netzwerkzone Zone, die einem Netzwerk zugewiesen ist.
IP-Zuweisung Zuweisungsmethode für IP-Adressen.
Schnittstellengeschwindigkeit Schnittstellengeschwindigkeit für dieSynchronisierung.
HinweisStimmt die Geschwindigkeit zwischen derAppliance und Routern oder Switches vonDrittanbietern nicht überein, kann dieszu Fehlern oder Kollisionen, fehlenderVerbindung, erhöhter Latenz oder geringerLeistung führen.
Copyright © 2018 Sophos Limited 337
XG Firewall
MTU MTU-Wert (Maximum Transmission Unit) inBytes. Die MTU ist die größte Paketgröße, dieein Netzwerk übertragen kann. Pakete, dieden festgelegten Wert überschreiten, werdenvor dem Senden in kleinere Pakete aufgeteilt(fragmentiert).
MSS überschreiben MSS (Maximum Segment Size) in Bytes. DieMSS gibt die Datenmenge an, die in einem TCP-Paket übertragen werden kann.
Standard-MAC-Adresse verwenden Die Standard-MAC-Adresse der Schnittstelleverwenden. Der erste Port, der als Mitglied-Portaufgenommen wird, wird standardmäßig dieStandard-MAC-Adresse.
Standard-MAC-Adresse überschreiben Überschreiben Sie die Standard-MAC-Adresseder Schnittstelle und geben Sie eine neueAdresse ein. Bei einer Werksrücksetzung wirddie Adresse auf die Standard-MAC-Adressezurückgesetzt.
Zugehörige AufgabenBridge hinzufügen (Seite 338)
Bridge hinzufügen
1. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen-Bridge aus.
2. Geben Sie einen Namen ein.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Routing auf diesem Bridge-Paar zulassen Routing auf dieser Bridge aktivieren.
Schnittstelle Eine physikalische Schnittstelle ist ein Port, z.B.Port1, PortA oder eth0.
Zone Zone, die einem Netzwerk zugewiesen ist.
4. Geben Sie die IP-Zuweisungsinformationen an.
• IPv4-Konfiguration (Seite 334)
• IPv6-Konfiguration (Seite 335)
5. Optional: Legen Sie erweiterte Einstellungen fest.
Option Beschreibung
MTU MTU-Wert (Maximum Transmission Unit) inBytes. Die MTU ist die größte Paketgröße, dieein Netzwerk übertragen kann. Pakete, dieden festgelegten Wert überschreiten, werdenvor dem Senden in kleinere Pakete aufgeteilt(fragmentiert).
338 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
MSS überschreiben MSS (Maximum Segment Size) in Bytes. DieMSS gibt die Datenmenge an, die in einemTCP-Paket übertragen werden kann.
6. Klicken Sie auf Speichern.
Zugehörige KonzepteBridges (Seite 337)Bridges ermöglichen Ihnen, transparente Subnetz-Gateways konfigurieren.
17.1.4 Virtuelle LANs
Virtuelle LANs sind isolierte Broadcast-Domänen innerhalb eines Netzwerks. VLANs markieren Pakete,um Verkehr so wirken zu lassen, als wäre er im Netzwerk, aber sie behandeln den Verkehr, als wäre erin einem separaten Netzwerk. Sie können die VLAN-Technologie zwischen der Firewall und 802.1Q-konformen Switches oder Routern einsetzen.
Sie können ein VLAN einem oder mehreren Ports auf einem einzelnen Switch zuweisen. Beiverteilten VLANs können Sie sie über mehrere Switches zuweisen. Die Kommunikation innerhalbeines VLANs erfolgt über den Switch, wohingegen die Kommunikation zwischen verschiedenenVLANs ein Layer-3-Gerät erfordert, d.h. einen Router, einen Layer-3-Switch oder eine Firewall.
Die Firewall erkennt VLAN-IDs und ermöglicht Ihnen dadurch, Firewallregeln spezifisch auf jedesVLAN anzuwenden, einschließlich Authentifizierung und anderer zweckmäßiger Richtlinien IhresNetzwerks. Sie können auch Firewallregeln anwenden, um das Netzwerk zwischen Broadcast-Domänen zu schützen.
Zugehörige AufgabenVLAN-Schnittstelle hinzufügen (Seite 339)
VLAN-Schnittstelle hinzufügen
1. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen-VLAN aus.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Physikalische Schnittstelle Eine physikalische Schnittstelle ist ein Port,z.B. Port1, PortA oder eth0. Die virtuelleSchnittstelle wird ein Mitglied der ausgewähltenSchnittstelle.
Zone Zone, die einem Netzwerk zugewiesen ist.Die virtuelle Schnittstelle wird ein Mitglied derausgewählten Zone.
VLAN-ID VLAN-Kennung Die VLAN-ID jeder einzelnenvirtuellen Schnittstelle muss mit der VLAN-ID des Pakets übereinstimmen. Wenn die IDsnicht übereinstimmen, empfängt die virtuelleSchnittstelle keinen Datenverkehr mit VLAN-Tags.
Copyright © 2018 Sophos Limited 339
XG Firewall
Option Beschreibung
HinweisSie können keine virtuellen Schnittstellenmit derselben VLAN-ID zur gleichenphysikalischen Schnittstelle hinzufügen.
3. Geben Sie die IP-Zuweisungsinformationen an.
• IPv4-Konfiguration (Seite 334)
• IPv6-Konfiguration (Seite 335)
4. Optional: Legen Sie erweiterte Einstellungen fest.
Option Beschreibung
DAD-Versuche Anzahl der nacheinander gesendeten Neighbor-Solicitation-Nachrichten während DuplicateAddress Detection (DAD, Erkennung doppelterAdressen) für eine vorläufige Adressedurchgeführt wird.
Zugelassene RA-Server Fernzugriff-Server, die sich über dieSchnittstelle verbinden dürfen.
5. Klicken Sie auf Speichern.
Die virtuelle Schnittstelle ist unter der physikalischen Schnittstelle aufgeführt.
Zugehörige KonzepteVirtuelle LANs (Seite 339)Virtuelle LANs sind isolierte Broadcast-Domänen innerhalb eines Netzwerks. VLANs markieren Pakete,um Verkehr so wirken zu lassen, als wäre er im Netzwerk, aber sie behandeln den Verkehr, als wäre erin einem separaten Netzwerk. Sie können die VLAN-Technologie zwischen der Firewall und 802.1Q-konformen Switches oder Routern einsetzen.
17.1.5 Link-Aggregation-Gruppen
Linkbündelungsgruppen (link aggregration groups) vereinen physikalische Links zu einem logischenLink, der die Firewall mit einem anderen Netzwerk verbindet. Verwenden Sie LAGs, um Redundanzenanzubieten und erhöhen Sie Ihren Durchsatz mit dem Link Aggregation Control Protocol (LACP) IEEE802.3ad.
Zugehörige AufgabenLinkbündelungsgruppe hinzufügen (Seite 341)
340 Copyright © 2018 Sophos Limited
XG Firewall
Linkbündelungsgruppe hinzufügen
1. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen-LAG aus.
2. Geben Sie einen Namen ein.
3. Klicken Sie auf Neues Element hinzufügen und wählen Sie Schnittstelle aus.
HinweisNur ungebundene statische physikalische Schnittstellen können Schnittstellenmitglied sein.Schnittstellen, die für PPPoE, Wireless WAN oder WLAN konfiguriert sind, können nicht Teileiner die LAG sein.
4. Wählen Sie einen Modus aus.
Option Beschreibung
Active-Backup Dieser Modus ermöglicht Link-Failover.Ein Mitgliedslink bleibt aktiv, während dieanderen im Bereitschaftsmodus sind. Wennder aktive Link ausfällt, wird der Link imBereitschaftsmodus aktiv.
802.3ad (LACP) Dieser Modus bietet Failover undLastverteilung. In diesem Modus wird derVerkehr zwischen allen Links verteilt. BeachtenSie folgende Anforderungen:
• LACP muss an beiden Enden des Linksaktiviert sein.
• Alle Mitgliedsschnittstellen müssenvom gleichen Typ sein und die gleicheSchnittstellengeschwindigkeit haben.
• Alle Links müssen vollduplex-fähig sein.
5. Wählen Sie eine Netzwerkzone aus.
6. Geben Sie die IP-Zuweisungsinformationen an.
• IPv4-Konfiguration (Seite 334)
• IPv6-Konfiguration (Seite 335)
7. Optional: Legen Sie erweiterte Einstellungen fest.
Option Beschreibung
Schnittstellengeschwindigkeit Schnittstellengeschwindigkeit für dieSynchronisierung.
Copyright © 2018 Sophos Limited 341
XG Firewall
Option Beschreibung
HinweisStimmt die Geschwindigkeit zwischen derAppliance und Routern oder Switches vonDrittanbietern nicht überein, kann dieszu Fehlern oder Kollisionen, fehlenderVerbindung, erhöhter Latenz oder geringerLeistung führen.
MTU MTU-Wert (Maximum Transmission Unit) inBytes. Die MTU ist die größte Paketgröße, dieein Netzwerk übertragen kann. Pakete, dieden festgelegten Wert überschreiten, werdenvor dem Senden in kleinere Pakete aufgeteilt(fragmentiert).
HinweisWenn Netzwerke mit verschiedenenMTU-Größen miteinander verbundensind, werden Pakete, die größer als derangegebene MTU-Wert sind, fragmentiertbevor sie gesendet werden.
MSS überschreiben Die maximale Segmentgröße ist die größteDatenmenge in Bytes, die ein Geräte in einemeinzelnen TCP-Segment empfangen kann.
Xmit-Hash-Richtlinie Bei LAGs, die den 802.3ad (LACP)-Modusverwenden, verteilen Sie die die Last zwischenden Links basierend auf dem Algorithmus derXmit-Hash-Richtlinie.
• Layer2 Erzeugen Sie den Hashwert anhandder MAC-Adressen.
• Layer2+3 Erzeugen Sie den Hash-Wert mithilfe einer Kombination derProtokollinformationen aus Layer2 (MAC-Adresse) und Layer3 (IP-Adresse).
• Layer3+4 Erzeugen Sie den Hashwertanhand der Protokollinformationen derTransportschicht.
Primäre Schnittstelle Bei LAGs, die den Active-Backup-Modusverwenden, die Schnittstelle, die als primäreSchnittstelle agiert. Diese Schnittstelle bleibt solange aktiv, wie sie verfügbar ist. Wählen SieAuto, um diesen Wert automatisch zuzuweisen.
Standard-MAC-Adresse verwenden Die Standard-MAC-Adresse der Schnittstelleverwenden. Der erste Port, der als Mitglied-Portaufgenommen wird, wird standardmäßig dieStandard-MAC-Adresse.
342 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Standard-MAC-Adresse überschreiben Überschreiben Sie die Standard-MAC-Adresseder Schnittstelle und geben Sie eine neueAdresse ein. Bei einer Werksrücksetzung wirddie Adresse auf die Standard-MAC-Adressezurückgesetzt.
8. Klicken Sie auf Speichern.
Zugehörige KonzepteLink-Aggregation-Gruppen (Seite 340)Linkbündelungsgruppen (link aggregration groups) vereinen physikalische Links zu einem logischenLink, der die Firewall mit einem anderen Netzwerk verbindet. Verwenden Sie LAGs, um Redundanzenanzubieten und erhöhen Sie Ihren Durchsatz mit dem Link Aggregation Control Protocol (LACP) IEEE802.3ad.
17.1.6 RED-Schnittstellen
Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. Mithilfe von RED-Schnittstellen können Sie REDskonfigurieren und einsetzen oder einen Site-to-Site-RED-Tunnel zwischen zwei Firewalls in einerClient-/Server-Konfiguration erstellen.
• RED-Modelle (Seite 344)
• Firewall-REDs (Seite 347)
Zugehörige KonzepteRED (Seite 483)Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. Der RED-Provisioning-Service unterstützt die Einrichtungvon RED und bietet Sicherheitsoptionen.
Zugehörige AufgabenRED-Schnittstelle hinzufügen (Seite 343)RED-Schnittstellen legen einen Zweigstellennamen, Typ und Tunnel-ID fest. Schnittstellen, diezu einem RED gehören, enthalten Konfigurations- und Netzwerkeinstellungen. Schnittstellen, diezu der Rolle gehören, die eine Firewall in der Client-Server-Konfiguration spielt, enthalten nurNetzwerkeinstellungen.
Verwandte InformationenSite-to-Site RED-Tunnel erstellen (Seite 372)Richten Sie einen Site-to-Site RED-Tunnel zwischen zwei Sophos XG Firewall Appliances ein, ohneein RED-Gerät einzurichten. Bei dieser Konfigurationsart agiert ein Gerät als Server und das andereals Client.
Ein RED manuell einrichten (Seite 374)Um RED-Geräte manuell einzurichten, müssen Sie die Bereitstellungsdatei für die RED-Schnittstelleherunterladen und auf einem USB-Stick speichern.
RED-Schnittstelle hinzufügen
RED-Schnittstellen legen einen Zweigstellennamen, Typ und Tunnel-ID fest. Schnittstellen, diezu einem RED gehören, enthalten Konfigurations- und Netzwerkeinstellungen. Schnittstellen, die
Copyright © 2018 Sophos Limited 343
XG Firewall
zu der Rolle gehören, die eine Firewall in der Client-Server-Konfiguration spielt, enthalten nurNetzwerkeinstellungen.
1. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen RED aus.
2. Wählen Sie einen Typ aus und legen Sie Einstellungen fest.
• RED-Modelle (Seite 344)
• Firewall-REDs (Seite 347)
3. Klicken Sie auf Speichern.
Zugehörige KonzepteRED-Schnittstellen (Seite 343)Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. Mithilfe von RED-Schnittstellen können Sie REDskonfigurieren und einsetzen oder einen Site-to-Site-RED-Tunnel zwischen zwei Firewalls in einerClient-/Server-Konfiguration erstellen.
RED-Modelle
Schnittstellen für RED-Modelle legen die Gerätekonfiguration und die Netzwerkeinstellungen fest.
HinweisDie Unterstützung für die folgenden Einstellungen variieren in Abhängigkeit vom Gerätemodell undder RED-Version. Überprüfen Sie Ihr Gerät und die Firmware-Spezifikationen für Einzelheiten.
RED
Zweigstellenname Zweigstelle, an der sich das RED befindet.
Typ RED-Modell.
ID RED-Identifikationsnummer. Sie finden die IDauf der Rückseite Ihres Geräts und auf derProduktverpackung.
Tunnel-ID Tunnel-Kennung Stellen Sie sicher, dass die IDfür das RED und die Firewall die gleiche ist.
Entsperrcode Code, der den Provisionierungsservernermöglicht, eine neue Konfiguration für ein REDanzunehmen.
Wenn Sie das RED zum ersten Mal einrichten,lassen Sie den Entsperrcode frei. Wenn dasGerät bereits einmal für eine andere SophosFirewall eingerichtet war, geben Sie denEntsperrcode ein.
Der Entsperrcode wird an die E-Mail-Adressegesendet, die Sie angegeben haben, als Sieden RED Provisioning Service eingeschaltethaben.
344 Copyright © 2018 Sophos Limited
XG Firewall
WichtigBewahren Sie den Entsperrcode auf. Siewerden den Code brauchen, wenn Sie dasRED auf einer anderen Firewall einsetzenwollen.
Für jede Einrichtungsmethode werden separateEntsperrcodes erzeugt. Stellen Sie sicher,dass Sie den entsprechenden Entsperrcode fürzukünftige Einrichtungen verwenden.
Wenn Sie den Entsperrcode nicht findenkönnen, kontaktieren Sie den Sophos Support.
Firewall-IP/Hostname Öffentliche IP-Adresse oder Hostname derFirewall.
2. Firewall-IP/Hostname Alternative öffentliche IP-Adresse oder Hostnameder Firewall.
2. IP/Hostnamen verwenden für Die Art, wie die zweite IP-Adresse oder Hostnameverwendet werden sollen.
Wählen Sie aus den folgenden:
• Failover Der sekundäre Host übernimmtautomatisch, wenn der primäre ausfällt.
• Lastverteilung Den Datenverkehrgleichmäßig zwischen dem primären undsekundären Host verteilen. Wählen Siediese Option, wenn beide Uplinks, zu denendie Hostnamen gehören, in Latenz undDurchsatz gleichwertig sind.
Geräteeinrichtung Methode, mit der das Gerät konfiguriert undeingerichtet wird.
Wählen Sie aus den folgenden:
• Automatisch über Provisioning Service
• Manuell über USB-Stick
Uplink-Einstellungen
Legen Sie Uplink-Verbindungstyp-Details und Failover-Modi fest.
Uplink-Verbindung Methode, mit der die WAN-Verbindung auf demRED eine IP-Adresse erhält.
Wählen Sie aus den folgenden:
• DHCP Die Adresse dynamisch zuweisen.Es wird empfohlen, diese Methode zuverwenden. Wenn Sie den ProvisioningService zur Einrichtung verwenden, mussdas RED mindestens einmal mit einem
Copyright © 2018 Sophos Limited 345
XG Firewall
DHCP-Netzwerk verbunden werden, um dieKonfiguration herumterzuladen.
• Statisch Geben Sie eine statische IP-Adresse an. Verwenden Sie diese Optionnur, wenn DHCP nicht unterstützt wird.
3G/UMTS-Failover Verwenden im Fall eines WAN-Ausfalls einWLAN-Netzwerk. Die Einstellungen erhalten Sievon Ihrem Dienstanbieter. 3G/UMTS-Failovererfordert einen USB-Dongle.
RED-Netzwerkeinstellungen
RED-Betriebsmodus Methode, mit der das Remote-Netzwerk hinterdem RED in Ihr lokales Netzwerk integriertwerden soll.
Wählen Sie aus den folgenden:
• Standard/Vereint Die Firewall verwaltetdas Remote-Netzwerk vollständig über dasRED. Sie agiert als DHCP-Server und alsStandardgateway.
HinweisVLAN-Verkehr über den Standard/Vereint-Modus verarbeiten, wenn VLANhinter RED eingerichtet ist.
• Standard/Getrennt Die Firewall verwaltetdas Remote-Netzwerk und agiert alsDHCP-Server. Nur Verkehr, der getrennteNetzwerke als Ziel hat, wird an Ihre lokaleFirewall umgeleitet. Verkehr, der nicht andie getrennten Netzwerke gerichtet ist, wirddirekt ins Internet geroutet.
HinweisDieser Modus ist nicht kompatible mitFrames, die ein VLAN-Tag haben.
• Transparent/Getrennt Die Firewall verwaltetnicht das Remote-Netzwerk. Sie ist mitdem Remote-LAN und dem Gateway desRemote-LAN verbunden und erhält eineAdresse im Remote-LAN über DHCP.Nur Verkehr, der für bestimmte Netzwerkbestimmt ist, passiert den Tunnel. In diesemFall agiert das RED nicht als das Gateway,sondern es ist auf einer Linie mit demGateway und kann Pakete transparent inden Tunnel umleiten.
346 Copyright © 2018 Sophos Limited
XG Firewall
HinweisDieser Modus ist nicht kompatible mitFrames, die ein VLAN-Tag haben.
RED-IP IP-Adresse des RED.
Zone Zone, die einem Netzwerk zugewiesen ist.
DHCP konfigurieren Dem RED gestatten, anderen Geräten DHCPanzubieten.
RED-DHCP-Bereich DHCP-Bereich für Geräte hinter der RED.
Getrenntes Netzwerk Verkehr zu den aufgeführten Netzwerken wirdan die Firewall umgeleitet. Der verbleibendeDatenverkehr wird direkt ins Internet geroutet.
MAC-Filtertyp Art der MAC-Filterung.
Wählen Sie aus den folgenden:
• Whitelist Nur Adressen auf der Listezulassen.
• Blacklist Adressen auf der Liste blockieren.
Überprüfen Sie Ihre Gerätespezifikation aufdie maximale Anzahl von zugelassenen MAC-Adressen.
Tunnelkomprimierung Tunnelverkehr komprimieren.Datenkomprimierung kann den Durchsatzvon RED-Verkehr in Regionen mit langsamenInternetverbindungen erhöhen.
Switch-Einstellungen
Konfigurieren Sie LAN-Ports als einfache Switches oder für die VLAN-Verwendung.
Switchport-Modus Wählen Sie aus den folgenden:
• Switch Verkehr an alle Ports senden.
• VLAN Verkehr entsprechend den VLAN-Tagsder Ethernet-Frames filtern. Diese Optionermöglicht Ihnen, mehr als ein Netzwerkdurch den RED-Tunnel zu senden.
Verwandte InformationenRED: 3G/4G/LTE USB-Dongle-ListeSophos RED Devices
Firewall-REDs
Schnittstellen für Firewall-REDs legen Netzwerkeinstellungen fest.
Copyright © 2018 Sophos Limited 347
XG Firewall
RED
Zweigstellenname Zweigstelle, an der sich das Firewall-REDbefindet.
Typ Rolle, die die Firewall in einer Client-/Serverkonfiguration übernimmt.
TippWählen Sie Firewall RED-Client/Server,wenn Sie einen Site-to-Site-Tunnel zwischenzwei Sophos XG Firewall Applianceserstellen wollen.
TippWählen Sie Firewall RED-Client/ServerLegacy, wenn Sie einen Site-to-Site-Tunnelzwischen Sophos XG Firewall und SophosUTM erstellen wollen.
Tunnel-ID Tunnel-Kennung
Firewall-IP/Hostname Öffentliche IP-Adresse oder Hostname derFirewall.
Bereitstellungsdatei Diese Datei enthält die Konfigurationsdaten, dieder Client-Firewall übergeben werden müssen.
RED-Netzwerkeinstellungen
RED-IP IP-Adresse des Firewall-RED.
Zone Zone, die einem Netzwerk zugewiesen ist.
Tunnelkomprimierung Tunnelverkehr komprimieren.Datenkomprimierung kann den Durchsatzvon RED-Verkehr in Regionen mit langsamenInternetverbindungen erhöhen.
RED-Betriebsmodi
Der RED-Betriebsmodus legt die Methode fest, wie das Remote-Netzwerk hinter dem RED in Ihrlokales Netzwerk integriert werden soll. Aller WLAN-Verkehr hinter REDs, die als separate Zoneeingerichtet sind, wird unter Verwendung des VXLAN-Protokolls an XG Firewall gesendet, unabhängigvom Betriebsmodus.
Standard/Vereint
Die Firewall verwaltet das Remote-Netzwerk vollständig über das RED. Sie agiert als DHCP-Serverund als Standardgateway.
348 Copyright © 2018 Sophos Limited
XG Firewall
DHCP kann von der Firewall für das Remote-LAN angeboten werden und das RED kann das einzigeGerät sein, welches das LAN mit dem Internet verbindet. Obwohl ein weiterer Router sich vor demRED befinden kann, gibt es keinen Parallelweg um das RED herum ins Internet.
In diesem Modus kann die Firewall Anfragen zulassen oder ablehnen, wie sie es auch fürDatenverkehr aus dem lokalen LAN tut. Dies bietet den höchsten Schutz und die einfachsteVerwaltung für Remote-Netzwerke. Die Bandbreite der Firewall muss jedoch groß genug sein, umAnfragen sowohl von lokalen Benutzern als auch von allen entfernten RED-Benutzern zu bedienen.
Standard/Getrennt
Die Firewall verwaltet das Remote-Netzwerk und agiert als DHCP-Server. Nur Verkehr, dergetrennte Netzwerke als Ziel hat, wird an Ihre lokale Firewall umgeleitet. Verkehr, der nicht an diegetrennten Netzwerke gerichtet ist, wird direkt ins Internet geroutet.
In diesem Modus maskiert das RED ausgehenden Verkehr so, dass er wirkt, als käme er vonder öffentlichen IP-Adresse des RED. Diese Funktion minimiert Bandbreitennutzung über denTunnel und verringert die erforderliche Bandbreite auf der Firewall, aber sie verringert auchdie Verwaltbarkeit des Netzwerks erheblich. Verkehr in oder aus dem Internet kann nicht aufBedrohungen gefiltert oder vor diesen geschützt werden. Sicherheit kann nur zwischen denentfernten und dem lokalen LANs durchgeführt werden.
Transparent/Getrennt
Die Firewall verwaltet nicht das Remote-Netzwerk. Sie ist mit dem Remote-LAN und dem Gatewaydes Remote-LAN verbunden und erhält eine Adresse im Remote-LAN über DHCP. Nur Verkehr, derfür bestimmte Netzwerk bestimmt ist, passiert den Tunnel. In diesem Fall agiert das RED nicht alsdas Gateway, sondern es ist auf einer Linie mit dem Gateway und kann Pakete transparent in denTunnel umleiten.
Da die Firewall keine Kontrolle über das Remote-Netzwerk hat, können lokale Domänen nicht vomRemote-Router aufgelöst werden, es sei denn, Sie legen einen getrennten DNS-Server fest. Dies istein lokaler DNS-Server in Ihrem Netzwerk, der Anfragen von den entfernten Clients entgegen nimmt.
In diesem Modus besteht eine Bridge zwischen der lokalen Schnittstelle des RED, dessen Uplink-Schnittstelle zu Ihrer lokalen Firewall sowie der Verbindung zum entfernten Router. Da die Firewallein Client des Remote-Netzwerks ist, ist es nicht möglich, Verkehr zu den getrennten Netzwerkenauf die gleiche Weise zu routen wie in den anderen Modi. Daher fängt das RED allen Datenverkehrab. Verkehr für ein getrenntes Netzwerk oder für eine getrennte Domäne wird zur Firewall-Schnittstelle umgeleitet.
RED 50 LAN-Modi
Wenn Sie die VLAN-Switch-Portkonfiguration verwenden, können Sie LAN-Ports separat konfigurieren.
Ohne Tags (Hybrid-Port)
Ethernet-Frames mit den in den LAN-VID-Feldern unten angegebenen VLAN-IDs werden an diesenPort gesendet. Die Frames werden ohne Tags gesendet. Daher müssen die Endgeräte VLAN nichtunterstützen. Dieser Port lässt eine VLAN-ID zu.
Copyright © 2018 Sophos Limited 349
XG Firewall
Ohne Tags, Tags verwerfen (Access-Port)
Ethernet-Frames mit den in den LAN-VID-Feldern unten angegebenen VLAN-IDs werden nicht andiesen Port gesendet. Die Frames werden ohne Tags gesendet. Daher müssen die Endgeräte VLANnicht unterstützen.
Mit Tags (Trunk-Port)
Ethernet-Frames mit den in den LAN-VID-Feldern unten angegebenen VLAN-IDs werden andiesen Port gesendet. Die Frames werden mit Tags gesendet. Daher müssen die Endgeräte VLANunterstützen. Frames ohne VLAN-IDs werden nicht an diesen Port gesendet. Dieser Port lässt bis zu64 VLAN-IDs zu. Trennen Sie die IDs durch Komma.
Deaktiviert
Dieser Port ist geschlossen. Keine Frames mit den oder ohne die in den LAN-VIDs-Feldernangegebenen VLAN-IDs werden an diesen Port gesendet.
350 Copyright © 2018 Sophos Limited
XG Firewall
RED 15w Anforderungen
Der Verkehr wird entsprechend dem Modus und dem WLAN-Verkehrsart behandelt. Bevor Sie einRED 15w (WLAN) einrichten, müssen Sie die Vorbedingungen für dieses Modus erfüllen.
Standard/Vereint und Standard/Getrennt
Im Modus Standard/Vereint wird der gesamte Verkehr vom RED an die Firewall gesendet.
Im Modus Standard/Getrennt wird der gesamte Verkehr des getrennten Netzwerks an die Firewallgesendet. Jeglicher anderer Verkehr wird an das Standardgateway gesendet, das vom entferntenDHCP-Server festgelegt ist. Dies ist üblicherweise der Router, mit dem das RED am Remote-Standort verbunden ist.
Die folgenden Voraussetzungen müssen für WLAN erfüllt sein:
• Eine RED-Schnittstelle muss verfügbar sein und muss eine IP-Adresse haben.
• Ein DHCP-Server muss auf der RED-Schnittstelle laufen.
• DNS muss über die RED-Schnittstelle aufgelöst werden können.
Separate Zone Der gesamte Verkehr aus einer separaten Zonewird mittels VXLAN-Protokoll an die XG Firewallgesendet. Die Pakete werden verschlüsselt,während Sie den RED-Tunnel passieren. DieNetzwerke der getrennten Zone sind in XGFirewall miteinander verbunden. Sie müssen XGFirewall so konfigurieren, dass sie für die RED-Schnittstelle Verkehr für den AWE-Client undVXLAN (RFC 7348) zulässt.
Bridge ins AP-LAN Das RED sendet die SSID über eine Bridgein das LAN-Netzwerk hinter dem RED. Diesschließt die LAN-Ports 1–4 ein. Clients, die mitdieser SSID verbunden sind, können die RED-Tunnelendpunktschnittstelle auf der Firewall-Seiteerreichen, wenn die Firewall Verkehr vom RED-Netzwerk zur RED-Schnittstelle zulässt.
Bridge ins VLAN (Standard/Vereint) Das RED markiert allen Verkehr von Clients,die mit dieser SSID verbunden sind, mit demkonfigurierten VLAN-Tag. Clients sind in derLage, alle Netzwerkgeräte zu erreichen, die dasgleiche VLAN-Tag besitzen und mit den LAN-Ports 1–4 verbunden sind. Ebenso erreichen sieeine Tunnelendpunktschnittstelle auf der Firewall-Seite, wenn diese zusätzlich VLAN-getaggt ist.
Copyright © 2018 Sophos Limited 351
XG Firewall
Bridge ins VLAN (Standard/Getrennt) Die Clients können alle Hosts hinter dem REDerreichen, die das gleiche VLAN-Tag besitzen.Auch der Tunnelendpunkt ist erreichbar, wenneine VLAN-Schnittstelle zusätzlich auf der RED-Schnittstelle auf der Firewall-Seite konfiguriert ist.Die getrennten Netzwerke sind nicht erreichbar,da diese nur für ungetaggte Pakete geroutetwerden.
Transparent/Getrennt
In diesem Modus sind nur getrennte Netzwerke über die Firewall erreichbar. Alle anderen Netzwerkewerden über den Router am entfernten Standort geleitet. Das entfernte Netzwerk bietet auch DHCPund DNS. In diesem Fall muss die RED-Schnittstelle eine IP-Adresse vom Remote-DHCP-Servererhalten.
• Eine RED-Schnittstelle muss verfügbar sein und muss eine IP-Adresse haben.
• DNS muss über die RED-Schnittstelle aufgelöst werden können.
• Der entfernte DHCP-Server muss die DHCP-Option 234 anbieten, welche die IP-Adresse derRED-Schnittstelle auf der Firewall-Seite enthält. (Andernfalls wird 1.2.3.4 verwendet.)
Separate Zone Das gleiche Verhalten wie bei Standard/Vereintund Standard/Getrennt.
Bridge ins AP-LAN Das gleiche Verhalten wie bei Standard/Vereintund Standard/Getrennt.
Bridge ins VLAN Die Clients können alle Hosts hinter dem REDerreichen, die das gleiche VLAN-Tag auf denLAN-Ports 1–4 sowie dem WAN-Port besitzen.Die getrennten Netzwerke sind nicht erreichbar,da diese nur für ungetaggte Pakete geroutetwerden.
RED-Netzwerkkonfiguration
Bei einer typischen Konfiguration richten Sie das Gerät in einer Zweigstelle ein und verbinden es mitder Firewall in der Hauptgeschäftsstelle.
Das RED stellt ein VPN zurück zur Firewall her, so dass alles, was an das RED angeschlossen ist,als Teil des Netzwerks anerkannt wird. Aller Verkehr in und aus der Zweigstelle wird über das REDgeroutet. Sie können die gleichen Richtlinien zwischen lokalem und entferntem Verkehr anwendenoder für jeden Standort eigene Richtlinien erstellen.
352 Copyright © 2018 Sophos Limited
XG Firewall
17.2 ZonenEine Zone ist eine Gruppierung von Schnittstellen. Zonen legen auch die Dienste fest, die zurVerwaltung von Geräten und zur Authentifizierung von Benutzern verwendet werden können. WennZonen in Firewallregeln verwendet werden, bieten sie eine bequeme Methode, Sicherheit undDatenverkehr für eine Gruppe von Schnittstellen zu verwalten.
Tabelle 20: Standardzonen
Name Beschreibung
LAN Gruppieren Sie Schnittstellen mit verschiedenenNetzwerk-Subnetzen, um sie als eine Einheit verwaltenzu können. Datenverkehr in und aus dieser Zone wirdstandardmäßig blockiert. Allerdings wird Datenverkehrzwischen Ports derselben Zone zugelassen.
DMZ (Entmilitarisierte Zone) Bei öffentlich zugänglichenServern verwenden. Sie können physikalische Ports indieser Zone gruppieren.
WAN Für Internetdienste verwenden.
VPN Zur Vereinfachung von sicheren Remote-Verbindungenverwenden. Wenn eine VPN-Verbindung hergestellt ist,wird die von der Verbindung verwendete Schnittstelleautomatisch zu dieser Zone hinzugefügt.
WiFi Für WLAN-Internetdienste verwenden.
Zugehörige AufgabenZone hinzufügen (Seite 353)
17.2.1 Zone hinzufügen
1. Gehen Sie zu Netzwerk > Zonen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie einen Typ fest.
Option Beschreibung
LAN Gruppieren Sie Schnittstellen mit verschiedenenNetzwerk-Subnetzen, um sie als eine Einheitverwalten zu können. Datenverkehr in undaus dieser Zone wird standardmäßig blockiert.Allerdings wird Datenverkehr zwischen Portsderselben Zone zugelassen.
DMZ Bei öffentlich zugänglichen Servern verwenden.Sie können physikalische Ports in dieser Zonegruppieren.
4. Legen Sie Dienste fest, die in dieser Zone zugelassen sein sollen.
5. Klicken Sie auf Speichern.
Copyright © 2018 Sophos Limited 353
XG Firewall
Zugehörige KonzepteZonen (Seite 353)Eine Zone ist eine Gruppierung von Schnittstellen. Zonen legen auch die Dienste fest, die zurVerwaltung von Geräten und zur Authentifizierung von Benutzern verwendet werden können. WennZonen in Firewallregeln verwendet werden, bieten sie eine bequeme Methode, Sicherheit undDatenverkehr für eine Gruppe von Schnittstellen zu verwalten.
17.3 WAN-Link-ManagerDer WAN-Link-Manager ermöglicht Ihnen, Gateways so zu konfigurieren, dass sie Failover undLastverteilung (load balancing) unterstützen.
Mit dem Einsatz von Failover können Sie die Wahrscheinlichkeit einer Unterbrechung der Diensteminimieren und eine „ununterbrochene“ Konnektivität mit dem Internet sicherstellen. Failovererreichen Sie durch eine Aktiv/Backup-Konfiguration. Im Fall eines Linkausfalls, leitet die Firewallden Datenverkehr an verfügbare Verbindungen um und der Verkehr wird zwischen den Linksentsprechend ihren zugewiesenen Gewichtungen verteilt. Während eines Failovers überwacht dieFirewall den Zustand des ausgefallenen Links und leitet Datenverkehr zu ihm, sobald er wiederverfügbar ist.
Lastverteilung ermöglicht Ihnen, die Konnektivität zu optimieren, indem Sie Datenverkehr zwischenLinks verteilen. Datenverkehr wird entsprechend den den Links zugewiesenen Gewichtungenverteilt. Lastverteilung erreichen Sie durch eine Aktiv/Aktiv-Konfiguration.
• Um einen Verkehrsbericht für ein Gateway zu sehen, klicken Sie auf
.
• Um die Zeit festzulegen, nach der ein nicht reagierender Link als ausgefallen eingestuft wird,geben Sie einen Wert im Feld Zeitüberschreitung für Gateway-Failover an und klicken Sie aufÜbernehmen.
Aktiv/Backup-Konfiguration
Aktiv/Aktiv-Konfiguration
17.3.1 Gateway-Informationen
Gateway-Informationen
Geben Sie die allgemeinen Details zum Gateway an, einschließlich Typ und Gewichtung.
IP-Adresse IP-Adresse des Gateways.
Schnittstelle IP-Adresse der Schnittstelle.
Typ Die Methode, mit der Verkehr durch das Gatewaygeleitet werden soll. Wählen Sie Aktiv aus, umVerkehr durch das Gateway zu leiten. WennSie mehr als ein aktives Gateway konfigurieren,wird die Verkehrslast zwischen den Gatewaysentsprechend der zugewiesenen Gewichtungverteilt. Wählen Sie Sicherung aus, um Verkehr
354 Copyright © 2018 Sophos Limited
XG Firewall
nur durch das Gateway zu leiten, wenn das aktiveGateway ausgefallen ist.
Gewichtung Priorität des Gateways, die für die Verteilung vonVerkehr verwendet wird. Dieser Wert bestimmt,wie viel Datenverkehr im Verhältnis zu denanderen verfügbaren Links über den Link geleitetwird.
Standard-NAT-Richtlinie NAT-Richtlinie, die standardmäßig verwendetwerden soll.
Backup-Gateway-Informationen
Legen Sie fest, wie das Gateway aktiviert und wie ihm eine Gewichtung zugewiesen werden soll.
Dieses Gateway aktivieren Die Methode, mit der das Gateway aktiviertwird. Wählen Sie Falls irgendein/alle aktivenGateways versagen aus, um dieses Gatewayautomatisch zu aktivieren, wenn alle aktivenGateways ausfallen. Wählen Sie Manuell aus, umeine manuelle Aktivierung zu erfordern.
Maßnahme bei Aktivierung Die Methode, mit der die Firewall demGateway eine Gewichtung zuweist. Wählen SieGewichtung des ausgefallenen aktiven Gatewaysübernehmen aus, um die Gewichtung desausgefallenen aktiven Gateways zu verwenden,um den Verkehr zwischen den Gateways zuverteilen. Wählen Sie Konfigurierte Gewichtungverwenden aus, um die konfigurierte Gewichtungdes Gateways zu verwenden.
Maßnahme bei Failback Die Methode, mit der die Firewall Maßnahmenergreift, sobald das primäre Gatewaywiederhergestellt ist. Wählen Sie NeueVerbindungen über wiederhergestelltes Gatewaybereitstellen aus, um neue Verbindungen durchdas primäre Gateway zu leiten. Sie fährt fort,bestehende Verbindungen durch das Backup-Gateway zu leiten, bis diese getrennt werden oderauslaufen.
Wählen Sie Alle Verbindungen überwiederhergestelltes Gateway bereitstellenaus, um bestehende Verbindungenwiederherzustellen, und allen Verkehrdurch das primäre Gateway zu leiten. Siestellt Verbindungen wieder her, für die Siedas Backup-Gateway festgelegt haben (inFirewallregel oder Richtlinienroute), und fährtfort, diese durch das Backup-Gateway, undnicht das primäre Gateway, zu leiten.
Copyright © 2018 Sophos Limited 355
XG Firewall
Failover-Regeln
Legen Sie Kriterien fest, mit denen bestimmt wird, wann Verkehr durch ein anderes Gateway geleitetwerden soll. Standardmäßig verwendet die Firewall Ping, um den Link zu testen. Sie können dieStandardkriterien ändern und Kriterien hinzufügen. Zusätzliche Kriterien werden durch Einsatz von„UND“ ausgewertet.
• Um die Kriterien zu ändern, klicken Sie auf Bearbeiten und legen Sie eine Testmethode, Port undIP-Adresse fest.
• Um Kriterien hinzuzufügen, klicken Sie auf Hinzufügen und legen Sie eine Testmethode, Port undIP-Adresse fest.
17.4 DNSSie können die Adresse eines DNS-Servers von einem DHCP- oder PPPoE-Server erhalten, oder Siekönnen statische DNS-Server festlegen. Andere Optionen ermöglichen Ihnen, Anfragen für bestimmteHosts aufzulösen, indem Sie eine bestimmte IP-Adresse verwenden, und Anfragen zu externenDomänen mithilfe von DNS-Servern in Ihrem Netzwerk auflösen.
• Um eine Konfiguration zu speichern, geben Sie IP- und Anfrage-Einstellungen an und klicken Sieauf Übernehmen.
• Um die Konnektivität zum DNS-Server zu testen, klicken Sie auf Namensauflösung testen undgeben Sie eine IP-Adresse oder einen Hostnamen ein.
DNS-Konfiguration
HinweisDie Verfügbarkeit von Optionen hängt von der Konfiguration der verfügbaren Schnittstellen ab.
DNS von DHCP erhalten Den konfigurierten DHCP-Server verwenden, umDNS zu erhalten.
DNS von PPPoE erhalten Den konfigurierten PPPoE-Server verwenden, umDNS zu erhalten.
Statischer DNS Die angegebenen Server für DNS verwenden.Server erhalten Anfragen in der angegebenenReihenfolge.
Server auf Basis des Eintragstyps derankommenden Anfragen wählen
Wählen Sie den DNS-Server aus, der verwendetwerden soll, um den Domänennamen auf Basisdes Eintragstyps der eingehenden Anfrageaufzulösen. Die ankommenden Anfragen könnenvom Typ A oder AAAA sein.
IPv6-DNS-Server gegenüber IPv4 bevorzugen Wenn sowohl IPv6- als auch IPv4-DNS-Serverkonfiguriert sind, dem IPv6-Server bei derAuflösung von Anfragen den Vorzug geben.
IPv4-DNS-Server gegenüber IPv6 bevorzugen Wenn sowohl IPv6- als auch IPv4-DNS-Serverkonfiguriert sind, dem IPv4-Server bei derAuflösung von Anfragen den Vorzug geben.
356 Copyright © 2018 Sophos Limited
XG Firewall
IPv6 wählen, wenn Quelladresse der AnfrageIPv6 ist, ansonsten IPv4
Wählen Sie den IPv6-DNS-Server aus, derverwendet wird, wenn eine Anfrage von einerIPv6-Quelle stammt, bzw. den IPv4-DNS-Server,wenn eine Anfrage von einer IPv4-Quelle stammt.
DNS-Host-Eintrag
Sie können Anfragen für bestimmte Hosts oder Domänen mithilfe von DNS Host-Einträgen auflösen.Wenn der vom Benutzer angefragte Host mit dem DNS-Host-Eintrag übereinstimmt, löst dieAppliance die Anfrage mithilfe der angegebenen IP-Adresse auf. Dies bietet schnellere Auflösungund reduziert Anfragen an den autoritativen DNS-Server.
DNS-Anfrageroute
Sie können Anfrage für externe Domänennamen durch DNS-Server in Ihrem Netzwerk auflösenlassen, indem Sie DNS-Anfragerouten verwenden. Dies bietet schnellere Auflösung, verringertInternetverkehr über das Netzwerk und verbessert die Sicherheit, da weniger DNS-Informationen imInternet enthüllt werden.
Zugehörige AufgabenEinen DNS-Host-Eintrag hinzufügen (Seite 357)Sie können Anfragen für bestimmte Hosts oder Domänen mithilfe von DNS Host-Einträgen auflösen.Wenn der vom Benutzer angefragte Host mit dem DNS-Host-Eintrag übereinstimmt, löst die Appliancedie Anfrage mithilfe der angegebenen IP-Adresse auf.
DNS-Anfrageroute hinzufügen (Seite 358)Sie können Anfrage für externe Domänennamen durch DNS-Server in Ihrem Netzwerk auflösenlassen, indem Sie DNS-Anfragerouten verwenden.
17.4.1 Einen DNS-Host-Eintrag hinzufügen
Sie können Anfragen für bestimmte Hosts oder Domänen mithilfe von DNS Host-Einträgen auflösen.Wenn der vom Benutzer angefragte Host mit dem DNS-Host-Eintrag übereinstimmt, löst die Appliancedie Anfrage mithilfe der angegebenen IP-Adresse auf.
1. Gehen Sie zu Netzwerk > DNS.
2. Blättern Sie zum Abschnitt DNS-Host-Eintrag und klicken Sie auf Hinzufügen.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Host-/Domänenname Fully Qualified Domain Name (FQDN) für denHost oder die Domäne.
Eintragstyp Geben Sie eine IP-Adresse für den Host einoder wählen Sie eine Schnittstelle aus, um sieals Host zu konfigurieren.
IP-Adresse IP-Adresse des Hosts.
Time-to-live Dauer in Sekunden, für die der Eintrag, der vomHost geholt für die angefragte Domäne geholtwurde, zwischengespeichert wird.
Copyright © 2018 Sophos Limited 357
XG Firewall
Option Beschreibung
Gewichtung Gewichtung für die Lastverteilung desDatenverkehrs. Die Appliance verteilt denDatenverkehr entsprechend der jeweiligenGewichtung auf die einzelnen Links. DieGewichtung legt fest, wie viel Datenverkehrdurch einen bestimmten Link geleitet wird imVergleich zu dem/den anderen Link(s).
Auf WAN veröffentlichen Veröffentlichen Sie den DNS-Hosteintrag imWAN.
Für diesen Hosteintrag umgekehrte DNS-Suchehinzufügen
Ermöglichen Sie, dass die IP-Adresse in ihrenzugewiesenen Domänennamen aufgelöstwerden kann.
Die folgenden Einschränkungen gelten für ein Reverse DNS-Lookup:
• Wenn mehrere Hosts zur selben IP-Adresse auflösen, kann Reverse DNS Lookup nur für einedieser IP-Adressen konfiguriert werden.
• Nur DNS-Datensätze des Typs A, AAAA und PTR werden unterstützt.
• Adressdatensätze des Typs A verweisen einen Hostnamen auf eine IP-Adresse und gebeneine 32-Bit-IPv4-Adresse zurück.
• AAAA-Datensätze verweisen einen Hostnamen auf eine IP-Adresse und geben eine 128-Bit-IPv6-Adresse zurück.
• Pointer-Records (PTR) werden für Reverse-Lookups verwendet. Sie ordnen die IP-Adresseeinem Hostnamen zu.
• Die maximal unterstützte Anzahl an DNS-Einträgen ist 1024.
• Wenn die Appliance-Schnittstelle als DNS im Client-System verwendet wird, wird eine Anfragean die konfigurierten DNS-Server gesendet, bevor die ROOT-Server abgefragt werden.
4. Klicken Sie auf Speichern.
Zugehörige KonzepteDNS (Seite 356)Sie können die Adresse eines DNS-Servers von einem DHCP- oder PPPoE-Server erhalten, oder Siekönnen statische DNS-Server festlegen. Andere Optionen ermöglichen Ihnen, Anfragen für bestimmteHosts aufzulösen, indem Sie eine bestimmte IP-Adresse verwenden, und Anfragen zu externenDomänen mithilfe von DNS-Servern in Ihrem Netzwerk auflösen.
17.4.2 DNS-Anfrageroute hinzufügen
Sie können Anfrage für externe Domänennamen durch DNS-Server in Ihrem Netzwerk auflösenlassen, indem Sie DNS-Anfragerouten verwenden.
1. Gehen Sie zu Netzwerk > DNS.
2. Blättern Sie zum Abschnitt DNS-Anfrageroute und klicken Sie auf Hinzufügen.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Host-/Domänenname Domäne, für die Sie den internen DNS-Serververwenden möchten.
358 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Zielserver DNS-Server, die verwendet werden sollen, umdie oben angegebene Domäne aufzulösen. Siekönnen nach einem Server suchen, indem Sieden Servernamen in die Hostliste eingeben.Wenn der Server noch nicht existiert, könnenSie ihn erstellen. Die Firewall versucht, dieDomäne von den ausgewählten Hosts in derangegebenen Reihenfolge aufzulösen.
4. Klicken Sie auf Speichern.
Zugehörige KonzepteDNS (Seite 356)Sie können die Adresse eines DNS-Servers von einem DHCP- oder PPPoE-Server erhalten, oder Siekönnen statische DNS-Server festlegen. Andere Optionen ermöglichen Ihnen, Anfragen für bestimmteHosts aufzulösen, indem Sie eine bestimmte IP-Adresse verwenden, und Anfragen zu externenDomänen mithilfe von DNS-Servern in Ihrem Netzwerk auflösen.
17.5 DHCPDie Firewall unterstützt das Dynamic Host Configuration Protocol wie in RFC 2131 (IPv4) und RFC3315 (IPv6) definiert. Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen. Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung fürClients durchführen, die nicht im gleichen Subnetz wie der DHCP-Server sind. Sie können auch Lease-Einträge ansehen.
Ein DHCP-Server weist einem Host eine eindeutige IP-Adresse aus einem bestimmten Bereichzu und gibt die Adresse wieder frei, sobald der Host das Netzwerk verlässt. Sobald eine Adressefreigeben wurde, kann sie wieder verwendet werden. Sie können den Server auch so konfigurieren,dass er statische Adressen vergibt. Verwenden Sie einen DHCP-Server, um Clients zu versorgen,die sich im gleichen Subnetz befinden wie der Server.
• Um einen DHCP-Server zu erstellen, gehen Sie zum Bereich Server und klicken Sie aufHinzufügen.
Ein DHCP-Relay-Agent ermöglicht DHCP-Clients IP-Adressen von einem DHCP-Server in einemRemote-Subnetz oder von einem Server, der sich nicht im lokalen Subnetz befindet, zu beziehen.Verwenden Sie ein DHCP-Relay, um Clients zu versorgen, die sich in einem anderen Subnetzbefinden als der DHCP-Server.
• Um ein DHCP-Relay zu erstellen, gehen Sie zum Bereich Relay und klicken Sie auf Hinzufügen.
Zugehörige KonzepteWLAN-Netzwerke (Seite 182)Ein WLAN-Netzwerk bietet typische Verbindungseinstellungen für WLAN-Clients. Diese Einstellungenumfassen SSID, Sicherheitsmodus und die Methode zum Umgang mit Client-Verkehr.
Zugehörige AufgabenDHCPv4-Server hinzufügen (Seite 360)Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen.Sie können den Server auch so konfigurieren, dass er statische Adressen vergibt.
DHCPv6-Server hinzufügen (Seite 361)Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen.Sie können den Server auch so konfigurieren, dass er statische Adressen vergibt.
Copyright © 2018 Sophos Limited 359
XG Firewall
DHCP-Relay hinzufügen (Seite 362)Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung für Clients durchführen, dienicht im gleichen Subnetz wie der DHCP-Server sind.
Verwandte InformationenWLAN-Netzwerk als separate Zone einsetzen (Seite 205)Wir wollen ein WLAN-Netzwerk für Gäste erstellen, das IP-Adressen aus einem festgelegten Bereichbezieht. Wir wollen den Zugriff durch Hosts verhindern, die als Quellen von Schadprogrammenbekannt sind.
Netzwerke: DHCP
17.5.1 DHCPv4-Server hinzufügen
Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen.Sie können den Server auch so konfigurieren, dass er statische Adressen vergibt.
1. Gehen Sie zu Netzwerk > DHCP und klicken Sie auf Hinzufügen im Bereich Server.
2. Geben Sie einen Namen ein.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Schnittstelle Schnittstelle, die für den DHCP-Serververwendet werden soll. Die Firewall wartetauf DHCP-Anfragen auf der gewähltenSchnittstelle.
Clientanfrage über Relay zulassen Stellen Sie DHCP für Clients bereit, dieAnfragen über ein DHCP-Relay stellen.
Dynamisches IP-Lease Bereiche aus denen der DHCP-Server IP-Adressen an Clients vergibt.
Statische IP-MAC-Zuordnung Statische MAC-Adresse-zu-IP-Adresse-Zuordnungen. Die IP-Adresse ist immer derMAC-Adresse auf dem angegebenen Hostzugewiesen.
Subnetzmaske Subnetzmaske für den DHCP-Server.
Domänenname Domänenname, den der DHCP-Server denDHCP-Clients zuweisen wird.
Gateway IP-Adresse, die als Standardgateway verwendetwerden soll. Sie können ein Gateway angebenoder die Schnittstellen-IP als Gatewayverwenden.
Standard-Lease-Zeit Zeit in Minuten, die ein Lease dauern soll,für Clients, die keine bestimmte Lease-Zeitanfragen.
Maximale Lease-Zeit Maximale Lease-Zeit in Minuten. Der Clientmuss eine neue Anfrage an den DHCP-Serversenden, wenn die festgelegte Zeit abgelaufenist.
Konflikterfassung Aktivieren Sie die IP-Konflikterfassung, damitdie IP-Adresse vor der Vergabe überprüft wird.
360 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Wenn die Adresse bereits vergeben ist, wird sienicht wieder vergeben.
4. Optional: Geben Sie die DNS-Server an.
Sie können die Firewall-DNS-Einstellungen verwenden oder andere Server angeben.
5. Optional: Geben Sie WINS-Server an.
6. Klicken Sie auf Speichern.
Zugehörige KonzepteDHCP (Seite 359)Die Firewall unterstützt das Dynamic Host Configuration Protocol wie in RFC 2131 (IPv4) und RFC3315 (IPv6) definiert. Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen. Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung fürClients durchführen, die nicht im gleichen Subnetz wie der DHCP-Server sind. Sie können auch Lease-Einträge ansehen.
17.5.2 DHCPv6-Server hinzufügen
Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen.Sie können den Server auch so konfigurieren, dass er statische Adressen vergibt.
1. Gehen Sie zu Netzwerk > DHCP und klicken Sie auf Hinzufügen im Bereich Server.
2. Klicken Sie auf IPv6.
3. Geben Sie einen Namen ein.
4. Legen Sie Einstellungen fest.
Option Beschreibung
Schnittstelle Schnittstelle, die für den DHCP-Serververwendet werden soll. Die Firewall wartetauf DHCP-Anfragen auf der gewähltenSchnittstelle.
Clientanfrage über Relay zulassen Stellen Sie DHCP für Clients bereit, dieAnfragen über ein DHCP-Relay stellen.
Dynamisches IP-Lease Bereiche aus denen der DHCP-Server IP-Adressen an Clients vergibt.
Statische IP-DUID-Zuordnung Statische DHCP Unique Identifier-zu-IP-Adresse-Zuordnungen. Die IP-Adresse istimmer der Client-DUID auf dem angegebenenHost zugewiesen.
Preferred time Zeitraum in Minuten, für den eine gültigeAdresse im bevorzugten Status bleibt.Wenn die bevorzugte Lebensdauer abläuft,ist die Adresse ungültig. Die bevorzugteLebensdauer darf nicht länger sein als diegültige Lebensdauer.
Valid time Zeit in Minuten, die eine Adresse gültig bleibt.Im gültigen Zustand kann eine Adresse für neueoder bestehende Kommunikationen verwendetwerden.
Copyright © 2018 Sophos Limited 361
XG Firewall
5. Optional: Geben Sie die DNS-Server an.
Sie können die Firewall-DNS-Einstellungen verwenden oder andere Server angeben.
6. Klicken Sie auf Speichern.
Zugehörige KonzepteDHCP (Seite 359)Die Firewall unterstützt das Dynamic Host Configuration Protocol wie in RFC 2131 (IPv4) und RFC3315 (IPv6) definiert. Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen. Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung fürClients durchführen, die nicht im gleichen Subnetz wie der DHCP-Server sind. Sie können auch Lease-Einträge ansehen.
17.5.3 DHCP-Relay hinzufügen
Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung für Clients durchführen, dienicht im gleichen Subnetz wie der DHCP-Server sind.
1. Gehen Sie zu Netzwerk > DHCP und klicken Sie auf Hinzufügen im Bereich Relay.
2. Geben Sie einen Namen ein.
3. Legen Sie Einstellungen fest.
Option Beschreibung
IP-Version IP-Version, die vom DHCP-Relay unterstütztwerden soll. Die Zuweisung wird nur für dengewählten Typ stattfinden.
Schnittstelle Schnittstelle, die für den DHCP-Serververwendet werden soll. Die Firewall wartetauf DHCP-Anfragen auf der gewähltenSchnittstelle.
DHCP-Server-IP DHCP-Server, an den alle Pakete weitergeleitetwerden. Der aktive Server wird die Anfragebearbeitet. Falls der aktive Server ausfällt, wirddie Anfrage vom Backup-Server bearbeitet.
Relay über IPsec DHCP-Meldungen werden über einen IPsec-VPN-Tunnel umgeleitet.
HinweisDie Firewall unterstützt keine gleichzeitigen DHCPv6-Server und DHCPv6-Relay-Agenten.
4. Klicken Sie auf Speichern.
Zugehörige KonzepteDHCP (Seite 359)Die Firewall unterstützt das Dynamic Host Configuration Protocol wie in RFC 2131 (IPv4) und RFC3315 (IPv6) definiert. Sie können DHCP-Server verwenden, um Geräten im Netzwerk eindeutige IP-Adressen zuzuweisen. Mithilfe eines DHCP-Relays können Sie dynamische Adresszuweisung fürClients durchführen, die nicht im gleichen Subnetz wie der DHCP-Server sind. Sie können auch Lease-Einträge ansehen.
362 Copyright © 2018 Sophos Limited
XG Firewall
17.6 IPv6-Router-AdvertisementDie Firewall unterstützt zustandslose automatische Adresskonfiguration (SLAAC) für IPv6-Geräte.Mithilfe von SLAAC erstellen IPv6-Geräte automatisch eindeutige link-lokale Adressen für IPv6-aktivierte Schnittstellen. Die Clients nutzen die Router-Advertisements, um ihre eigene IP-Adresseautomatisch zu konfigurieren.
Die Firewall hat die Möglichkeit an SLAAC teilzunehmen. Standardmäßig vergibt die Firewall eineIPv6-Adresse und ein Standardgateway an den Client.
Mit SLAAC sendet der Host eine ICMPv6 (Typ 135) Router Solicitation Nachricht, die nach einemRouter-Advertisement fragt. Nach Erhalt der RS-Nachricht sendet die Firewall eine Router-Advertisement-(RA)-ICMPv6-Nachricht (Typ 134), in welcher der Status seiner Verfügbarkeitbekannt gegeben wird.
Router-Advertisements beinhalten Informationen zur Methode, die für die Adresszuweisungverwendet werden soll, z.B. Präfixe, Hop-Limit-Wert und Flag-Status. Die Appliance gibt die Datender verschiedenen Schnittstellen und die Internetparameter entweder regelmäßig oder als Antwortauf die RS-Nachricht bekannt und informiert alle Knoten im Netzwerk über Adressänderungen.
Zugehörige AufgabenIPv6-Router-Advertisement hinzufügen (Seite 363)Router-Advertisements beinhalten Informationen zur Methode, die für die Adresszuweisungverwendet werden soll, z.B. Präfixe, Hop-Limit-Wert und Flag-Status. Die Appliance gibt die Daten derverschiedenen Schnittstellen und die Internetparameter entweder regelmäßig oder als Antwort auf dieRS-Nachricht bekannt und informiert alle Knoten im Netzwerk über Adressänderungen.
17.6.1 IPv6-Router-Advertisement hinzufügen
Router-Advertisements beinhalten Informationen zur Methode, die für die Adresszuweisungverwendet werden soll, z.B. Präfixe, Hop-Limit-Wert und Flag-Status. Die Appliance gibt die Daten derverschiedenen Schnittstellen und die Internetparameter entweder regelmäßig oder als Antwort auf dieRS-Nachricht bekannt und informiert alle Knoten im Netzwerk über Adressänderungen.
1. Gehen Sie zu Netzwerk > IPv6-Router-Advertisement und klicken Sie auf Hinzufügen.
2. Wählen Sie eine Schnittstelle.
Sie können eine beliebige IPv6-fähige physikalische Schnittstelle, LAG-, VLAN- oder Bridge-Schnittstelle auswählen.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Min. Advertisement-Intervall Die Mindestzeit in Sekunden zwischen zweinachfolgenden, nicht angeforderten Router-Advertisements, die an die Clients gesendetwerden.
Max. Advertisement-Intervall Die Höchstzeit in Sekunden zwischen zweinachfolgenden, nicht angeforderten Router-Advertisements, die an die Clients gesendetwerden.
Copyright © 2018 Sophos Limited 363
XG Firewall
Option Beschreibung
HinweisWenn das maximale Intervall neunSekunden oder mehr beträgt, muss dasminimale Intervall 75 % des maximalenIntervalls betragen.
Verwalteter Flag Wenn die Funktion eingeschaltet ist, erhaltenClients IPv6-Adressen vom DHCPv6-Server.
HinweisVerwenden Sie diese Option nur, wenn einDHCPv6-Server verfügbar ist.
Anderer Flag Wenn die Funktion eingeschaltet ist, erhaltenClients weitere Netzwerkparameter wie DNS-Server, Domänenname, NIS, NISP, SIP, SNTP-und BCMS-Server vom DHCPv6-Server.
Standardgateway Verwenden Sie die Firewall alsStandardgateway für die Kommunikation mitdem Client. Wenn die Funktion eingeschaltetist, legen Sie die Zeit in Sekunden fest, die fürdas Router-Advertisement verwendet werdensoll.
4. Erstellen Sie eine Präfix-Advertisement-Konfiguration.
Das Präfix-Advertisement enthält keine oder mehrere Präfix-Optionen mit Informationen,die das Standardgateway bekannt gibt. Diese Informationen werden bei der zustandslosenAdressenautokonfiguration zur automatischen Erzeugung einer globalen IPv6-Adresse verwendet.
Option Beschreibung
Präfix /64 Die ersten 64 Bits der IPv6-Adresse. DieSchnittstelle nutzt Präfix-Informationen ausdem Router-Advertisements, um die letzten64 Bits (Schnittstellenkennung) der 128-Bit-IPv6-Adresse zu bestimmen. Die ersten 64 Bitsgeben das Netzwerk an, während die restlichenBits eine bestimmte Adresse im Netzwerkangeben.
On-link Wenn die Funktion eingeschaltet ist, sindGeräte mit IPv6-Adressen aus diesemPräfixbereich im Subnetz erreichbar, ohne dassein Router benötigt wird.
Autonom Wenn die Funktion eingeschaltet ist, wird dieglobale IPv6-Adresse automatisch erzeugt,indem die 64-Bit Schnittstellen-Identifikationdem bekanntgegebenen Präfix angehängt wird.
Nur Präfixe, bei denen diese Optioneingeschaltet ist, erhalten eine
364 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
IPv6-Adresse durch zustandsloseAdressenautokonfiguration.
Preferred lifetime Zeitraum in Minuten, für den eine gültigeAdresse im bevorzugten Status bleibt. BeiAblauf der Frist wird die bevorzugte Adresse alsveraltet eingestuft. Dennoch kann die Adresseweiterhin als Quelladresse für eine bestehendeKommunikation verwendet werden.
Die IPv6-Adresse befindet sich solange imbevorzugten Status, wie dieser über dasPräfix in der Router-Advertisement (oder aufandere Weise) aktualisiert oder über DHCPv6erneuert wird.
Valid lifetime Zeitraum in Minuten, für den eine Adresse gültigbleibt. Bis die Zeit abgelaufen ist, wird dasPräfix als On-Link betrachtet und es könnenautomatisch konfigurierte Adressen mit demPräfix verwendet werden. Nach Ablauf wird dieIPv6-Adresse ungültig und kann nicht mehrzum Senden und Empfangen von Datenverkehrgenutzt werden.
HinweisDer Wert muss größer oder gleich sein wiedie bevorzugte Lebensdauer.
5. Optional: Legen Sie erweiterte Einstellungen fest.
Diese Einstellungen ermöglichen Geräten an derselben Schnittstelle sich gegenseitigzu entdecken und entsprechende Link-Layer-Adressen, Gateway-Router zu finden undErreichbarkeitsinformationen zu unterhalten.
Option Beschreibung
MTU der Sicherungsschicht MTU-Wert (Maximum Transmission Unit) inBytes. Die MTU ist die größte Paketgröße, dieein Netzwerk übertragen kann. Pakete, dieden festgelegten Wert überschreiten, werdenvor dem Senden in kleinere Pakete aufgeteilt(fragmentiert). Wenn Null eingestellt wird,wird die Information von der Schnittstelle nichtbekannt gegeben.
Erreichbarkeitszeit Zeit in Sekunden, für die der Client annimmt,dass ein Nachbar erreichbar ist, nachdemer eine Meldung zur Bestätigung derErreichbarkeit erhalten hat.
Sendewiederholungszeit Zeit in Sekunden, die bestimmt, wie lange einClient wartet, bis er an seinen Nachbarn erneutSolicitation-Anfragen sendet.
Hop Limit Maximale Anzahl an Hops für ein Paket. DerHop-Wert verringert sich durch jeden Router auf
Copyright © 2018 Sophos Limited 365
XG Firewall
Option Beschreibung
der Route. Wird Null erreicht, wird das Paketzerstört
6. Klicken Sie auf Speichern.
Zugehörige KonzepteIPv6-Router-Advertisement (Seite 363)Die Firewall unterstützt zustandslose automatische Adresskonfiguration (SLAAC) für IPv6-Geräte.Mithilfe von SLAAC erstellen IPv6-Geräte automatisch eindeutige link-lokale Adressen für IPv6-aktivierte Schnittstellen. Die Clients nutzen die Router-Advertisements, um ihre eigene IP-Adresseautomatisch zu konfigurieren.
17.7 Mobiles WANWireless-WAN-Netzwerke bieten mobilen Geräten sicheren WLAN-Breitband-Dienst.
• Um Wireless-WAN zu aktivieren, klicken Sie auf den Ein/Aus-Schalter.
• Um das Modem zu verbinden, das Wireless-WAN-Dienst anbietet, klicken Sie auf Verbinden.
Wenn Sie Wireless-WAN aktivieren, erstellt die Firewall die WWAN1-Schnittstelle.
17.7.1 Wireless-WAN-Schnittstelle
Wenn Sie Wireless-WAN aktivieren, erstellt die Firewall die WWAN1-Schnittstelle. Diese Schnittstelleist Mitglied einer WAN-Zone und es gelten für sie die Firewallregeln für die WAN-Zone. Die Firewallerstellt auch den Host ##WWAN1. Sie können den Host vor Angriffen durch Schadprogramme undunautorisierte Benutzung schützen, indem Sie Firewallregeln und Richtlinien für den Host festlegen.
• Um die Modeminformationen und die empfohlene Konfiguration zu sehen, klicken Sie aufEmpfohlene Konfiguration anzeigen. Klicken Sie danach auf Empfohlene Konfiguration laden,um die Einstellungen zu laden.
Allgemeine Einstellungen
IP-Zuweisung IP-Zuweisungsmethode, die vom Modemverwendet wird.
Verbinden Modus für die Herstellung der WWAN-Verbindung..
Erneute Verbindungsversuche Anzahl der zulässigen Versuche für einenerneuten Verbindungsaufbau zu einem AccessPoint. Um unbegrenzte Versuche zuzulassen,wählen Sie Immer.
Modem-Port Serielle Schnittstelle, über die das Modem eineVerbindung herstellt..
366 Copyright © 2018 Sophos Limited
XG Firewall
Telefonnummer Telefonnummer, die für die Herstellung derVerbindung verwendet werden soll.
Benutzername Erforderlicher Benutzername für die Verbindung.
Kennwort Erforderliches Kennwort für die Verbindung.
SIM-Karte PIN-Code Erforderlicher Code zum Freischalten der PIN-geschützten SIM-Karte.
APN Name des Access Points. Der Access-Point-Name (APN) ist eine konfigurierbareNetzwerkkennung, die das Packet Data Network(PDN) bzw. den GSM-Anbieter identifiziert, überden der Benutzer kommunizieren will.
DHCP-Verbindungsaufbau-Befehl DHCP-Befehl für den Verbindungsaufbau zumWWAN.
DHCP-Verbindungsabbruch-Befehl DHCP-Befehl für die Trennung der Verbindungzum WWAN.
Initialisierungsstring Zeichenfolge, die bestimmte Funktionen auf demWLAN-Modem aktiviert oder deaktiviert. Prioritätwird entsprechend der angegeben Reihenfolgezugewiesen.
Gateway-Einstellungen
Gateway-Name Name zur Identifizierung des Gateways.
Gateway-IP IP-Adresse des Gateways.
Andere Einstellungen
MTU MTU-Wert (Maximum Transmission Unit) inBytes. Die MTU ist die größte Paketgröße, dieein Netzwerk übertragen kann. Pakete, dieden festgelegten Wert überschreiten, werdenvor dem Senden in kleinere Pakete aufgeteilt(fragmentiert).
MSS MSS (Maximum Segment Size) in Bytes. DieMSS gibt die Datenmenge an, die in einem TCP-Paket übertragen werden kann.
MAC-Adresse Methode, mit der dem Modem eine MAC-Adressezugewiesen wird. Sie können die Standard-MAC-Adresse verwenden oder eine andere MAC-Adresse festlegen.
17.8 IP-TunnelEin IP-Tunnel ist ein Mechanismus, der ein Netzwerkprotokoll als Nutzdaten in ein anderesNetzwerkprotokoll eingekapselt. Mithilfe eines Tunnels können Sie ein IPv6-Paket in ein IIPv4-Paket
Copyright © 2018 Sophos Limited 367
XG Firewall
einkapseln, um IPv6-fähige Hosts oder Netzwerke über ein IPv4-Netzwerk kommunizieren zu lassen,oder umgekehrt.
Zugehörige AufgabenIP-Tunnel hinzufügen (Seite 368)
17.8.1 IP-Tunnel hinzufügen
1. Gehen Sie zu Netzwerk > IP-Tunnel und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie einen Tunneltyp aus.
Option Beschreibung
6in4 Für IPv6-zu-IPv6-Kommunikation über einIPv4-Backbone. Die Quell- und Ziel-IPv4-Adressen müssen manuell konfiguriert werden.Diese Methode wird für Punkt-zu-Punkt-Kommunikation empfohlen.
6to4 Für IPv6-zu-IPv6-Kommunikation über ein IPv4-Backbone. Die Ziel-IPv4-Adresse des Tunnelskann automatisch bezogen werden, aberdie Quell-Adresse muss manuell angegebenwerden. Diese Methode wird für Punkt-zu-Mehrpunkt-Kommunikation empfohlen.
6rd Für IPv6-zu-IPv6-Kommunikation über ein IPv4-Backbone. Dieser Tunnel ist eine Erweiterungdes 6to4-Tunnels. Der Tunnel kann durch einangegebenes oder vordefiniertes ISP-Präfixhergestellt werden.
4in6 Für IPv4-zu-IPv4-Kommunikation über einIPv6-Backbone. Die Quell- und Ziel-IPv6-Adressen müssen manuell konfiguriert werden.Diese Methode wird für Punkt-zu-Punkt-Kommunikation empfohlen.
4. Legen Sie Einstellungen fest.
Option Beschreibung
Zone Zone, die dem Tunnel zugewiesen ist.
Lokaler Endpunkt IP-Adresse des lokalen Endpunkts des Tunnels.Bei 6in4, 6to4 und 6rd ist dies eine IPv6-Adresse. Bei 4in6 ist dies eine IPv4-Adresse.
Entfernter Endpunkt IP-Adresse des entfernten Endpunkts desTunnels. Bei 6in4 ist dies eine IPv4-Adresse.Bei 4in6 ist dies eine IPv6-Adresse.
5. Optional: Legen Sie erweiterte Einstellungen fest.
Option Beschreibung
TTL Time-to-live-Wert für Pakete. Dieser Wert legteine Grenze für die Anzahl an Versuchen fest,
368 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
ein Paket zu übertragen, bevor es verworfenwird.
TOS Wert, der einem IP-Paket zugewiesen ist,entsprechend der bereitgestellten Art desDiensts. Der Dienst legt die Priorität des Paketsund die Routing-Eigenschaften fest (Latenz,Durchsatz oder zuverlässiger Dienst).
6. Klicken Sie auf Speichern.
Zugehörige KonzepteIP-Tunnel (Seite 367)Ein IP-Tunnel ist ein Mechanismus, der ein Netzwerkprotokoll als Nutzdaten in ein anderesNetzwerkprotokoll eingekapselt. Mithilfe eines Tunnels können Sie ein IPv6-Paket in ein IIPv4-Paketeinkapseln, um IPv6-fähige Hosts oder Netzwerke über ein IPv4-Netzwerk kommunizieren zu lassen,oder umgekehrt.
17.9 Nachbarn (ARP-NDP)Die Firewall verwendet das Address Resolution Protocol (ARP) und Neighbor Discover Protocol (NDP),um die Kommunikation zwischen Hosts im gleichen Subnetz zu ermöglichen. Mithilfe dieser Protokolle,erzeugt die Firewall IP-MAC-Zuordnungen und speichert sie in Nachbar-Caches (Zwischenspeicher).Statische Zuordnungen werden auch unterstützt. Die Firewall verwendet zwischengespeicherteEinträge, um Neighbor-Poisoning-Attempts (versuchte Sicherheitsangriffe von Nachbarn) zu erkennen.
ARP wird verwendet, um die Link-Layer-Adresse (MAC-Adresse) herauszufinden, die mit einerIPv4-Adresse verbunden ist. Hosts finden die physikalische Adresse anderer Hosts heraus, indemsie ein ARP-Abfragepaket sendet, das die IP-Adresse des Empfängers enthält. Wenn die Antwortzurückgeliefert wird, aktualisiert die Firewall den Nachbar-Cache mit der entsprechenden MAC-Adresse. Um den Broadcast-Verkehr zu verringern, greift die Firewall auf vorher gelernte IP-MAC-Zuordnungen zurück. NDP bietet eine ähnliche Funktionalität für IPv6-Adressen.
Dynamische Nachbareinträge sind gelernte Einträge und werden dynamisch aktualisiert.
• Um einen Nachbar-Cache zu sehen, wählen Sie IPv4-Nachbar-Cache oder IPv6-Nachbar-Cacheaus der Liste Anzeigen.
Nachbar-Caches bestehen bis sie geleert werden. Das Leeren von Caches ermöglicht das Lernenund Speicher von neuen Informationen (z.B. einer geänderten IP-Adresse) in den Caches.
• Um das Intervall festzulegen, in dem die Caches automatisch geleert werden, geben Sie einenWert für Nachbar-Cache-Eintrag-Zeitüberschreitung ein und klicken Sie auf Übernehmen.
• Um einen Cache manuell zu leeren, wählen Sie einen Cache aus der Liste Anzeigen aus undklicken Sie auf Leeren.
Statische Nachbareinträge werden festgelegt und manuell aktualisiert. Ein statischer Nachbar-Eintrag ermöglicht Ihnen, eine MAC-Adresse an eine IP-Adresse und einen Port zu binden. Sobalddie MAC-Adresse an einen Port und eine IP-Adresse gebunden ist, entfernt die Firewall alledynamisch zwischengespeicherten Bezüge zu dieser IP-Adresse und wird keine zusätzlichenstatische Zuordnungen von dieser IP-Adresse zulassen. Die Firewall wird nicht auf dieses IP-MAC-Paar auf irgendeinem anderen Port reagieren.
• Um statische Nachbareinträge zu sehen, wählen Sie Tabelle statischer Nachbarn aus der ListeAnzeigen aus.
• Um einen neuen statischen Eintrag hinzuzufügen, klicken Sie auf Hinzufügen.
Copyright © 2018 Sophos Limited 369
XG Firewall
Die Firewall nimmt die Suche in der statischen Nachbar-Tabelle vor, wenn sie die Anfrage an einembestimmten Port empfängt. Ist ein Eintrag nicht in der Tabelle verfügbar, schaut die Firewall in denNachbar-Caches nach und fügt die MAC-Adresse gegebenenfalls zum Nachbar-Cache hinzu.
Wenn die Firewall einen Nachbar-Lookup in der statischen Nachbartabelle durchführt und dieÜbereinstimmung in einer IP-Adresse oder MAC-Adresse fehlt, geht die Firewall von einemversuchten Nachbar-Sicherheitsangriff aus und aktualisiert ihren Nachbar-Cache nicht.
• Um mögliche Nachbar-Sicherheitsangriffe aufzuzeichnen, wählen Sie das KontrollkästchenMögliche Poisoning-Angriffe des Nachbarn protokollieren und klicken Sie auf Übernehmen.
Nachbar-Sicherheitsangriffe
Im folgenden Beispiel ist IP1 MAC1 zugeordnet und das IP1/MAC1-Paar ist an Port A gebunden.Gleichfalls ist IP2 MAC1 zugeordnet und das IP2/MAC1-Paar ist an Port A gebunden.
IP-Adresse MAC-Adresse Port Versuchter Nachbar-Sicherheitsangriff?
IP1 MAC1 A Nein
IP1 MAC1 Jeder anderePort außer A
Ja
IP1 MAC2 A Ja
IP1 MAC2 Jeder anderePort außer A
Ja
IP3 MAC1 Kein statisches ARP Nein
IP2 MAC1 A Nein
IP2 MAC1 Jeder anderePort außer A
Ja
Zugehörige AufgabenStatischen Nachbarn hinzufügen (Seite 370)Ein statischer Nachbar-Eintrag ermöglicht Ihnen, eine MAC-Adresse an eine IP-Adresse und einenPort zu binden. Die Firewall nimmt die Suche in der statischen Nachbar-Tabelle vor, wenn sie dieAnfrage an einem bestimmten Port empfängt. Ist ein Eintrag nicht in der Tabelle verfügbar, schaut dieFirewall in den Nachbar-Caches nach und fügt die MAC-Adresse gegebenenfalls zum Nachbar-Cachehinzu.
17.9.1 Statischen Nachbarn hinzufügen
Ein statischer Nachbar-Eintrag ermöglicht Ihnen, eine MAC-Adresse an eine IP-Adresse und einenPort zu binden. Die Firewall nimmt die Suche in der statischen Nachbar-Tabelle vor, wenn sie dieAnfrage an einem bestimmten Port empfängt. Ist ein Eintrag nicht in der Tabelle verfügbar, schaut dieFirewall in den Nachbar-Caches nach und fügt die MAC-Adresse gegebenenfalls zum Nachbar-Cachehinzu.
1. Gehen Sie zu Netzwerk > Nachbarn (ARP-NDP).
2. Wählen Sie Tabelle statischer Nachbarn aus der Liste Anzeigen und klicken Sie auf Hinzufügen.
3. Legen Sie Einstellungen fest.
Option Beschreibung
IP-Version IP-Adresstyp
370 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
IPv4/IPv6-Adresse IP-Adresse des Hosts
MAC-Adresse MAC-Adresse des Hosts
Schnittstelle Physikalische Schnittstelle, auf der das Bindingdurchgeführt wird
Fügen Sie eine vertrauenswürdige MAC-Adresse hinzu, um einen Täuschungsversuchzu verhindern.
Fügen Sie die IP/MAC-Zuordnung zur Liste dervertrauenswürdigen MAC-Adressen hinzu.
4. Klicken Sie auf Speichern.
Zugehörige KonzepteNachbarn (ARP-NDP) (Seite 369)Die Firewall verwendet das Address Resolution Protocol (ARP) und Neighbor Discover Protocol (NDP),um die Kommunikation zwischen Hosts im gleichen Subnetz zu ermöglichen. Mithilfe dieser Protokolle,erzeugt die Firewall IP-MAC-Zuordnungen und speichert sie in Nachbar-Caches (Zwischenspeicher).Statische Zuordnungen werden auch unterstützt. Die Firewall verwendet zwischengespeicherteEinträge, um Neighbor-Poisoning-Attempts (versuchte Sicherheitsangriffe von Nachbarn) zu erkennen.
17.10 Dynamisches DNSMit dem Einsatz von dynamischem DNS können Sie sicherstellen, dass die Firewall zugänglich ist,selbst wenn sie eine dynamische IP-Adresse erhalten hat. Wenn die Firewall eine neue IP-Adresseerhält, kontaktiert sie den Dynamischen DNS-Dienst und aktualisiert den öffentlichen DNS-Namen mitder neuen Adresse. Mit DDNS zeigt der öffentliche DNS-Name immer auf die korrekte IP-Adresse.
Zugehörige AufgabenDynamischen DNS-Anbieter hinzufügen (Seite 371)Die Firewall unterstützt mehrere Dritt-DDNS-Anbieter. Sie können jedoch auch den Sophos DDNS-Dienst verwenden. Sophos DDNS wird zu den Bedingungen Ihres Abonnements ohne weitereGebühren angeboten.
17.10.1 Dynamischen DNS-Anbieter hinzufügen
Die Firewall unterstützt mehrere Dritt-DDNS-Anbieter. Sie können jedoch auch den Sophos DDNS-Dienst verwenden. Sophos DDNS wird zu den Bedingungen Ihres Abonnements ohne weitereGebühren angeboten.
1. Gehen Sie zu Netzwerk > Dynamisches DNS und klicken Sie auf Hinzufügen.
2. Geben Sie den Hostnamen ein, den Sie erhalten haben, als Sie sich bei Ihrem DDNS-Anbieterregistriert haben.
Bei Dritt-Dienstanbietern verwenden Sie das Format <kontoname>.<anbieter>.com.
Bei Sophos DDNS, verwenden Sie das Format <hostname.myfirewall.co.
3. Wählen Sie eine Schnittstelle.
Die IP-Adresse der ausgewählten Schnittstelle wird mit dem angegebenen Hostnamen verknüpft.
4. Wählen Sie die IPv4-Adressquelle aus.
Copyright © 2018 Sophos Limited 371
XG Firewall
Option Beschreibung
Port-IP verwenden Verwenden Sie die IP-Adresse desausgewählten Ports oder der Schnittstelle.
Durch NAT übersetzte öffentliche IP Verwenden Sie die dem ausgewählten Portzugewiesene öffentliche IP-Adresse.
5. Legen Sie das Zeitintervall fest, nach dem die Firewall Ihre Server-IP-Adresse auf Änderungenüberprüft.
Wenn das Intervall z.B. auf 10 Minuten gesetzt ist, überprüft die Firewall alle 10 Minuten, ob sichdie IP-Adresse Ihres Servers geändert hat.
6. Geben Sie die Daten des Dienstanbieters an.
7. Klicken Sie auf Speichern.
Zugehörige KonzepteDynamisches DNS (Seite 371)Mit dem Einsatz von dynamischem DNS können Sie sicherstellen, dass die Firewall zugänglich ist,selbst wenn sie eine dynamische IP-Adresse erhalten hat. Wenn die Firewall eine neue IP-Adresseerhält, kontaktiert sie den Dynamischen DNS-Dienst und aktualisiert den öffentlichen DNS-Namen mitder neuen Adresse. Mit DDNS zeigt der öffentliche DNS-Name immer auf die korrekte IP-Adresse.
17.11 Site-to-Site RED-Tunnel erstellenRichten Sie einen Site-to-Site RED-Tunnel zwischen zwei Sophos XG Firewall Appliances ein, ohneein RED-Gerät einzurichten. Bei dieser Konfigurationsart agiert ein Gerät als Server und das andereals Client.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Auf dem Server eine RED-Schnittstelle hinzufügen.
• Eine Client-Firewallkonfiguration erstellen.
• Statisches Routing erstellen, damit interne Netzwerke eine Route durch den RED-Tunnel haben.
• Firewallregeln für den Tunnelverkehr hinzufügen.
Zugehörige KonzepteRED-Schnittstellen (Seite 343)Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. Mithilfe von RED-Schnittstellen können Sie REDskonfigurieren und einsetzen oder einen Site-to-Site-RED-Tunnel zwischen zwei Firewalls in einerClient-/Server-Konfiguration erstellen.
RED-Schnittstelle auf dem Server hinzufügen
Der Server wartet auf eingehende Verbindungen und das Client-Gerät initiiert die ausgehendeVerbindung. Jedes Upstream-NAT kann eingehende Verbindungen stören, daher ist es besser, einNicht-NAT-Gerät auszuwählen, das als Server agiert.
372 Copyright © 2018 Sophos Limited
XG Firewall
1. Gehen Sie auf dem Server-Gerät zu Systemdienste > RED und schalten Sie den REDProvisioning Service ein.
2. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen RED aus.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Zweigstellenname Server
Typ Firewall RED-Server
Tunnel-ID Automatisch
RED-IP 192.0.2.25
Zone LAN
4. Klicken Sie auf Speichern.
Eine Bereitstellungsdatei wird für die Server-Firewall erzeugt.
5. Finden Sie die RED-Schnittstelle in der Schnittstellenliste, klicken Sie auf
und laden Sie die Bereitstellungsdatei herunter.
6. Kopieren Sie die Datei auf einen Netzwerkort oder transportables Gerät, das Sie von der Client-Firewall aus erreichen können.
RED-Schnittstelle auf dem Client hinzufügen
1. Gehen Sie zu Systemdienste > RED und schalten Sie den RED Provisioning Service ein.
2. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen RED aus.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Zweigstellenname Client
Typ Firewall RED-Client
Firewall-IP/Hostname 192.0.2.25
RED-IP 198.51.100.100
Zone LAN
4. Klicken Sie auf Datei auswählen und wählen Sie die Bereitstellungsdatei aus, die Sie vom Serverheruntergeladen haben.
5. Klicken Sie auf Speichern.
Copyright © 2018 Sophos Limited 373
XG Firewall
Statische Routen hinzufügen
Sie müssen statisches Routing auf beiden Firewalls konfigurieren, damit interne Netzwerke eine Routedurch den RED-Tunnel haben.
1. Gehen Sie auf der Server-Firewall zu Routing > Statisches Routing.
2. Klicken Sie auf Hinzufügen, um eine IPv4-Unicast-Route zu erstellen.
3. Legen Sie Einstellungen fest.
Option Beschreibung
ZielIP 192.168.100.0
Gateway 172.173.0.1
Schnittstelle reds1-192.0.2.25
4. Gehen Sie zur Client-Firewall und legen Sie das gleiche Routing fest.
Firewallregeln hinzufügen
Damit Datenverkehr zwischen zwei Firewalls fließen kann, müssen Sie eine LAN-zu-LAN- oder eineähnliche Regel auf jeder Firewall erstellen.
Die folgenden Schritte werden auf der Server-Firewall und der Client-Firewall ausgeführt.
1. Gehen Sie zu Firewall und klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Regelname LAN zu LAN
Quellzonen LAN
Zielzonen LAN
17.12 Ein RED manuell einrichtenUm RED-Geräte manuell einzurichten, müssen Sie die Bereitstellungsdatei für die RED-Schnittstelleherunterladen und auf einem USB-Stick speichern.
374 Copyright © 2018 Sophos Limited
XG Firewall
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Einen NTP-Server auf der Firewall konfigurieren.
• Eine RED-Schnittstelle hinzufügen und die Bereitstellungsdatei herunterladen.
Zugehörige KonzepteRED-Schnittstellen (Seite 343)Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. Mithilfe von RED-Schnittstellen können Sie REDskonfigurieren und einsetzen oder einen Site-to-Site-RED-Tunnel zwischen zwei Firewalls in einerClient-/Server-Konfiguration erstellen.
NTP-Server konfigurieren
Wenn Sie ein RED-Gerät manuell einrichten, muss die Firewall als NTP-Server agieren.
1. Gehen Sie zu Verwaltung > Zeit und klicken Sie auf Eigenen NTP-Server verwenden.
2. Geben Sie im Feld Suchen/Hinzufügen die IP-Adresse der Firewall ein und klicken Sie auf
.
3. Klicken Sie auf Übernehmen.
RED-Schnittstelle hinzufügen
Erstellen Sie eine Schnittstelle für ein RED, das manuell über USB-Stick eingerichtet werden soll.
1. Gehen Sie zu Systemdienste > RED und schalten Sie den RED Provisioning Service ein.
2. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und wählenSie Hinzufügen RED aus.
3. Geben Sie einen Zweigstellennamen ein und wählen Sie Ihren RED-Gerätetyp aus.
4. Für Geräteeinrichtung wählen Sie Manuell über USB-Stick.
5. Legen Sie bei Bedarf weitere RED-Modell-Einstellungen fest.
6. Klicken Sie auf Speichern.
Die Firewall erzeugt eine Bereitstellungsdatei für die Schnittstelle.
Bereitstellungsdatei installieren
Laden Sie die Bereitstellungsdatei herunter, die mit der RED-Schnittstelle verknüpft ist und stellen Siedie Datei mithilfe eines USB-Sticks der Appliance bereit.
1. Schalten Sie RED aus.
2. Gehen Sie zu Netzwerk > Schnittstellen.
3. Finden Sie die RED-Schnittstelle in der Schnittstellenliste, klicken Sie auf
und laden Sie die Bereitstellungsdatei herunter.
Copyright © 2018 Sophos Limited 375
4. Legen Sie die Datei ins Stammverzeichnis eines USB-Sticks.
5. Stecken Sie den USB-Stick in das RED.
6. Schalten Sie das RED ein.
Das RED erhält eine Konfiguration vom USB-Stick und die Firewall sendet den Entsperrcodean die E-Mail-Adresse, die Sie angegeben haben, als Sie den RED Provisioning Serviceeingeschaltet haben.
WichtigBewahren Sie den Entsperrcode auf. Sie werden den Code brauchen, wenn Sie das RED aufeiner anderen Firewall einsetzen wollen.
Kapitel 18
18 RoutingDieser Bereich bietet Optionen zur Konfiguration von statischen und dynamischen Routen.
18.1 Statisches Routing
Eine Route bietet der Appliance alle Informationen, die sie benötigt, um ein Paket an einenbestimmten Zielort weiterzuleiten. Eine statische Route führt dazu, dass Pakete zu einem anderenZiel als dem Standardgateway weitergeleitet werden.
Durch Angabe der Schnittstelle, über welche das Paket versendet wird, und der Appliance, anwelche das Paket weitergeleitet werden soll, kontrollieren die statischen Routen den Datenverkehr,der von der Appliance abgeht.
IP-Multicast
Die Internet Protocol(IP)-Multicast-Technologie spart Bandbreite und reduziert den Datenverkehr,indem ein einziger Datenstrom an Tausende von Empfängern und Heimnetzwerken versendet wird.IPMulticast liefert den Quelldatenverkehr an mehrere Empfänger, ohne dass die Quelle oder dieEmpfänger zusätzlich belastet werden.
Anwendungen wie Videokonferenzen, Unternehmenskommunikation, Fernunterricht und dieVerteilung von Software, Aktiennotierungen und Nachrichten nutzen das IP-Multicasting.
Wenn IP-Multicast nicht verwendet wird, muss die Quelle mehrere Kopien eines Paketsoder einzelne Kopien an jeden einzelnen Empfänger versenden. In diesem Fall verbrauchenAnwendungen mit hoher Bandbreitennutzung, wie Video oder Börsenprogramme, bei welchen Datenhäufig und gleichzeitig versendet werden, einen großen Anteil der verfügbaren Bandbreite. Dieeinzige effiziente Möglichkeit für diese Anwendungen, Daten gleichzeitig an mehrere Empfänger zuversenden, ist das IP-Multicasting.
Multicast-Gruppe
Multicast basiert auf dem Konzept der Gruppe. Eine beliebige Gruppe von Empfängern äußertInteresse am Empfang eines bestimmten Datenstroms. Diese Gruppe hat keine physikalischenoder geographischen Grenzen. Die Hosts können sich überall im Internet finden. Alle Hosts, diedaran interessiert sind, die Daten, die an eine bestimmte Gruppe gesendet werden, zu empfangen,müssen Mitglied der Gruppe werden. Hosts müssen Mitglied der Gruppe sein, um den Datenstromempfangen zu können.
IP-Multicast-Adressen
Multicast-Adressen bezeichnen eine beliebige Gruppe an IP-Hosts, die der Gruppe beigetreten sindund den Datenverkehr, der an diese Gruppe versendet wird, empfangen möchten.
IP-Klasse D-Adressen
Die Internet Assigned Numbers Authority (IANA) steuert die Zuweisung der IP-Multicast-Adressen.Multicast-Adressen gehören der Klasse D im Bereich von 224.0.0.0 bis 239.255.255.255 an.
Dieser Adressbereich gilt nur für die Gruppenadresse oder die Zieladresse des IP-Multicast-Datenverkehrs. Die Quelladresse des Multicast-Datenpakets ist immer die Quelladresse desUnicast-Datenpakets.
XG Firewall
Multicast-Weiterleitung
Bei der Multicast-Weiterleitung wird der Multicast-Datenverkehr von einem Router an Netzwerkeweitergeleitet, in welchem weitere Multicast-Geräte lauschen. Die Multicast-Weiterleitung verhindert,dass der Multicast-Datenverkehr an Netzwerke weitergeleitet wird, in welchen keine Knotenlauschen.
Damit die Multicast-Weiterleitung zwischen mehreren Netzwerken, Knoten und Routern funktioniert,müssen sie Multicast-fähig sein.
Ein Multicast-fähiger Knoten muss:
• Multicast-Pakete versenden und empfangen können.
• Die Multicast-Adressen, die der Knoten über die lokalen Router hört, registrieren können, damitdie Multicast-Pakete an das Netzwerk des Knotens weitergeleitet werden.
IP-Multicast-Anwendungen, die Multicast-Datenverkehr versenden, müssen IP-Pakete mit derentsprechenden IP-Multicast-Adresse als Ziel-IP-Adresse erstellen. IP-Multicast-Anwendungen, dieMulticast-Datenverkehr empfangen, müssen das TCP/IP-Protokoll informieren, dass sie auf dengesamten Datenverkehr warten, der an eine bestimmte IT-Multicast-Adresse versendet wird.
18.1.1 Statische Routen verwalten
Mithilfe des Menüs Statisches Routing können Sie eine Unicast-Route und eine Multicast-Routekonfigurieren. Auf dieser Seite sind die verfügbaren Elemente beschrieben.
IPv4-Unicast-Route
Im Bereich „IPv4-Unicast-Route“ wird eine Liste aller konfigurierten IPv4-Unicast-Routen angezeigt.Sie können die Liste nach IP-Adresse, Gateway oder Schnittstelle filtern. Auf dieser Seite haben Sieauch die Möglichkeit, eine Route hinzuzufügen, die Routenkonfiguration zu aktualisieren und dieRoute zu löschen.
IPv6-Unicast-Route
Im Bereich „IPv6-Unicast-Route“ wird eine Liste aller konfigurierten IPv6-Unicast-Routen angezeigt.Sie können die Liste nach IP-Adresse, Gateway oder Schnittstelle filtern. Auf dieser Seite haben Sie
378 Copyright © 2018 Sophos Limited
XG Firewall
auch die Möglichkeit, eine Route hinzuzufügen, die Routenkonfiguration zu aktualisieren und dieRoute zu löschen.
Einstellungen für Multicast-Weiterleitung
Multicast-Weiterleitung aktivieren Multicast-Weiterleitung aktivieren/deaktivierenAktivieren Sie diese Option und klicken Sieauf Übernehmen, damit der Router Pakete anandere Netzwerke senden kann, in denen andereMulticast-Geräte aktiv sind und lauschen.
Multicast-Route verwalten
Im Bereich „Multicast-Route verwalten“ wird eine Liste aller konfigurierten Multicast-Routenangezeigt. Sie können die Liste nach Quell-IP, Multicast-IP, Quell-Schnittstelle und Ziel-Schnittstelle filtern. Auf dieser Seite haben Sie auch die Möglichkeit, eine Route hinzuzufügen, dieRoutenkonfiguration zu aktualisieren und die Route zu löschen.
18.1.2 Unicast-Route hinzufügen
1. Für eine IPv4-Unicast-Route gehen Sie zu Routing > Statisches Routing und klicken Sie unterIPv4-Unicast-Route auf Hinzufügen. Für eine IPv6-Unicast-Route klicken Sie unter IPv6-Unicast-Route auf Hinzufügen.
2. Geben Sie die Daten der Unicast-Route ein.
ZieI-IP/Präfix Geben Sie die IPv4- oder IPv6-Zieladresse anund wählen Sie das Präfix der Subnetzmaskeaus der Dropdownliste.
Gateway Geben Sie die IPv4- oder IPv6-Adresse desGateways an. Die Gateway-Adresse gibt dennächsten Router an, zu dem der Datenverkehrim nächsten Hop weitergeleitet wird.
Schnittstelle Wählen Sie in der Dropdownliste eineSchnittstelle aus.
HinweisSie können Unicast-Routen erstellen, bei denen die Gateway-Konfiguration und die gewählteSchnittstelle nicht im gleichen Netzwerk sind (Netzwerk ist nicht verfügbar für diese Route).XG Firewall speichert diese Routen. Sie werden automatisch eingesetzt, wenn Sie einerSchnittstelle eine IP-Adresse vom angegebenen Gateway-Netzwerk zuweisen.
Distanz Geben Sie die Distanz für das Routing ein:
• Für IPv4
• Für IPv6
3. Klicken Sie auf Speichern.
Die Unicast-Route wird erstellt und erscheint auf der Seite Statisches Routing.
Copyright © 2018 Sophos Limited 379
XG Firewall
18.1.3 Multicast-Route hinzufügen
1. Gehen Sie zu Routing > Statisches Routing und klicken Sie auf Hinzufügen unter Multicast-Route verwalten.
2. Geben Sie die Daten der Multicast-Route ein.
Quell-IPv4-Adresse Geben Sie die Quell-IPv4-Adresse ein.
Quellschnittstelle Wählen Sie die Quellschnittstelle in derDropdownliste aus.
Multicast-IPv4-Adresse Geben Sie die Multicast-IPv4-Adresse ein. ZumBeispiel (224.0.2.0 - 239.255.255.255)
Zielschnittstelle Wählen Sie die Zielschnittstelle(n) aus denverfügbaren Optionen aus. Sie können eineoder mehrere Zielschnittstellen auswählen.
3. Klicken Sie auf Speichern.
18.2 Richtlinienrouting
Router leiten im Allgemeinen Pakete an die Zieladressen basierend auf den Informationen in ihrenRouting-Tabellen weiter. Mit dem Richtlinienrouting können Sie Routing-Entscheidungen basierendauf den Richtlinien treffen, die vom Administrator konfiguriert wurden.
Sie können die Pakete, die auf unterschiedlichen Kriterien basieren, wie zum BeispielQuellnetzwerk, Zielnetzwerk, Dienste, usw., gezielt weiterleiten. Wenn das Paket den Kriteriender Richtlinienroute entspricht, wird das Paket an das Gateway weitergeleitet, das in der Richtliniekonfiguriert ist.
Die Firewallregel kann die Entscheidung in der Richtlinienroute überschreiben, wenn ein primäresund/oder Backup-Gateway konfiguriert ist.
Vorteile des Richtlinien-Routings beinhalten:
• Pakete, die von unterschiedlichen Quellnetzwerken stammen und dasselbe Ziel haben, könnenin unterschiedliche Netzwerke geroutet werden.
• Sie können den Verkehr verteilen, der eine hohe Bandbreite benötigt, indem Sieunterschiedliche Internetverbindungen verwenden.
• Sie können Richtlinien implementieren um Failover/Failback zu erreichen. Zum Beispiel: WennSie einen MPLS-Link und einen VPN-Link haben und der MPLS-Link fehlschlägt, können SieIhren Verkehr, der mit der Richtlinie übereinstimmt, an den VPN-Link leiten. Wenn der MPLS-Link wieder funktioniert, kann der Verkehr an den MPLS-Link zurück geleitet werden.
HinweisWenn die Firmware der Appliance auf SFOS v16 aktualisiert wird, werden Quellrouten alsRichtlinienrouten migriert.
18.2.1 Richtlinienroute verwalten
380 Copyright © 2018 Sophos Limited
XG Firewall
Auf dieser Seite wird eine Liste aller konfigurierten IPv4- und IPv6-Richtlinienrouten angezeigt.
Sie können Richtlinienrouten auch neu ordnen. Die Reihenfolge der Verarbeitung kann geändertwerden, indem Sie die Richtlinienrouten per Drag-and-Drop neu anordnen. Richtlinienrouten werdenabsteigend in der Reihenfolge ausgewertet, in der sie auf der Seite „Verwaltung“ erscheinen. Nachdem ersten Treffer werden nachfolgende Richtlinienrouten nicht mehr ausgewertet.
Die Seite zeigt auch den Status aktiviert
oder deaktiviert
für die Gateways an, die in der Richtlinienroute konfiguriert sind.
18.2.2 Richtlinienroute hinzufügen
1. Gehen Sie zu Routing > Richtlinienrouting und klicken Sie auf Hinzufügen unter IPv4/IPv6-Richtlinienroute.
2. Legen Sie die Details für die Richtlinienroute fest.
Name Geben Sie einen Namen für die Richtlinienrouteein.
Beschreibung Geben Sie einen Beschreibung für dieRichtlinienroute ein.
3. Legen Sie die Details für den Verkehrskennzeichner fest.
Eingehende Schnittstelle Wählen Sie die eingehende Schnittstelle, diedas Paket empfängt.
HinweisDas Löschen der eingehenden Schnittstellelöscht auch die Richtlinienroute, die für dieSchnittstelle definiert ist.
Quellnetzwerke Wählen Sie das/die Quellnetzwerk(e) desPakets, das geroutet werden soll. Ein neuerNetzwerk-Host kann direkt auf dieser Seiteoder über die Seite Hosts und Dienste erstelltwerden.
Zielnetzwerke Wählen Sie das/die Zielnetzwerk(e) des Pakets,das geroutet werden soll. Ein neuer Netzwerk-Host kann direkt auf dieser Seite oder über dieSeite Hosts und Dienste erstellt werden.
Dienste Wählen Sie den/die Dienst(e) des Pakets, dasgeroutet werden soll. Diese Dienste erlaubenes Ihnen, präzise festzulegen, welche Art vonVerkehr verarbeitet werden soll. Ein neuerDienst oder eine neue Dienstgruppe kanndirekt auf dieser Seite oder über die SeiteHosts und Dienste erstellt werden.
Copyright © 2018 Sophos Limited 381
XG Firewall
DSCP-Markierung Wählen Sie die Art von DSCP-Markierung,die mit den Paketen übereinstimmen sollen,welche mit dem angegebenen DSCP-Wert(Seite 73) markiert sind.
4. Legen Sie die Routing-Details fest.
Gateway Wählen Sie das Gateway zu dem Sie das Paketweiterleiten möchten, wenn das Paket mit denkonfigurierten Kriterien übereinstimmt.
Hinweis• Das Löschen des Gateways löscht
auch die Richtlinienroute, die für dasGateway definiert ist.
• Die Richtlinienroute wird nichtangewendet, wenn das Gatewayausfällt. Sobald das Gateway wiederaktiv ist, wird der Datenverkehrautomatisch über das Gateway geleitet.
5. Klicken Sie auf Speichern.
18.3 Gateways
Die Seite Gateways zeigt die Liste konfigurierter IPv4- undIPv6-Gateways an. Die Seite zeigt auch den Status aktiviert
oder deaktiviert
für jedes Gateway an. Sie können ein Gateway hinzufügen, löschen oder klonen, die Parameter oderden Status des Gateways ändern und die Zustandsprüfung für das Gateway aktivieren.
18.3.1 Gateway hinzufügen
1. Gehen Sie zu Routing > Gateways und klicken Sie auf Hinzufügen.
2. Geben Sie die Gateway-Daten ein.
Name Geben Sie den Namen des Gateways ein.
Gateway-IP Geben Sie die IP-Adresse des Gateways ein.
Schnittstelle Wählen Sie die ausgehende Schnittstelle fürdas Gateway.
Standard-NAT-Richtlinie Wählen Sie die Standard-NAT-Richtlinie aus,die für das Gateway verwendet werden soll.
Wählen Sie Ohne aus, wenn die NAT-Richtlinieauf dem Gateway nicht angewendet werdensoll.
382 Copyright © 2018 Sophos Limited
XG Firewall
3. Geben Sie die Daten für die Zustandsprüfung ein.
Zustandsprüfung Anklicken, um die Zustandsprüfung für dieÜberwachung des Gateways zu aktivieren.Geben Sie die Parameter an (sieheBeschreibung unten).
Intervall (in Sekunden) Geben Sie das Zeitintervall derZustandsüberwachung in Sekunden an.
Zulässiger Bereich: 5 bis 65535 Sekunden
Standard: 60 Sekunden
Zeitüberschreitung (in Sekunden) Geben Sie das Zeitintervall, innerhalb welchemdas Gateway antworten muss, in Sekunden an.
Zulässiger Bereich: 1 bis 10 Sekunden
Standard: 2 Sekunden
Erneute Versuche Geben Sie an, wie oft die Prüfung desGatewayzustands wiederholt werden soll, bevordas Gateway als unerreichbar deklariert wird.
Zulässiger Bereich: 1 bis 10
Standard: 3
E-Mail-Benachrichtigung Aktivieren Sie diese Option, um eine E-Mail-Benachrichtigung zu erhalten, wenn sich derZustand des Gateways ändert.
HinweisSie müssen die Mailserver-Benachrichtigungseinstellungenkonfigurieren, damit das Gerät Warn-E-Mails sendet und empfängt.
Voraussetzungen für die Überwachung Protokoll: Wählen Sie aus der Auswahllistedas Kommunikationsprotokoll aus, wie z.B. TCPoder PING (ICMP). Wählen Sie das Protokollabhängig davon aus, mit welchem Dienst derZustand des Gateways getestet werden soll.
Port: Geben Sie für die TCP-Kommunikationdie Portnummer für die Kommunikation ein.
IP-Adresse: Geben Sie die IP-Adresse desComputers oder der Netzwerk-Appliance an, diedauerhaft aktiv oder am zuverlässigsten ist.
Operator:
• UND - All diese Bedingungen müssen erfülltsein, damit das Gateway als aktiv betrachtetwird.
• ODER - Mindestens eine Bedingung musserfüllt sein, damit das Gateway als aktivbetrachtet wird.
Copyright © 2018 Sophos Limited 383
XG Firewall
Es wird eine Protokollanfrage an dieangegebene IP-Adresse geschickt. Wenndie IP-Adresse nicht innerhalb des Zeitlimitsauf die Anfrage antwortet, werden soviele erneute Versuche unternommen wieangegeben. Wenn die IP-Adresse weiterhinnicht antwortet, betrachtet die Appliance dieIP-Adresse als nicht erreichbar.
18.4 BGP
Auf dieser Seite können Sie BGP-Routen verwalten.
Border Gateway Protocol (BGP) ist ein Pfadvektorprotokoll, das Pfadinformationen enthält, sodassdie Router Routing-Informationen zwischen autonomen Systemen (AS) austauschen können,damit schleifenfreie Routen angelegt werden können. Dieses Protokoll wird in der Regel von ISPsverwendet.
AS ist eine miteinander verbundene Gruppe von Netzwerken oder Routern, die unter der Kontrolleeiner administrativen Einheit steht und gängige Routing-Richtlinien miteinander teilt. Um ein ASeindeutig zu identifizieren, ist ihm eine eindeutige Nummer zugewiesen. Die AS-Nummer ermöglichtden Austausch zwischen benachbarten autonomen Systemen. Wenn Sie keine eindeutigen AS-Nummern benötigen, sollten Sie private AS-Nummern verwenden. Private BGP AS-Nummern liegenim Bereich von 64512 bis 65535.
BGP wählt einen einzelnen Pfad aus den Advertisements aus, die von verschiedenen Quellen füreine Route empfangen werden. Nach Auswahl des Pfads nimmt BGP diesen in die IP-Routing-Tabelle auf und leitet den Pfad an seinen Nachbarn weiter.
Globale Konfiguration
Router-ID Hier geben Sie die Router-ID für BGP an.
Beispiel: 12.34.5.66.
Lokales AS Geben Sie die Nummer des lokalen autonomenSystems (AS) an.
Zulässiger Bereich: 1 bis 4294967295
Nachbarn
Nachbarn sind die Router, zwischen denen eine TCP-Verbindung hergestellt wird. In diesem Bereichkönnen Sie Nachbarn hinzufügen, aktualisieren oder löschen.
Netzwerke
In diesem Bereich sind alle verfügbaren BGP-Netzwerke mit ihren entsprechenden Netzmaskenaufgeführt. Sie können Netzwerke hinzufügen, aktualisieren oder löschen.
384 Copyright © 2018 Sophos Limited
XG Firewall
18.4.1 BGP-Netzwerk hinzufügen
Auf dieser Seite können Sie die IPv4-Adresse und Netzwerk-Subnetzmaske angeben.
1. Gehen Sie zu Routing > BGP und klicken Sie auf Hinzufügen im Bereich Netzwerke.
2. Geben Sie die IPv4-Adresse des Netzwerks ein und wählen Sie eine Subnetzmaske aus der Listeaus.
3. Klicken Sie auf Speichern.
18.4.2 Nachbar hinzufügen
Auf dieser Seite können Sie einen BGP-Nachbarn hinzufügen und eine IPv4-Adresse des Nachbar-Routers und die AS-Nummer angeben.
1. Gehen Sie zu Routing > BGP und klicken Sie auf Hinzufügen im Bereich Nachbarn.
2. Geben Sie die IPv4-Adresse des Nachbar-Routers an.
3. Geben Sie die Nummer des entfernten autonomen Systems (AS) des Nachbarn an.
Zulässiger Bereich: 1 bis 4294967295
4. Klicken Sie auf Speichern.
18.5 OSPF
Auf dieser Seite können Sie OSPF-Routen verwalten. Sie können auf dieser Seite außerdem dieKonfiguration auf Basis von Bereichen, Netzwerken oder Schnittstellen hinzufügen, aktualisieren oderlöschen.
Open Shortest Path First (OSPF) ist ein Interior Gateway Protocol, das die Routing-Informationenan alle Hosts eines Netzwerks weiterleitet. OSPF sendet die Routinginformation an alle Router imNetzwerk, in dem es auf Grundlage der Struktur, die von jedem Router erstellt wurde, den kürzestenPfad zu jedem Router berechnet.
Mit OSPF können mehrere Netzwerke in Gruppen zusammengefasst werden. Diese werdenauch Bereiche genannt. Ein Bereich ist eine logische Division eines Netzwerks. Jeder Bereichunterhält eine separate Datenbank, deren Informationen über den verbindenden Routerzusammengefasst werden können. Die Topologie eines Bereichs ist daher nur intern bekannt. Esgibt drei Bereichstypen:
Backbone-Bereich
Der Backbone-Bereich wird auch Bereich 0 genannt und gibt Informationen an die anderen Bereicheweiter. Alle anderen Bereiche in diesem Netzwerk sind mit diesem verbunden und die Weiterleitungzwischen den Bereichen erfolgt über die Router, die sowohl mit dem Backbone-Bereich als auchdem jeweiligen betroffenen zweiten Bereich verbunden sind.
Stub-Bereich
Ein Stub-Bereich erhält keine Router-Advertisements, die nicht dem autonomen Systems (AS)angehören. Bei diesem handelt es sich um mehrere Netzwerke unter einem gemeinsamenNetzwerk-Betreiber, die sich dieselbe Routing-Richtlinie teilen.
NSSA
Copyright © 2018 Sophos Limited 385
XG Firewall
Ein sogenannter Not-so-stubby-area (NSSA) ist ein Stub-Bereich, der eine begrenzte Anzahl anexternen AS-Routen importieren kann.
Area Border Router
Ein Area Border Router (ABR) ist ein Router, der die Bereiche mit dem Backbone-Netzwerkverbindet und für jeden Bereich, mit welchem er verbunden ist, separate Routinen-Informationenbereithält. Er verfügt über Schnittstellen in mehr als einem Bereich, wobei sich mindestens eineSchnittstelle im Backbone-Bereich befindet.
Globale Konfiguration
Router-ID Geben Sie eine eindeutige Router-ID an.
Beispiel: 12.34.5.66.
Erweiterte Einstellungen
Standard-Metrik Geben Sie den Wert der Standard-Metrik an, derfür die neu verteilten Routen verwendet werdenkann.
Die Metrik ist eine Eigenschaft mit Wert, der vomRouting-Protokoll verwendet wird zu entscheiden,ob eine bestimmte Route genommen werden solloder nicht.
Standard: 1
Zulässiger Bereich: 1 bis 16777214
ABR-Typ Geben Sie den Typ von Area Border Router(ABR) an.
Verfügbare Optionen:
• Standard
• CISCO
• IBM
• Shortcut
Automatische Kostenreferenzbandbreite Geben Sie die Kostenreferenz an, um die Kostender OSPF-Schnittstelle auf Basis der Bandbreitezu berechnen.
Standard: 100 MBits/s
Zulässiger Bereich: 1 bis 4294967
Default-information originate Wählen Sie, wie die Verteilung der Standardrouteerfolgen soll.
Verfügbare Optionen:
• Nie
• Regelmäßig – Bei Regelmäßig sind dieMetrik und der Metriktyp auszuwählen.
• Immer – Bei Immer sind die Metrik und derMetriktyp auszuwählen.
Die Standardeinstellung ist Nie.
386 Copyright © 2018 Sophos Limited
XG Firewall
Redistribute connected Hiermit aktivieren Sie die neue Verteilung derverbundenen Routen in der OSPF-Routing-Tabelle.
Geben Sie für die Neuverteilung der verbundenenRouten die Metrik und den Metriktyp an.
Zulässiger Bereich: 0 bis 16777214
Metriktyp: Externer Typ 1 oderExterner Typ 2.
Redistribute static Hiermit aktivieren Sie die neue Verteilung derstatischen Routen in der OSPF-Routing-Tabelle.
Geben Sie für die Neuverteilung der statischenRouten die Metrik und den Metriktyp an.
Zulässiger Bereich: 0 bis 16777214
Metriktyp: Externer Typ 1 oderExterner Typ 2.
RIP neu verteilen Hiermit aktivieren Sie die neue Verteilung derOSPF-Routen in der OSPF-Routing-Tabelle.
Geben Sie für die Neuverteilung der RIP-Routendie Metrik und den Metriktyp an.
Zulässiger Bereich: 0 bis 16777214
Metriktyp: Externer Typ 1 oderExterner Typ 2.
BGP neu verteilen Hiermit aktivieren Sie die neue Verteilung derBGP-Routen in der OSPF-Routing-Tabelle.
Geben Sie für die Neuverteilung der BGP-Routendie Metrik und den Metriktyp an.
Zulässiger Bereich: 0 bis 16777214
Metriktyp: Externer Typ 1 oderExterner Typ 2.
Klicken Sie auf Übernehmen.
Netzwerke und BereicheNetzwerke
In diesem Abschnitt werden alle verfügbaren OSPF-Netzwerke gemeinsam mit der dazugehörigenNetzmaske und dem Bereich, dem sie angehören, aufgelistet.
Bereiche
In diesem Bereich werden alle verfügbaren OSPF-Bereiche mit Angabe ihres Typs,Authentifizierungstyps, den Bereichskosten und, falls verfügbar, virtuellen Links aufgelistet.
Schnittstellenkonfiguration überschreiben
Sie können die Schnittstellenkonfiguration in diesem Abschnitt verwalten.
18.5.1 OSPF-Bereiche hinzufügen
1. Gehen Sie zu Routing > OSPF und klicken Sie auf Hinzufügen im Bereich Bereiche.
2. Geben Sie die Daten zum OSPF-Bereich ein.
Bereich Geben Sie die IP-Adresse des Bereichs ein.
Copyright © 2018 Sophos Limited 387
XG Firewall
Typ Wählen Sie aus den verfügbaren Optionen denTyp des OSPF-Bereichs:
Verfügbare Optionen:normalStub Stub No-SummaryNSSANSSA No-Summary
Virtuelle Links (nur verfügbar, wenn alsBereichstyp Normal ausgewählt ist)
Geben Sie für einen Bereich ohne physikalischeVerbindung einen virtuellen Link an, um diesenmit dem Backbone-Bereich zu verbinden.
Klicken Sie auf
,um virtuelle Links hinzuzufügen.
Authentifizierung Wählen Sie aus den verfügbaren Optionen denAuthentifizierungstyp:
Verfügbare Optionen:TextMD5
Bereichskosten (nur verfügbar für denBereichstyp Normal)
Geben Sie die Bereichskosten an.
Zulässiger Bereich: 0 bis 16777215
3. Klicken Sie auf Speichern.
18.5.2 OSPF-Netzwerk hinzufügen
1. Gehen Sie zu Routing > OSPF und klicken Sie auf Hinzufügen im Bereich Netzwerke.
2. Geben Sie die IPv4-Adresse des Netzwerks ein und wählen Sie eine Subnetzmaske aus der Listeaus.
3. Geben Sie einen OSPF-Bereich an.
4. Klicken Sie auf Speichern.
18.5.3 Schnittstellenkonfiguration überschreiben
Sie können auf dieser Seite für OSPF die Standardkonfiguration der Schnittstelle überschreiben.
1. Gehen Sie zu Routing > OSPF und klicken Sie auf Schnittstelle auswählen im BereichSchnittstellenkonfiguration überschreiben.
2. Geben Sie die Daten zur Schnittstellenkonfiguration ein.
Schnittstelle Hier wählen Sie die Schnittstelle für OSPF aus.
Hello-Intervall Geben Sie das Zeitintervall an, nach welchemdie Schnittstelle ein Grußpaket an denbenachbarten Router versendet.
Standard: 10 Sekunden
Zulässiger Bereich: 1 bis 65353 Sekunden
Tot-Intervall Geben Sie das Zeitintervall an, nach welchemdie Schnittstelle als tot erklärt wird.
Standard: 40 Sekunden
Zulässiger Bereich: 1 bis 65353 Sekunden
388 Copyright © 2018 Sophos Limited
XG Firewall
Wiederübertragungsintervall Geben Sie das Zeitintervall für die erneuteÜbertragung des Link State Advertisement(LSA) an den Nachbarn der Schnittstelle an.
Standard: 5 Sekunden
Zulässiger Bereich: 3 bis 65353 Sekunden
Transmit delay Geben Sie an, wie viel Zeit in Sekundenbenötigt wird, um an die Schnittstelle einPaket mit der Aktualisierung des Linkstatus zuversenden.
Standard: 1 Sekunde
Zulässiger Bereich: 1 bis 65353 Sekunden
Schnittstellenkosten Geben Sie die Schnittstellenkosten an.
Sie können über die Option Auto dieSchnittstellenkosten entweder automatischberechnen oder sie manuell eingeben.
Zulässiger Bereich: 1 bis 65353 Sekunden
Authentifizierung Wählen Sie den Authentifizierungstyp für dieAuthentifizierung von OSPF-Paketen.
Verfügbare Optionen:Text – Bei Auswahlvon Text geben Sie bitte ein Kennwort zurAuthentifizierung an. MD5 – Bei Auswahl vonMD5 geben Sie bitte eine Schlüssel-ID undeinen Schlüssel an. Die Schlüssel-ID musszwischen 0 und 255 liegen.
Routerpriorität Geben Sie die Priorität für einen Router an.
Standard: 1
Zulässiger Bereich: 0 bis 255
3. Klicken Sie auf Speichern.
18.6 Information
Der Administrator kann verschiedene Informationen und den Status aller dynamischen Routenanzeigen, die mithilfe von RIP-, OSPF-, BGP- und PIM-SM-Protokollen konfiguriert wurden. DieseÜbersicht der Informationen über die dynamischen Routen ist nützlich für weitere Konfigurationenund/oder Debugging.
RIP
Routen Hier werden alle Informationen zur Routing-Konfiguration und die Routing-Tabelle für einemit dem RIP-Protokoll konfigurierte Schnittstelleangezeigt.
Status Hier werden die Einstellungen und Statistikendes RIP-Routing-Protokollprozessesangegeben.
Copyright © 2018 Sophos Limited 389
XG Firewall
Tabelle 21: Routen
Codes und Subcodes Hier wird angezeigt, wie die Ziel-Routing-Informationenbezogen werden.
Codes R – RIP, C – Verbunden, S – Statisch, O – OSPF, B –BGP, K – Kernel-Route.
Subcodes (n) – Normal, (s) – Statisch, (d) – Standard, (r) – Neuverteilen, (i) – Schnittstelle
Netzwerk Hier werden die IP-Adresse und die Subnetzmaske desZiels angegeben.
Next hop Hier wird die IP-Adresse des Next-Hop-Routinggerätsangezeigt.
Metrik Hier wird die Anzahl der Routing-Geräte (Hop-Anzahl)festgelegt, die ein Paket auf dem Weg zum Zielpassieren muss.
Von Hier ist der Router (IP-Adresse des Routers)angegeben, von dem aus die Metrik für den Weg zumZiel berechnet wird. Wenn dieser direkt verbunden ist,wird Selbst angezeigt.
Tag Hier ist angegeben, welche Methode für dieUnterscheidung zwischen internen Routen (von RIPgelernt) und externen Routen, die vom ExternalGateway Protocol (ERP) gelernt wurden, verwendetwird. 0 weist darauf hin, dass mit der Route kein Tagverknüpft ist.
Zeit Gibt die nach Löschung des Routing-Eintrags aus derRIP-Tabelle vergangene Zeit an.
Tabelle 22: Status
Routing-Protokoll ist „RIP“ Gibt das verwendete Routing-Protokoll an.
Sending updates Gibt die Dauer zwischen dem Senden vonAktualisierungen an.
Next due Gibt an, wann die nächste Aktualisierung gesendetwird.
Timeout after Legt das Zeitüberschreitungsintervall für die RIP-Route bis zum Ablauf der Speicherbereinigungsdauer(Garbage Collection) fest, nachdem diese für ungültigerklärt und aus der Routing-Tabelle entfernt wurde.
Garbage collect Legt die Zeitspanne fest, während der dieRoutenmetrik auf 16 gesetzt wird. Wenn vor Ablauf desSpeicherbereinigungstimers keine Aktualisierungenempfangen werden, wird eine Route mit Metrik 16 ausder Routing-Tabelle gelöscht.
Outgoing update Gibt an, ob die ausgehende Filterliste gesetzt wurde.
Incoming update Gibt an, ob die eingehende Filterliste gesetzt wurde.
Default redistribution metric Metrik von Routen, die von anderen Routen neu verteiltwerden.
Redistributing Gibt Informationen über die Neuverteilung andererProtokolle an.
390 Copyright © 2018 Sophos Limited
XG Firewall
Default version control Gibt die Version der RIP-Pakete an, die gesendet undempfangen werden.
Schnittstelle Zeigt eine RIP-fähige Routing-Schnittstelle an.
Senden Zeigt die Version der RIP-Pakete an, die an dieRouting-Schnittstelle gesendet werden. Die Versionkann folgendermaßen lauten: RIP1, RIP2.
Recv Zeigt die Version der RIP-Pakete an, die an derRouting-Schnittstelle angenommen wurden. DieVersion kann folgendermaßen lauten: RIP1, RIP2 ,Both.
Key-chain Zeigt den Key-Chain-Name für die Authentifizierung fürdie Schnittstelle an, sofern konfiguriert.
Routing for network Gibt die Netzwerke an, für die der Routing-Prozessaktuell Routen einschleust.
Routing Information Sources Gibt an, welche Routing-Quellen für die Erstellung derRouting-Tabelle verwendet werden. Für jede Quellewerden folgende Informationen angezeigt:
• Gateway: Zeigt die IP-Adresse des Next-Hop-Routinggeräts an.
• Bad Packets: Zeigt die Anzahl der vom Routerempfangenen ungültigen Pakete an.
• Bad Routes Zeigt die Anzahl der ungültigenRouten vom Router an.
• Distance Last Update Zeigt an, wann dieadministrative Distanz zuletzt aktualisiert wurde.
• Distance: Gibt die administrative Distanz an. AlsWert für die Distanz wird standardmäßig 120angezeigt.
OSPF
Border-Router Zeigt Informationen über die Einträge der internenOSPF-Routing-Tabelle für einen Area BorderRouter (ABR) und Autonomous System BoundaryRouter (ASBR) an.
Routen Zeigt Informationen über die Einträge der internenOSPF-Routing-Tabelle an.
Datenbank Zeigt die Liste der Informationen imZusammenhang mit dem OSPF DatabaseSummary für einen bestimmten Router an. JedeLink-State-Datenbank enthält ein Link-StateAdvertisement aus den Bereichen, mit denen derRouter verbunden ist.
Nachbarn (ARP–NDP) Stellt Nachbar-Informationen basierend auf derGegenstellen-Schnittstellenverbindung bereit.
Schnittstelle Zeigt Informationen zur OSPF-Schnittstelle an.
Copyright © 2018 Sophos Limited 391
XG Firewall
Tabelle 23: Border-Router
R Gibt an, dass die Informationen für die Route für einenbestimmten Border-Router bereitgestellt werden.
Network IP address Gibt die Router-ID des Ziels an.
Metrik Gibt die Kosten bis Erreichen des Ziels an.
Bereich Gibt die Bereichskennung der ausgehendenSchnittstelle an.
Next hop Gibt die Verwaltungs-IP-Adresse des Next-Hop-Routinggeräts an.
Outgoing interface Gibt den Namen und die IP-Adresse der ausgehendenSchnittstelle zum Erreichen des Ziels an.
Tabelle 24: Routen
N Gibt an, dass die Informationen für ein Netzwerkbereitgestellt werden.
Network IP address Gibt die Router-ID des Ziels an.
Metrik Gibt die Kosten bis Erreichen des Ziels an.
Bereich Gibt die Bereichskennung der ausgehendenSchnittstelle an.
Next hop Gibt die Verwaltungs-IP-Adresse des Next-Hop-Routinggeräts an.
Directly attached Gibt an, dass ein Netzwerk direkt mit der Schnittstelleverbunden ist.
Outgoing interface Gibt den Namen und die IP-Adresse der ausgehendenSchnittstelle zum Erreichen des Ziels an.
Tabelle 25: Datenbank
Link ID Gibt die ID des Link-State-Advertisement an, mit demein Router die Route lernt. Mit anderen Worten: EinLink-State Advertisement beschreibt einen Router, unddie Link-State-ID bezieht sich auf die OSPF-Router-IDdes Routers.
Das Link-State-Advertisement, das einNetzwerk beschreibt, kann eines der folgendenbeiden Formate einer Link-State-ID annehmen:die IP-Adresse des Netzwerks oder eine mithilfeder Link-State-ID erzeugte Adresse.
ADV router Gibt die Advertising-Router-ID des Ziels an.
Age Gibt die Zeit in Sekunden seit Erzeugung des LSA an.
Seq# Link-State-Folgenummer (zur Feststellung alter oderdoppelter Link-State Advertisements).
CkSum Prüfsumme des kompletten Inhalts des Link-StateAdvertisement.
Link count Anzahl der für den Router ermittelten Schnittstellen.
Net link states Gibt Auskunft über das vom DR (Designated Router)erzeugte LSA.
392 Copyright © 2018 Sophos Limited
XG Firewall
Router link states Gibt Auskunft über das von den einzelnen Routernerzeugte LSA.
Summary net link states Gibt Auskunft über das von ABR erzeugte Summary-LSA.
Tabelle 26: Nachbarn
Neighbor ID Gibt die ID des Nachbar-Routers an.
Pri Gibt die dem betreffenden Nachbarn zugewieseneRouterpriorität an.
Copyright © 2018 Sophos Limited 393
XG Firewall
Bundesland Zeigt die Kommunikation zwischen Router undNachbar seit Anlegen des Nachbarn an. Hier kommenfolgende Werte in Frage:
• Down: Gibt den ursprünglichen Zustand einerNachbar-Kommunikation an, d.h. es wurden keineaktuellen Informationen vom Nachbarn empfangen.
• Attempt: Betrifft nur Nachbarn, die mit Nicht-Broadcast-Netzwerken verbunden sind. Gibt an,dass vom Nachbarn keine aktuellen Informationenempfangen wurden.
• Init: Gibt an, dass vor kurzem ein Hello-Paketvon einem Nachbarn empfangen wurde, auchwenn keine Bidirektionalität vorliegt, d. h. es wurdenoch keine bidirektionale Kommunikation mit demNachbarn eingerichtet.
• 2-Way: Gibt an, dass eine bidirektionaleKommunikation zwischen den Routern eingerichtetwurde und der Nachbar die Router-ID in seineHello-Nachricht geschrieben hat. Der DRund der BDR werden unter den Nachbarn imbidirektionalen Zustand (2-Way) oder höherausgewählt.
• ExStart: Gibt an, dass die beiden Router sichsynchronisieren und bestimmen, welcher RouterMaster und welcher Slave ist.
• Exchange: Gibt an, dass die beiden Router ihrejeweilige Link-State-Datenbank durch Senden vonDatenbeschreibungspaketen beschreiben.
• Loading: Gibt an, dass Link-State-Anfragepaketefür weitere Advertisements an den Nachbarngesendet werden, wobei diese ermittelt, aber nochnicht im Exchange-Zustand empfangen wurden.
• Full: Gibt an, dass beide Router den Austauschaller relevanten Advertisements absolviert habenund jetzt in den Router-Link und Neighbor-LinkAdvertisements erscheinen.
• Backup: Gibt an, dass der Nachbar ein Backup-Designated-Router ist.
• Dead time: Wartezeit in Sekunden bis zumEmpfang einer Hello-Nachricht vom OSPF-Nachbarn, bevor davon ausgegangen wird, dassder Nachbar ausgefallen ist.
• Address: Gibt die IP-Adresse der Schnittstelle desRouters zum Nachbarn an.
• Interface: Gibt die IP-Adresse der Nachbar-Schnittstelle an.
• RXmtL: Gibt die Anzahl der erneuten Link-State-Übertragungen an.
• RqstL: Gibt die Anzahl der Link-State-Anfragen an.
• DBsmL: Gibt die Anzahl der Link-State-Summariesan.
394 Copyright © 2018 Sophos Limited
XG Firewall
Tabelle 27: Schnittstelle
Interface value Gibt den Status der physikalischen Schnittstelle an,d. h. ob die Schnittstelle aktiv oder inaktiv ist.
IfIndex Gibt den Wert des Schnittstellenindex (IfIndex) an. Eshandelt sich hierbei um eine eindeutige Kennung, diemit der Schnittstelle verknüpft ist.
MTU Gibt den Maximum Transmission Unit (MTU)-Wertder Schnittstelle an. MTU ist die größte physikalischePaketgröße (in Byte), die ein Netzwerk übertragenkann. Dieser Parameter ist problematisch, wennzwischen Netzwerken mit unterschiedlichen MTU-Größen eine Verbindung hergestellt wird. Alle Pakete,die über den MTU-Wert hinausgehen, werden vor demSenden in kleinere Pakete aufgeteilt (fragmentiert).
BB Gibt die Bandbreite der Schnittstelle an.
Internet address Gibt die IP-Adresse der Schnittstelle an.
Network type/IP address Gibt den Netzwerktyp und die IP-Adresse an.
Bereich Gibt die IP-Adresse des Area Identifier(Bereichskennung) an.
MTU mismatch detection Gibt an, ob der MTU-Abgleich zur Feststellung vonNichtübereinstimmungen aktiviert oder deaktiviertist. Ist diese Option aktiviert, wird die MTU beiderSchnittstellen einer Nachbar-Beziehung abgeglichen.
Router-ID Gibt die Kennung des zu Beginn des OSPF-Prozessesausgewählten Routers an. Die Router-ID ist innerhalbder OSPF-Domäne eindeutig und ändert sich erst,wenn OSPF neu gestartet oder manuell geändert wird.
Network type Gibt den Netzwerktyp an, mit dem die OSPF-Schnittstelle verbunden ist. Es gibt folgendeNetzwerktypen:
• Point-to-point: Bei einem Point-to-Point-Netzwerkkönnen nur zwei Router miteinander verbundenwerden.
• Point-to-Multipoint (non-broadcast): Bei einemPoint-to-Multipoint-Netzwerk wird ein Router mitmehreren anderen Routern verbunden.
• Broadcast: Gibt an, dass das Netzwerk Broadcastunterstützt. In einem Broadcast-Netzwerk wird eineinzelnes Paket, das von einem Router gesendet(übertragen) wird, von allen Routern im Netzwerkempfangen.
• Non Broadcast Multiple Access (NBMA): Gibt an,dass das Netzwerk Broadcast oder Multicast nichtunterstützt. Wird im Zusammenhang mit ModellX.25 und Frame-Relay-Umgebungen in einemMulti-Access-Netzwerk verwendet.
Cost Zeigt die OSPF-Metrik an. Wird mit folgender Formel
berechnet: 108/Bandbreite (in Bits je Sekunde [bps]),wobei:
• 108: Referenzbandbreite
• Bandbreite: Bandbreite der Schnittstelle in bps
Copyright © 2018 Sophos Limited 395
XG Firewall
Transmit delay Gibt die Zeit in Sekunden an, die der OSPF-Routerwartet, bis ein Link-State Advertisement (LSA)verteilt wird (Flooding). Das Link-State-Alter wird vorÜbertragung eines LSA um diesen Wert erhöht. DerStandardwert für die Übertragungsverzögerung beträgt1 Sekunde.
Bundesland Gibt den aktuellen Zustand der festgelegtenSchnittstelle an. Es gibt folgende Zustände:
• DR: Der Router ist ein Designated Router (DR) imNetzwerk.
• BDR: Der Router ist ein Backup Designated Router(BDR) im Netzwerk.
• DROTHER: Der Router ist weder ein DR noch einBDR im Netzwerk und geht nur Nachbarschaftenmit dem DR und dem BDR ein.
• Waiting: Der Schnittstellen-Router wartet darauf,den Zustand des Link als DR mitzuteilen.
HinweisDies ist ein normaler Zustand im Falle einesMulti-Access-Netzwerks, das Broadcast nichtunterstützt.
• Point-to-Point: Die Schnittstelle im Point-to-Point-Zustand ist voll funktionsfähig und beginnt, Hello-Pakete mit allen ihren Nachbarn auszutauschen.
• Point-to-Multipoint: Gibt an, dass es sich bei derSchnittstelle um Point-to-Multipoint für OSPFhandelt.
Priority Gibt die Priorität des Schnittstellen-Routers an. Dieshilft bei der Auswahl des DR und BDR im Netzwerk, mitdem die Schnittstelle verbunden ist.
Standard: 1
HinweisEin Router mit dem Prioritätswert 0 kannnie ein DR/BDR sein.
Designated Router ID Gibt die ID des DR-Routers für das betreffendeNetzwerk an.
Backup Designated Router ID Gibt die ID des BDR-Routers für das betreffendeNetzwerk an.
Saved Network-LSA sequence number Gibt die Link-State-Folgenummer des Netzwerks anund dient der Shortest Path First (SPF)-Berechnung.
Multicast group membership Gibt die Multicast-Gruppe an, zu welcher der Routergehört.
396 Copyright © 2018 Sophos Limited
XG Firewall
Timer intervals configured Gibt den Wert der folgenden OSPF-Timer an:
• Hello: Zeitintervall in Sekunden, in dem der Routerein Hello-Paket sendet.
• Dead: Gibt die Wartezeit in Sekunden an, bis einNachbar für ausgefallen erklärt wird.
• Wait: Zeigt das Zeitintervall an, das dazu führt,dass die Wartedauer beendet und der DR imNetzwerk ausgewählt wird.
• Retransmit: Zeigt die Wartezeit bis zur erneutenÜbertragung eines Database Description (DBD)-Pakets an, wenn dieses nicht bereits bestätigtwurde.
• Hello Due In: Gibt an, wann das nächste Hello-Paket gesendet wird.
• Neighbor count: Gibt die Gesamtzahl dererkannten Nachbarn an der Schnittstelle an.
• Adjacent neighbor count: Gibt die Gesamtzahl derangrenzenden Nachbarn an, die vollständig an dieSchnittstelle angrenzen.
BGP
Nachbarn (ARP–NDP) Hier werden Informationen über den BGP undseine Gegenstellenverbindungen sowie dieAnzahl der mitgeteilten Routen/Nachbarn zu/vondieser Gegenstelle angezeigt.
Routen Hier werden alle Informationen zur Routing-Konfiguration und die Routing-Tabelle für einemit dem BGP-Protokoll konfigurierte Schnittstelleangezeigt.
Zusammenfassung Zeigt den Status aller BGP-Verbindungsinformationen wie Pfad, Präfixe undAttributinformationen über alle Verbindungen zuBGP-Nachbarn an.
Tabelle 28: Nachbarn
BGP Neighbor Gibt die IP-Adresse des BGP-Nachbarn an.
Remote AS Gibt die AS-Nummer des Nachbar-Routers an.
Local AS Gibt den Wert der konfigurierten lokalen autonomenSysteme (AS) an.
Internal/External link Zeigt die internen Links für interne (iBGP)-Nachbarnund den externen Link für externe BGP (eBGP) an.
BGP version Zeigt die BGP-Version für die Kommunikation mit dementfernten Router an.
Remote router ID Gibt die Router-ID des Nachbar-Routers an.
Copyright © 2018 Sophos Limited 397
XG Firewall
BGP state Gibt den Finite State Machine (FSM)-Zustand anund beschreibt, welche Maßnahme zu welchemZeitpunkt von der BGP-Routing-Engine für dieSitzungsaushandlung durchgeführt werden soll.
Last read Zeigt die Zeit nach dem letzten Eingang einer Nachrichtvom Nachbarn beim BGP an. Die Zeit wird im Formathh:mm:ss angezeigt.
Hold time Zeigt in Sekunden an, wie lange der BGP die Sitzungmit dem Nachbarn aufrecht erhält, ohne dass er vondiesem eine Nachricht erhält.
Keepalive interval Zeigt das Zeitintervall in Sekunden an, das vorgibt, wieoft der BGP-Router die Keep-Alive-Nachricht an denNachbarn sendet.
Message statistics Zeigt die Statistiken nach Nachrichtentyp an.
• InQ: Gibt die Anzahl der Nachrichten in der Queuean, die vom Nachbar gesendet wurden undverarbeitet werden müssen.
• OutQ: Gibt die Anzahl der Nachrichten in derQueue an, die an den Nachbarn gesendet werdenmüssen.
• Sent: Gibt die Anzahl der an den Nachbarngesendeten Nachrichten an.
• Received: Gibt die Anzahl der vom Nachbarnempfangenen Nachrichten an.
• Opens: Gibt die Gesamtzahl der offenenNachrichten an, die gesendet und empfangenwurden.
• Notifications: Gibt die Gesamtzahl der gesendetenund empfangenen Fehlermeldungsnachrichten an.
• Updates: Gibt die Gesamtzahl der gesendeten undempfangenen Update-Nachrichten an.
• Keepalives: Gibt die Gesamtzahl der gesendetenund empfangenen Keep-Alive-Nachrichten an.
• Route refresh: Gibt die Gesamtzahl dergesendeten und empfangenen Route Refresh-Nachrichten an.
• Capability: Gibt die Gesamtzahl der vom Nachbarnmitgeteilten und empfangenen BGP-Fähigkeitenan.
• Total: Gibt die Gesamtzahl der gesendeten undempfangenen Nachrichten an.
Minimum time between advertisement runs Zeigt die Zeit in Sekunden zwischen den gesendetenAdvertisements an.
For address family Gibt die IP-Adress-Familie an.
Community attribute sent to this neighbor Gibt den numerischen Wert der BGP-Familie an.Dieser numerische Wert wird einem spezifischen Präfixzugewiesen und dem Nachbarn mitgeteilt, der anhanddessen entscheidet, ob Attribute gefiltert oder geändertwerden.
Accepted prefix Gibt die Anzahl der zulässigen Präfixe an, die an einerBGP-Gegenstellensitzung teilnehmen können.
398 Copyright © 2018 Sophos Limited
XG Firewall
Connections established Gibt an, wie oft eine TCP- und eine BGP-Verbindungerfolgreich aufgebaut wurde.
Dropped Gibt an, wie oft eine gültige Sitzung fehlgeschlagen istoder verworfen wurde.
Last reset Zeigt die Zeit nach Beendigung der zuvor eingeleitetenSitzung mit dem Nachbarn an.
Local host and local port Zeigt die IP-Adresse und die Portnummer des lokalenBGP-Routers an.
Foreign host and foreign port Zeigt die IP-Adresse des Nachbarn und die BGP-Zielportnummer an.
Next hop Zeigt die Verwaltungs-IP-Adresse des Next-Hop-Routinggeräts an.
Next connect timer due in Gibt an, wann das nächste Hello-Paket an den BGP-Nachbarn gesendet wird.
Read thread Gibt an, ob Read-Thread an oder aus ist.
Write thread Gibt an, ob Write-Thread an oder aus ist.
Tabelle 29: Routen
BGP table version Gibt die Versionsnummer der Tabelle an. DieVersionsnummer wird bei jeder Änderung in der BGP-Tabelle aktualisiert.
Local router ID Gibt die IP-Adresse des Routers an.
Status codes and origin codes Hier wird angezeigt, wie die Ziel-Routing-Informationenbezogen werden.
Statuscodes: Ein Statuscode gibt den Statusdes Tabelleneintrags an und wird zu Beginnjeder Zeile in der Tabelle angezeigt. DerStatuscode kann einen der folgenden Werteannehmen: s – suppressed, d –damped, h– history, * – valid, > – best, i – internal, r –Routing Information Base (RIB)-failure, S –Stale, R – Removed.
Origin-Codes: Ein Origin-Code gibt dieHerkunft des Tabelleneintrags an und wirdam Ende jeder Zeile in der Tabelle angezeigt.Dieser Code kann einen der folgenden Werteannehmen: i – Interior Gateway Protocol (IGP),e – Exterior Gateway Protocol (EGP), ? –Unvollständig/Pfad nicht klar.
Network Gibt die IP-Adresse und die Subnetzmaske des Zielsan.
Next hop Zeigt die Verwaltungs-IP-Adresse des Next-Hop-Routinggeräts an. 0.0.0.0 gibt an, dass der RouterNicht-BGP-Routen zum Netzwerk besitzt.
Metric Gibt den Wert der inter-autonomen Systemmetrik an.
Copyright © 2018 Sophos Limited 399
XG Firewall
LocPrf Gibt den Wert der lokalen Präferenz an. Die lokalePräferenz ist eine der Methoden zum Ändern desPfads, den ein autonomes System (AS) zu einemanderen AS nimmt. Mit dem Wert der lokalen Präferenzwird dem AS mitgeteilt, welcher Pfad lokale Präferenzhat, wobei derjenige mit der höchsten Präferenzbevorzugt wird.
Weight Gibt die Routengewichtung gemäß Festlegung überautonome Systemfilter an. Falls es mehrere Pfade zueiner bestimmten IP-Adresse gibt, wird der Pfad mit derhöchsten Gewichtung ausgewählt.
Path Gibt den AS-Pfad zum Zielnetzwerk an.
Total number of prefixes Gibt die Gesamtzahl der Präfixe/Netzwerke an.
Tabelle 30: Zusammenfassung
BGP router identifier Gibt die Router-ID des BGP-Routers an.
Local AS number Gibt die Nummer des lokalen autonomen Systems an,zu dem der betreffende Router gehört.
RIB entries Gibt die Anzahl der Routing-Information-Einträge in derRIB an.
Memory Gibt den von Nachbar-Einträgen genutzten Speicheran.
Gegenstelle Gibt die Anzahl der Nachbarn an, zu denen dieVerbindung aufgebaut wird.
Memory Gibt den von Nachbar-Einträgen genutzten Speicheran.
Neighbor Gibt die IP-Adresse des Nachbarn an.
V Gibt die dem Nachbarn mitgeteilte BGP-Versionsnummer an.
LocPrf Gibt den Wert der lokalen Präferenz an. Die lokalePräferenz ist eine der Methoden zum Ändern desPfads, den ein autonomes System (AS) zu einemanderen AS nimmt. Mit dem Wert der lokalen Präferenzwird dem AS mitgeteilt, welcher Pfad lokale Präferenzhat, wobei derjenige mit der höchsten Präferenzbevorzugt wird.
AS Gibt die Nummer des autonomen Systems an.
MsgRcvd Gibt die Anzahl der vom Nachbarn empfangenenNachrichten an.
MsgSent Gibt die Anzahl der an den Nachbarn gesendetenNachrichten an.
TblVer Gibt die letzte Version der BGP-Datenbank an, die anden Nachbarn gesendet wurde.
InQ Gibt die Anzahl der Nachrichten in der Queue an, dievom Nachbar gesendet wurden und verarbeitet werdenmüssen.
OutQ Gibt die Anzahl der Nachrichten in der Queue an, diean den Nachbarn gesendet werden müssen.
400 Copyright © 2018 Sophos Limited
XG Firewall
Up/Down Gibt an, wie lange sich eine BGP-Sitzung insgesamt imeingerichteten Zustand befindet, oder teilt den aktuellenZustand der BGP-Sitzung mit, falls sich diese nicht imeingerichteten Zustand befindet.
State/PfxRcd Gibt den Zustand des Nachbarn und die Anzahl derempfangenen Präfixe an.
Total number of neighbors Gibt die Gesamtzahl der Nachbarn an.
PIM-SM
Schnittstellentabelle Zeigt alle PIM-Schnittstellen und dieNachbarinformationen jeder Schnittstelle an.
Multicast-Routingtabelle Zeigt die Informationen der beigetretenenMulticast-Gruppen an. Diese Informationenumfassen die Quelladresse, die Adresse derMulticast-Gruppe, die Eingangsschnittstelle,von der aus Pakete angenommen werden, dieListe der Ausgangsschnittstellen, an die Paketegesendet werden, PIM-Timer, Flag-Bits usw.
RP SET Zeigt RP Set-Informationen an (Sammlung vonGroup-to-RP-Zuordnungen). Anhand dieserInformationen, die von einem PIM-Routerverwaltet werden, wird der RP für eine Multicast-Gruppe bestimmt.
18.7 Upstream-Proxy
Wenn Ihr Unternehmen mehrere interne Zweigstellen besitzt, kann ein Upstream-Proxy die Anfragenvom internen Netzwerk bündeln, bevor der Datenverkehr an das externe Netzwerk bzw. Internetweitergeleitet wird.
Auf dieser Seite können Sie einen Upstream-Proxy für IPv4/IPv6 konfigurieren.
Übergeordneter IPv4-Proxy
Übergeordneter Proxy Klicken Sie hier, um den übergeordneten Proxyzu aktivieren, wenn der Datenverkehr von einemUpstream-Gateway abgefangen wird.
Wenn die Funktion aktiviert ist, leitet dieAppliance alle HTTP-Anfragen an denübergeordneten Proxy-Server weiter.
Domänenname/IPv4-Adresse Geben Sie einen Domänennamen oder eine IPv4-Adresse für den übergeordneten Proxy ein.
Port Geben Sie die Port-Nummer ein, die für denübergeordneten Proxy verwendet werden soll.
Standard: 3128
Copyright © 2018 Sophos Limited 401
XG Firewall
Benutzername Geben Sie einen Benutzernamen zurAuthentifizierung an.
Kennwort Geben Sie ein Kennwort zur Authentifizierung an.
Klicken Sie auf Übernehmen.
Übergeordneter IPv6-Proxy
Übergeordneter Proxy Klicken Sie hier, um den übergeordneten Proxyzu aktivieren, wenn der Datenverkehr von einemUpstream-Gateway abgefangen wird.
Wenn die Funktion aktiviert ist, leitet dieAppliance alle HTTP-Anfragen an denübergeordneten Proxy weiter.
Domänenname/IPv6-Adresse Geben Sie einen Domänennamen oder eine IPv6-Adresse für den übergeordneten Proxy ein.
Port Geben Sie die Port-Nummer für denübergeordneten Proxy ein.
Standard: 3128
Benutzername Geben Sie einen Benutzernamen zurAuthentifizierung an.
Kennwort Geben Sie ein Kennwort zur Authentifizierung an.
Klicken Sie auf Übernehmen.
18.8 Multicast (PIM-SM)Auf dieser Seite können Sie das PIM verwalten.
Bei Protocol Independent Multicast (PIM) handelt es sich um ein Protokoll zur effizientenWeiterleitung von IP-Paketen an Multicast-Gruppen, die über das Internet verteilt sein können. PIMbietet auf der Appliance Unterstützung für dynamisches Multicast an. Aufgrund der Unterstützung fürdynamisches Multicast kann ein Host einer Multicast-Gruppe auf dynamische Weise beitreten oderdiese verlassen. Auf der Appliance müssen keine Multicast-Routingeinträge manuell hinzugefügtoder gelöscht werden.
HinweisDie Appliance unterstützt PIM Version2 und den PIM-SM-Modus mit der AuswahlmethodeRendezvous-Punkt (RP) als BSR (Bootstrap Router).
PIM-SM-Konfiguration
PIM aktivieren PIM bietet auf der Appliance Unterstützung fürdynamisches Multicast an.
PIM-aktivierte Schnittstelle Wählen Sie die physikalischen Schnittstellen aus,für die PIM aktiviert werden muss. Mindestenseine Schnittstelle muss ausgewählt werden, umPIM zu aktivieren.
402 Copyright © 2018 Sophos Limited
XG Firewall
Hinweis• Nur IPv4-gebundene Schnittstellen
können ausgewählt werden.
• Alias, PPPoE- und Wireless-WAN-Schnittstellen werden nicht unterstützt.
RP-Einstellungen Aktivieren, um statischen RP oder RP-Kandidatzu konfigurieren.
Tabelle 31: Statischer RP
RIP-IP Geben Sie eine Unicast-IP-Adresse für den statischenRP ein. RPs können hinzugefügt oder gelöscht werden.Maximal acht RP-IP-Adressen sind pro RP erlaubt.
Multicast-Gruppe Geben Sie die IP-Adressen oder Netzwerkadressender Multicast-Gruppe getrennt durch Komma an, dieüber den jeweiligen RP bedient werden. Maximal achtMulticast-Gruppenadressen sind je RP erlaubt. Mit *in der Multicast-Gruppenliste werden alle Multicast-Gruppen des definierten RP bedient.
Tabelle 32: RP-Kandidat
IP des RP-Kandidats Wählen Sie die Schnittstellen-IP, die als RP-IPverwendet wird, wenn der Router als RP-Kandidatausgewählt ist.
Multicast-Gruppenliste Geben Sie die IP-Adressen oder Netzwerkadressender Multicast-Gruppe getrennt durch Kommas an,die über den jeweiligen RP bedient werden. Maximalacht Multicast-Gruppen-IP-Adressen/Netzwerke sindzugelassen. Mit * in der Multicast-Gruppenlistewerden alle Multicast-Gruppen des ausgewählten RPbedient.
Priorität des RP-Kandidaten Geben Sie die Priorität des PIM-Routers im RP-Auswahlprozess an. Standard: 1. Zulässiger Bereich: 1bis 255
Timer Geben Sie die Zeit in Sekunden an, nach welcher RP-Kandidatnachrichten erzeugt werden. Standard: 60Sekunden. Zulässiger Bereich: 30 bis 180 Sekunden.
18.9 RIP
Auf dieser Seite können Sie RIP-Routen verwalten. Sie können auf dieser Seite außerdemKonfigurationen für Netzwerke oder Schnittstellen hinzufügen, aktualisieren oder löschen.
Das Routing Information Protocol (RIP) ist ein weit verbreitetes Routing-Protokoll, das die besteRoute zu einem Ziel anhand der Hop-Anzahl bestimmt.
RIP verhindert, dass Routing-Schleifen endlos fortgesetzt werden, indem die Anzahl der zwischenQuelle und Ziel erlaubten Hops begrenzt wird. Es werden maximal 15 Hops unterstützt. Eine Hop-Anzahl von 16 wird als unendliche Distanz und somit als unerreichbar betrachtet.
Copyright © 2018 Sophos Limited 403
XG Firewall
Mithilfe des RIP-Protokolls sendet die Appliance in regelmäßigen Abständen Routing-Update-Meldungen an den nächsten Router. Wenn der nächste Router die Änderungen erhält, pflegt erdiese in die Routing-Tabelle ein und erhöht den Metrikwert des Pfads um 1. Der Sender der Meldungwird als der nächste Hop betrachtet. Die Appliance hält nur jene Route zum Ziel aufrecht, die denniedrigsten Metrikwert hat.
Globale Konfiguration
Standard-Metrik Geben Sie den Wert der Standard-Metrik an, derfür die neu verteilten Routen verwendet werdenkann.
Die Metrik ist eine Eigenschaft, der ein Wertzugeordnet ist. Dieser wird von einem Routing-Protokoll verwendet zu entscheiden, welcheRoute genommen werden soll.
Standard: 1
Zulässiger Bereich: 1 bis 16
Administrative Distanz Geben Sie die administrative Distanz an. DieserWert wird von den Routern verwendet, um diebeste Route zu finden.
Standard: 120
Zulässiger Bereich: 1 bis 255
RIP-Version Wählen Sie, welche RIP-Version für dasVersenden und Empfangen der Updatesverwendet werden soll.
Verfügbare Optionen:
• V2 senden & beide empfangen
• V1
• V2
Timer
Update Geben Sie das Zeitintervall in Sekunden zwischenzwei Routing-Updates an.
Standard: 30 Sekunden
Zulässiger Bereich: 5 bis 2147483647 Sekunden
Zeitüberschreitung Geben Sie die Zeit in Sekunden an, nach welcherdie Route ungültig wird.
Standard: 180 Sekunden
Zulässiger Bereich: 5 bis 2147483647 Sekunden
Speicherbereinigung Geben Sie die Speicherbereinigungszeit an. Diesist die Zeitspanne, die die Appliance eine Routeals unerreichbar bekannt gibt, bevor sie die Routeaus der Routing-Tabelle entfernt.
Standard: 120 Sekunden
Zulässiger Bereich: 5 bis 2147483647 Sekunden
Default-information originate Aktivieren Sie diese Funktion, um die Verteilungder Standardroute zu steuern. Die Funktion
404 Copyright © 2018 Sophos Limited
XG Firewall
erzeugt eine Standardroute in RIP-kompatibleNetzwerke und gibt diese bekannt.
Die Standardeinstellung ist „Deaktiviert“.
Redistribute connected Hiermit aktivieren Sie die Neuverteilung derverbundenen Routen in der RIP-Routing-Tabelle.
Geben Sie die Metrik der neu verteiltenverbundenen Routen an.
Zulässiger Bereich: 0 bis 16
Redistribute static Hiermit aktivieren Sie die Neuverteilung derstatischen Routen in der RIP-Routing-Tabelle.
Geben Sie die Metrik der neu verteilten statischenRouten an.
Zulässiger Bereich: 0 bis 16
OSPF neu verteilen Hiermit aktivieren Sie die Neuverteilung derOSPF-Routen in der RIP-Routing-Tabelle.
Geben Sie die Metrik der neu verteilten OSPF-Routen an.
Zulässiger Bereich: 0 bis 16
BGP neu verteilen Hiermit aktivieren Sie die Neuverteilung der BGP-Routen in der RIP-Routing-Tabelle.
Geben Sie die Metrik der neu verteilten BGP-Routen an.
Zulässiger Bereich: 0 bis 16
Klicken Sie auf Übernehmen.
RIP-Netzwerke
In diesem Abschnitt sehen Sie eine Liste der verfügbaren RIP-Netzwerke sowie die dazugehörigenNetzmasken.
Schnittstellenkonfiguration überschreiben
Sie können die Schnittstellenkonfiguration in diesem Abschnitt verwalten.
18.9.1 RIP-Netzwerk hinzufügen
1. Gehen Sie zu Routing > RIP und klicken Sie auf Hinzufügen im Bereich RIP-Netzwerke.
2. Geben Sie die IPv4-Adresse des Netzwerks ein und wählen Sie eine Subnetzmaske aus der Listeaus.
3. Klicken Sie auf Speichern.
18.9.2 Schnittstellenkonfiguration überschreiben
1. Gehen Sie zu Routing > RIP und klicken Sie unter Schnittstellenkonfiguration überschreibenauf Schnittstelle auswählen.
2. Geben Sie die Daten zur Schnittstellenkonfiguration ein.
Copyright © 2018 Sophos Limited 405
Schnittstelle Wählen Sie die Schnittstelle, derenStandardkonfiguration Sie überschreibenmöchten.
RIP-Version
Senden Wählen Sie, welche RIP-Version/en für dasVersenden der Routing-Updates verwendetwerden soll/en.
Sie können V1 oder V2 oder beide, V1 und V2,auswählen. Die Version in den allgemeinenKonfigurationseinstellungen wird mit derAuswahl überschrieben.
Die Standardeinstellung ist V2.
Empfangen Wählen Sie, welche RIP-Version für dasEmpfangen der Routing-Updates verwendetwerden soll.
Sie können V1 oder V2 oder beide, V1 und V2,auswählen. Die Version in den allgemeinenKonfigurationseinstellungen wird mit derAuswahl überschrieben.
Die Standardeinstellung ist V1 und V2.
Split Horizon Aktivieren, um Routing-Schleifen zu verhindern.
Die Standardeinstellung ist „Deaktiviert“.
Poisoned Reverse (nur anwendbar, wennSplit Horizon aktiviert ist)
Diese Funktion verhindert, dass die AppliancePakete über eine Route versendet, die ungültiggeworden ist.
Die Standardeinstellung ist „Deaktiviert“.
Authentifizierung Anklicken, um die Authentifizierung von RIP-Paketen zu aktivieren.
Bei Aktivierung der Funktion geben Sie einKennwort zur Authentifizierung der RIP-Paketean.
Passiver Modus Aktivieren Sie diese Funktion, um zuverhindern, dass die Schnittstelle RIP-Advertisements versendet.
Die Standardeinstellung ist „Deaktiviert“.
3. Klicken Sie auf Speichern.
Kapitel 19
19 AuthentifizierungSie können Authentifizierung einrichten, indem Sie eine interne Nutzerdatenbank verwenden oder denAuthentifizierungsdienst eines Drittanbieters. Um sich selbst zu authentifizieren, müssen BenutzerZugang zu einem Authentifizierungsclient haben. Den Client können sie jedoch umgehen, indemSie die Benutzer als Clientlose Benutzer hinzufügen. Die Firewall unterstützt auch Zweifaktor-Authentifizierung, transparente Authentifizierung und Gastbenutzer-Zugang über ein Captive-Portal.
Zugehörige KonzepteLive-Benutzer (Seite 16)Live-Benutzer sind Benutzer, die momentan an XG Firewall angemeldet sind.
19.1 ServerExterne Server authentifizieren Benutzer, die versuchen, auf die Firewall und zugehörige Dienstezuzugreifen. Verwenden Sie diese Einstellungen, um Server festzulegen und den Zugriff auf sie zuverwalten.
• Um Active-Directory-Benutzergruppen zu importieren, klicken Sie auf
.
• LDAP-Server
• Active-Directory-Server
• RADIUS-Server
• TACACS-Server
• eDirectory-Server
Zugehörige AufgabenServer hinzufügen (Seite 407)Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einen externen Server fest und gebenSie die Einstellungen ein, um den Zugang zu diesem zu verwalten.
19.1.1 Server hinzufügen
Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einen externen Server fest und gebenSie die Einstellungen ein, um den Zugang zu diesem zu verwalten.
1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie einen Servertyp und legen Sie Einstellungen fest.
• LDAP-Server
• Active-Directory-Server
• RADIUS-Server
• TACACS+ Server
XG Firewall
• eDirectory-Server
4. Klicken Sie auf Verbindung testen, um die Benutzerzugangsdaten zu validieren und dieVerbindung zum Server zu testen.
5. Klicken Sie auf Speichern.
Gehen Sie zu Authentifizierung > Dienste und wählen Sie Server aus, die für die Authentifizierungverwendet werden sollen.
Zugehörige KonzepteServer (Seite 407)Externe Server authentifizieren Benutzer, die versuchen, auf die Firewall und zugehörige Dienstezuzugreifen. Verwenden Sie diese Einstellungen, um Server festzulegen und den Zugriff auf sie zuverwalten.
19.1.2 LDAP-Server
Lightweight Directory Access Protocol ist ein Netzwerkprotokoll, um Anfragen an Verzeichnisdienste zustellen, die auf dem X.500-Standard basieren, und diese zu modifizieren. Die Firewall verwendet dasLDAP-Protokoll, um Benutzer für bestimmte Dienste zu authentifizieren und Zugriff zuzulassen oderzu verweigern, basierend auf Attributen oder Gruppenzugehörigkeiten. Die Firewall unterstützt auchLDAPS/SLDAP (LDAP Secure oder Secure LDAP) over Sockets Layer (SSL) oder Transport LayerSecurity (TLS).
Allgemeine Einstellungen
Server-IP/Domäne Server-IP-Adresse oder -Domäne.
Port Server-Port.
Version LDAP-Version.
Anonyme Anmeldung Anonyme Anfragen an den LDAP-Serverzulassen. Ausschalten und einen Benutzernamenund Kennwort angeben, um einen Benutzer anden Server zu binden.
Benutzername Benutzername für den Server. Muss als einDistinguished Name (DN) in LDAP-Schreibweiseangegeben werden. Z.B., uid=root,cn=user
Kennwort Kennwort für den Server.
Verbindungssicherheit Verbindungssicherheit für den Server.
HinweisVerwendung von Verschlüsselung wirdempfohlen.
• Einfach Benutzer-Zugangsdaten alsunverschlüsselten Klartext senden.
• SSL/TLS Secure Sockets Layer/TransportLayer Security verwenden, um die Verbindungzu verschlüsseln.
408 Copyright © 2018 Sophos Limited
XG Firewall
• STARTTLS Eine unverschlüsselte Verbindunghochstufen, indem sie nach oder währenddem Verbindungsvorgang in SSL/TLSeingebettet wird. Der Standardport wirdverwendet.
Serverzertifikat validieren Wenn eine sichere Verbindung verwendet wird,wird das Zertifikat des externen Servers validiert.
Clientzertifikat Clientzertifikat, das für die Erstellung einersicheren Verbindung verwendet werden soll.
HinweisUm Clientzertifikate zu verwalten, gehen Siezu Zertifikate.
Base-DN Basis-Distinguished-Name (DN) für den Server.Der Basis-DN ist der Ausgangspunkt relativ zumStammverzeichnis der Verzeichnisstruktur, inder die Benutzer festgelegt sind. Muss als einDistinguished Name (DN) in LDAP-Schreibweiseangegeben werden. Z.B., O=Example,OU=RnD.
TippKlicken Sie auf Basis-DN ermitteln, um denBasis-DN aus dem Verzeichnis zu ermitteln.
Authentifizierungsattribut Authentifizierungsattribut für die Suche im LDAP-Verzeichnis. Das Authentifizierungsattributfür Benutzer enthält den Anmeldenamen, dervom Benutzer, zum Beispiel zur Nutzung vonFernzugriffsdiensten, verlangt wird.
Namensattribut anzeigen Name des Servers, der dem Benutzer alsServerbenutzername angezeigt wird.
E-Mail-Adressattribut Alias für die konfigurierte E-Mail-Adresse, derdem Benutzer angezeigt werden soll.
Gruppenname-Attribut Alias für den konfigurierten Gruppennamen, derdem Benutzer angezeigt werden soll.
Ablaufdatum-Attribut Ablaufdatum, das dem Benutzer angezeigt wird.Das Attribut gibt an, wie lange das Benutzerkontogültig ist.
Zugehörige AufgabenLDAP-Server hinzufügen (Seite 410)Lightweight Directory Access Protocol ist ein Netzwerkprotokoll, um Anfragen an Verzeichnisdienste zustellen, die auf dem X.500-Standard basieren, und diese zu modifizieren. Die Firewall verwendet dasLDAP-Protokoll, um Benutzer für bestimmte Dienste zu authentifizieren und Zugriff zuzulassen oderzu verweigern, basierend auf Attributen oder Gruppenzugehörigkeiten. Die Firewall unterstützt auchLDAPS/SLDAP (LDAP Secure oder Secure LDAP) over Sockets Layer (SSL) oder Transport LayerSecurity (TLS). Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einen externen Serverfest und geben Sie die Einstellungen ein, um den Zugang zu diesem zu verwalten.
Copyright © 2018 Sophos Limited 409
XG Firewall
Verwandte InformationenLDAP-Authentifizierung konfigurieren (Seite 459)Sie können bestehende LDAP-Benutzer zur Firewall hinzufügen. Das Hinzufügen von Benutzer zueiner dedizierten Gruppe ermöglicht Ihnen, Richtlinien für diese Benutzer festzulegen. Sie fügen eineGruppe und einen LDAP-Server hinzu und stellen die primäre Authentifizierungsmethode ein.
LDAP-Server hinzufügen
Lightweight Directory Access Protocol ist ein Netzwerkprotokoll, um Anfragen an Verzeichnisdienste zustellen, die auf dem X.500-Standard basieren, und diese zu modifizieren. Die Firewall verwendet dasLDAP-Protokoll, um Benutzer für bestimmte Dienste zu authentifizieren und Zugriff zuzulassen oderzu verweigern, basierend auf Attributen oder Gruppenzugehörigkeiten. Die Firewall unterstützt auchLDAPS/SLDAP (LDAP Secure oder Secure LDAP) over Sockets Layer (SSL) oder Transport LayerSecurity (TLS). Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einen externen Serverfest und geben Sie die Einstellungen ein, um den Zugang zu diesem zu verwalten.
1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
2. Wählen Sie LDAP-Server aus der Liste Servertyp.
3. Geben Sie einen Namen ein.
4. Geben Sie eine IP-Adresse und Port ein.
5. Legen Sie Einstellungen fest.
Option Beschreibung
Version LDAP-Version.
Anonyme Anmeldung Anonyme Anfragen an den LDAP-Server zulassen. Ausschalten und einenBenutzernamen und Kennwort angeben, umeinen Benutzer an den Server zu binden.
Benutzername Benutzername für den Server. Muss alsein Distinguished Name (DN) in LDAP-Schreibweise angegeben werden. Z.B.,uid=root,cn=user
Kennwort Kennwort für den Server.
Verbindungssicherheit Verbindungssicherheit für den Server.
HinweisVerwendung von Verschlüsselung wirdempfohlen.
• Einfach Benutzer-Zugangsdaten alsunverschlüsselten Klartext senden.
• SSL/TLS Secure Sockets Layer/TransportLayer Security verwenden, um dieVerbindung zu verschlüsseln.
• STARTTLS Eine unverschlüsselteVerbindung hochstufen, indem sie nachoder während dem Verbindungsvorgang inSSL/TLS eingebettet wird. Der Standardportwird verwendet.
410 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Serverzertifikat validieren Wenn eine sichere Verbindung verwendetwird, wird das Zertifikat des externen Serversvalidiert.
Clientzertifikat Clientzertifikat, das für die Erstellung einersicheren Verbindung verwendet werden soll.
HinweisUm Clientzertifikate zu verwalten, gehenSie zu Zertifikate.
Base-DN Basis-Distinguished-Name (DN) für den Server.Der Basis-DN ist der Ausgangspunkt relativzum Stammverzeichnis der Verzeichnisstruktur,in der die Benutzer festgelegt sind. Mussals ein Distinguished Name (DN) in LDAP-Schreibweise angegeben werden. Z.B.,O=Example,OU=RnD.
TippKlicken Sie auf Basis-DN ermitteln, umden Basis-DN aus dem Verzeichnis zuermitteln.
Authentifizierungsattribut Authentifizierungsattribut für dieSuche im LDAP-Verzeichnis. DasAuthentifizierungsattribut für Benutzer enthältden Anmeldenamen, der vom Benutzer, zumBeispiel zur Nutzung von Fernzugriffsdiensten,verlangt wird.
Namensattribut anzeigen Name des Servers, der dem Benutzer alsServerbenutzername angezeigt wird.
E-Mail-Adressattribut Alias für die konfigurierte E-Mail-Adresse, derdem Benutzer angezeigt werden soll.
Gruppenname-Attribut Alias für den konfigurierten Gruppennamen, derdem Benutzer angezeigt werden soll.
Ablaufdatum-Attribut Ablaufdatum, das dem Benutzer angezeigtwird. Das Attribut gibt an, wie lange dasBenutzerkonto gültig ist.
6. Klicken Sie auf Verbindung testen, um die Benutzerzugangsdaten zu validieren und dieVerbindung zum Server zu testen.
7. Klicken Sie auf Speichern.
Gehen Sie zu Authentifizierung > Dienste und wählen Sie Server aus, die für die Authentifizierungverwendet werden sollen.
Zugehörige KonzepteLDAP-Server (Seite 408)
Copyright © 2018 Sophos Limited 411
XG Firewall
Lightweight Directory Access Protocol ist ein Netzwerkprotokoll, um Anfragen an Verzeichnisdienste zustellen, die auf dem X.500-Standard basieren, und diese zu modifizieren. Die Firewall verwendet dasLDAP-Protokoll, um Benutzer für bestimmte Dienste zu authentifizieren und Zugriff zuzulassen oderzu verweigern, basierend auf Attributen oder Gruppenzugehörigkeiten. Die Firewall unterstützt auchLDAPS/SLDAP (LDAP Secure oder Secure LDAP) over Sockets Layer (SSL) oder Transport LayerSecurity (TLS).
19.1.3 Active-Directory-Server
Mithilfe von Microsoft Active Directory können Sie die Firewall als eine Windows-Domäne registrierenund ein Objekt für sie auf dem primären Domänencontroller erstellen. Die Firewall kann dann Benutzer-und Ressourceninformationen beim Windows-Domänennetzwerk anfragen.
TippSie können Active-Directory-Benutzergruppen über den Gruppenimport-Assistentenimportieren. Gehen Sie zu Authentifizierung > Server und klicken Sie auf
für den Active-Directory-Server. Wenn ein Benutzer Mitglied in mehr als einer Gruppe ist, werdendie Richtlinien der ersten zutreffenden Gruppe angewendet.
Allgemeine Einstellungen
Server-IP/Domäne Server-IP-Adresse oder -Domäne.
Port Server-Port.
NetBIOS-Domäne NetBIOS-Domäne für den Server.
ADS-Benutzername Benutzername für den Admin-Benutzer desServers.
Kennwort Kennwort für den Admin-Benutzer des Servers.
Verbindungssicherheit Verbindungssicherheit für den Server.
HinweisVerwendung von Verschlüsselung wirdempfohlen.
• Einfach Benutzer-Zugangsdaten alsunverschlüsselten Klartext senden.
• SSL/TLS Secure Sockets Layer/TransportLayer Security verwenden, um die Verbindungzu verschlüsseln.
• STARTTLS Eine unverschlüsselte Verbindunghochstufen, indem sie nach oder währenddem Verbindungsvorgang in SSL/TLSeingebettet wird. Der Standardport wirdverwendet.
Serverzertifikat validieren Wenn eine sichere Verbindung verwendet wird,wird das Zertifikat des externen Servers validiert.
412 Copyright © 2018 Sophos Limited
XG Firewall
Namensattribut anzeigen Name des Servers, der dem Benutzer alsServerbenutzername angezeigt wird.
E-Mail-Adressattribut Alias für die konfigurierte E-Mail-Adresse, derdem Benutzer angezeigt werden soll.
Domänenname Domänenname, für den die Anfrage hinzugefügtwerden soll.
Suchanfragen Anfragen, die auf dem Server ausgeführt werdensollen.
Klicken Sie auf Hinzufügen und erstellen Sieeine LDAP-Anfrage. Weitere Informationenfinden Sie unter LDAP Query Basics und LDAPQuery Examples.
Zugehörige AufgabenActive-Directory-Server hinzufügen (Seite 413)Mithilfe von Microsoft Active Directory können Sie die Firewall als eine Windows-Domäne registrierenund ein Objekt für sie auf dem primären Domänencontroller erstellen. Die Firewall kann dannBenutzer- und Ressourceninformationen beim Windows-Domänennetzwerk anfragen. Wenn Sieeinen Authentifizierungsserver hinzufügen, legen Sie einen externen Server fest und geben Sie dieEinstellungen ein, um den Zugang zu diesem zu verwalten.
Verwandte InformationenActive-Directory-Authentifizierung konfigurieren (Seite 456)Sie können bestehende Active-Directory-Benutzer zur Firewall hinzufügen. Dafür fügen Sie einen AD-Server hinzu, importieren Gruppen und stellen die primäre Authentifizierungsmethode ein.
Active-Directory-Server hinzufügen
Mithilfe von Microsoft Active Directory können Sie die Firewall als eine Windows-Domäne registrierenund ein Objekt für sie auf dem primären Domänencontroller erstellen. Die Firewall kann dannBenutzer- und Ressourceninformationen beim Windows-Domänennetzwerk anfragen. Wenn Sieeinen Authentifizierungsserver hinzufügen, legen Sie einen externen Server fest und geben Sie dieEinstellungen ein, um den Zugang zu diesem zu verwalten.
1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
2. Wählen Sie Active Directory aus der Liste Servertyp.
3. Geben Sie einen Namen ein.
4. Geben Sie eine IP-Adresse und Port ein.
5. Legen Sie Einstellungen fest.
Option Beschreibung
NetBIOS-Domäne NetBIOS-Domäne für den Server.
ADS-Benutzername Benutzername für den Admin-Benutzer desServers.
Kennwort Kennwort für den Admin-Benutzer des Servers.
Verbindungssicherheit Verbindungssicherheit für den Server.
Copyright © 2018 Sophos Limited 413
XG Firewall
Option Beschreibung
HinweisVerwendung von Verschlüsselung wirdempfohlen.
• Einfach Benutzer-Zugangsdaten alsunverschlüsselten Klartext senden.
• SSL/TLS Secure Sockets Layer/TransportLayer Security verwenden, um dieVerbindung zu verschlüsseln.
• STARTTLS Eine unverschlüsselteVerbindung hochstufen, indem sie nachoder während dem Verbindungsvorgang inSSL/TLS eingebettet wird. Der Standardportwird verwendet.
Serverzertifikat validieren Wenn eine sichere Verbindung verwendetwird, wird das Zertifikat des externen Serversvalidiert.
Namensattribut anzeigen Name des Servers, der dem Benutzer alsServerbenutzername angezeigt wird.
E-Mail-Adressattribut Alias für die konfigurierte E-Mail-Adresse, derdem Benutzer angezeigt werden soll.
Domänenname Domänenname, für den die Anfragehinzugefügt werden soll.
Suchanfragen Anfragen, die auf dem Server ausgeführtwerden sollen.
Klicken Sie auf Hinzufügen und erstellen Sieeine LDAP-Anfrage. Weitere Informationenfinden Sie unter LDAP Query Basics undLDAP Query Examples.
6. Klicken Sie auf Verbindung testen, um die Benutzerzugangsdaten zu validieren und dieVerbindung zum Server zu testen.
7. Klicken Sie auf Speichern.
Gehen Sie zu Authentifizierung > Dienste und wählen Sie Server aus, die für die Authentifizierungverwendet werden sollen.
Zugehörige KonzepteActive-Directory-Server (Seite 412)Mithilfe von Microsoft Active Directory können Sie die Firewall als eine Windows-Domäne registrierenund ein Objekt für sie auf dem primären Domänencontroller erstellen. Die Firewall kann dann Benutzer-und Ressourceninformationen beim Windows-Domänennetzwerk anfragen.
19.1.4 RADIUS-Server
Remote Authentication Dial In User Service ist ein Protokoll, mit dem Netzwerkgeräte, wie z.B. Router,Benutzer mithilfe einer Datenbank authentifizieren können. Kennwörter werden mithilfe des RADIUS-
414 Copyright © 2018 Sophos Limited
XG Firewall
Schlüssels (secret) verschlüsselt. Die Autorisierung, um auf einen Dienst zuzugreifen, wird gewährt,wenn eine Anfrage mit einer Gruppe von Attributen übereinstimmt, wie z.B. die IP-Adresse desanfragenden Clients. Authentifizierungs- und Autorisierungsinformationen werden in Benutzerprofilengespeichert. RADIUS unterstützt auch Accounting, das üblicherweise für die Abrechnung undstatistische Zwecke verwendet wird.
Allgemeine Einstellungen
Server-IP IP-Adresse des Servers.
Authentifizierungsport Port, der für die Authentifizierung verwendetwerden soll. Der Standardwert ist 1812.
Accounting aktivieren Aktivieren Sie Accounting auf dem RADIUS-Server.
Die Firewall sendet eine Accounting-Start-Anfrage und die Zeit an den Server, wenn sichder Benutzer anmeldet, und eine Accounting-Ende-Anfrage und die Zeit, wenn sich derBenutzer abmeldet. Unterstützte Client-Typen:Windows-Client, HTTP-Client, Linux-Client,Android, iOS, iOS HTTP-Client, Android HTTP-Client, API-Client.
HinweisDie Accounting-Ende-Meldung wird nichtan den Server gesendet, wenn die Firewallherunterfährt oder neu startet.
Accountingport Portnummer, die für den Versand der Accounting-Informationen von der Firewall and den RADIUS-Server verwendet werden soll. Der Standardwertist 1813.
Vereinbarter Schlüssel Textzeichenfolge, die als Kennwort zwischen demClient und dem Server dient.
Gruppenname-Attribut Alias für den konfigurierten Gruppennamen, derdem Benutzer angezeigt werden soll.
NAS-Kennung Zeichenfolge, die den NAS identifiziert, der ausdem Access-Request stammt, z.B. Ein FQDN.
NAS-Porttyp Typ des physikalische Ports des NAS, welcherden Benutzer authentifiziert.
Zugehörige AufgabenRADIUS-Server hinzufügen (Seite 416)Remote Authentication Dial In User Service ist ein Protokoll, mit dem Netzwerkgeräte, wie z.B. Router,Benutzer mithilfe einer Datenbank authentifizieren können. Kennwörter werden mithilfe des RADIUS-Schlüssels (secret) verschlüsselt. Die Autorisierung, um auf einen Dienst zuzugreifen, wird gewährt,wenn eine Anfrage mit einer Gruppe von Attributen übereinstimmt, wie z.B. die IP-Adresse desanfragenden Clients. Authentifizierungs- und Autorisierungsinformationen werden in Benutzerprofilengespeichert. RADIUS unterstützt auch Accounting, das üblicherweise für die Abrechnung undstatistische Zwecke verwendet wird. Wenn Sie einen Authentifizierungsserver hinzufügen, legen
Copyright © 2018 Sophos Limited 415
XG Firewall
Sie einen externen Server fest und geben Sie die Einstellungen ein, um den Zugang zu diesem zuverwalten.
Verwandte InformationenRADIUS-Authentifizierung konfigurieren (Seite 461)Sie können bestehende RADIUS-Benutzer zur Firewall hinzufügen. Dafür fügen Sie einen RADIUS-Server hinzu und stellen die primäre Authentifizierungsmethode ein.
RADIUS-Server hinzufügen
Remote Authentication Dial In User Service ist ein Protokoll, mit dem Netzwerkgeräte, wie z.B. Router,Benutzer mithilfe einer Datenbank authentifizieren können. Kennwörter werden mithilfe des RADIUS-Schlüssels (secret) verschlüsselt. Die Autorisierung, um auf einen Dienst zuzugreifen, wird gewährt,wenn eine Anfrage mit einer Gruppe von Attributen übereinstimmt, wie z.B. die IP-Adresse desanfragenden Clients. Authentifizierungs- und Autorisierungsinformationen werden in Benutzerprofilengespeichert. RADIUS unterstützt auch Accounting, das üblicherweise für die Abrechnung undstatistische Zwecke verwendet wird. Wenn Sie einen Authentifizierungsserver hinzufügen, legenSie einen externen Server fest und geben Sie die Einstellungen ein, um den Zugang zu diesem zuverwalten.
1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
2. Wählen Sie RADIUS-Server aus der Liste Servertyp.
3. Geben Sie einen Namen ein.
4. Geben Sie eine IP-Adresse ein.
5. Legen Sie Einstellungen fest.
Option Beschreibung
Authentifizierungsport Port, der für die Authentifizierung verwendetwerden soll. Der Standardwert ist 1812
Accounting aktivieren Aktivieren Sie Accounting auf dem RADIUS-Server.
Die Firewall sendet eine Accounting-Start-Anfrage und die Zeit an den Server, wenn sichder Benutzer anmeldet, und eine Accounting-Ende-Anfrage und die Zeit, wenn sich derBenutzer abmeldet. Unterstützte Client-Typen:Windows-Client, HTTP-Client, Linux-Client,Android, iOS, iOS HTTP-Client, AndroidHTTP-Client, API-Client.
HinweisDie Accounting-Ende-Meldung wird nichtan den Server gesendet, wenn die Firewallherunterfährt oder neu startet.
Accountingport Portnummer, die für den Versand derAccounting-Informationen von der Firewall andden RADIUS-Server verwendet werden soll.Der Standardwert ist 1813
Vereinbarter Schlüssel Textzeichenfolge, die als Kennwort zwischendem Client und dem Server dient.
416 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Gruppenname-Attribut Alias für den konfigurierten Gruppennamen, derdem Benutzer angezeigt werden soll.
6. Optional: Klicken Sie auf Zusätzliche Einstellungen zulassen und legen Sie die Einstellungenfest.
Option Beschreibung
NAS-Kennung Zeichenfolge, die den NAS identifiziert, der ausdem Access-Request stammt, z.B. Ein FQDN.
NAS-Porttyp Typ des physikalische Ports des NAS, welcherden Benutzer authentifiziert.
7. Klicken Sie auf Verbindung testen, um die Benutzerzugangsdaten zu validieren und dieVerbindung zum Server zu testen.
8. Klicken Sie auf Speichern.
Gehen Sie zu Authentifizierung > Dienste und wählen Sie Server aus, die für die Authentifizierungverwendet werden sollen.
Zugehörige KonzepteRADIUS-Server (Seite 414)Remote Authentication Dial In User Service ist ein Protokoll, mit dem Netzwerkgeräte, wie z.B. Router,Benutzer mithilfe einer Datenbank authentifizieren können. Kennwörter werden mithilfe des RADIUS-Schlüssels (secret) verschlüsselt. Die Autorisierung, um auf einen Dienst zuzugreifen, wird gewährt,wenn eine Anfrage mit einer Gruppe von Attributen übereinstimmt, wie z.B. die IP-Adresse desanfragenden Clients. Authentifizierungs- und Autorisierungsinformationen werden in Benutzerprofilengespeichert. RADIUS unterstützt auch Accounting, das üblicherweise für die Abrechnung undstatistische Zwecke verwendet wird.
19.1.5 TACACS+ Server
Terminal Access Controller Access Control System ist ein proprietäres Protokoll von Cisco Systems,Es bietet detaillierte Accounting-Informationen und administrative Steuerung der Authentifizierungs-und Autorisierungsprozesse.
Allgemeine Einstellungen
Server-IPv4 IPv4-Adresse des Servers.
Port Server-Port.
Vereinbarter Schlüssel Textzeichenfolge, die als Kennwort zwischen demClient und dem Server dient.
Zugehörige AufgabenTACACS+ Server hinzufügen (Seite 418)Terminal Access Controller Access Control System ist ein proprietäres Protokoll von Cisco Systems,Es bietet detaillierte Accounting-Informationen und administrative Steuerung der Authentifizierungs-und Autorisierungsprozesse. Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einenexternen Server fest und geben Sie die Einstellungen ein, um den Zugang zu diesem zu verwalten.
Copyright © 2018 Sophos Limited 417
XG Firewall
TACACS+ Server hinzufügen
Terminal Access Controller Access Control System ist ein proprietäres Protokoll von Cisco Systems,Es bietet detaillierte Accounting-Informationen und administrative Steuerung der Authentifizierungs-und Autorisierungsprozesse. Wenn Sie einen Authentifizierungsserver hinzufügen, legen Sie einenexternen Server fest und geben Sie die Einstellungen ein, um den Zugang zu diesem zu verwalten.
1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
2. Wählen Sie Servertyp aus der Liste TACACS+ Server.
3. Geben Sie einen Namen ein.
4. Geben Sie eine IP-Adresse und Port ein.
5. Legen Sie Einstellungen fest.
Option Beschreibung
Vereinbarter Schlüssel Textzeichenfolge, die als Kennwort zwischendem Client und dem Server dient.
6. Klicken Sie auf Verbindung testen, um die Benutzerzugangsdaten zu validieren und dieVerbindung zum Server zu testen.
7. Klicken Sie auf Speichern.
Gehen Sie zu Authentifizierung > Dienste und wählen Sie Server aus, die für die Authentifizierungverwendet werden sollen.
Zugehörige KonzepteTACACS+ Server (Seite 417)Terminal Access Controller Access Control System ist ein proprietäres Protokoll von Cisco Systems,Es bietet detaillierte Accounting-Informationen und administrative Steuerung der Authentifizierungs-und Autorisierungsprozesse.
19.1.6 eDirectory-Server
Novell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur Verwaltung von Zugriffsrechten aufRessourcen auf mehreren Servern und Geräten in einem Netzwerk.
Allgemeine Einstellungen
Server-IP/Domäne Server-IP-Adresse oder -Domäne.
Port Server-Port.
Bind-DN DN, der für die Authentifizierung verwendetwerden soll.Muss als ein Distinguished Name(DN) in LDAP-Schreibweise angegeben werden.
Kennwort Kennwort für den Server.
Verbindungssicherheit Verbindungssicherheit für den Server.
418 Copyright © 2018 Sophos Limited
XG Firewall
HinweisVerwendung von Verschlüsselung wirdempfohlen.
• Einfach Benutzer-Zugangsdaten alsunverschlüsselten Klartext senden.
• SSL/TLS Secure Sockets Layer/TransportLayer Security verwenden, um die Verbindungzu verschlüsseln.
• STARTTLS Eine unverschlüsselte Verbindunghochstufen, indem sie nach oder währenddem Verbindungsvorgang in SSL/TLSeingebettet wird. Der Standardport wirdverwendet.
Serverzertifikat validieren Wenn eine sichere Verbindung verwendet wird,wird das Zertifikat des externen Servers validiert.
Clientzertifikat Clientzertifikat, das für die Erstellung einersicheren Verbindung verwendet werden soll.
HinweisUm Clientzertifikate zu verwalten, gehen Siezu Zertifikate.
Base-DN Basis-Distinguished-Name (DN) für den Server.Der Basis-DN ist der Ausgangspunkt relativ zumStammverzeichnis der Verzeichnisstruktur, inder die Benutzer festgelegt sind. Muss als einDistinguished Name (DN) in LDAP-Schreibweiseangegeben werden. Z.B., O=Example,OU=RnD.
TippKlicken Sie auf Basis-DN ermitteln, um denBasis-DN aus dem Verzeichnis zu ermitteln.
Zugehörige AufgabeneDirectory-Server hinzufügen (Seite 419)Novell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur Verwaltung von Zugriffsrechtenauf Ressourcen auf mehreren Servern und Geräten in einem Netzwerk. Wenn Sie einenAuthentifizierungsserver hinzufügen, legen Sie einen externen Server fest und geben Sie dieEinstellungen ein, um den Zugang zu diesem zu verwalten.
eDirectory-Server hinzufügen
Novell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur Verwaltung von Zugriffsrechtenauf Ressourcen auf mehreren Servern und Geräten in einem Netzwerk. Wenn Sie einenAuthentifizierungsserver hinzufügen, legen Sie einen externen Server fest und geben Sie dieEinstellungen ein, um den Zugang zu diesem zu verwalten.
Copyright © 2018 Sophos Limited 419
XG Firewall
1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
2. Wählen Sie eDirectory aus der Liste Servertyp.
3. Geben Sie einen Namen ein.
4. Geben Sie eine IP-Adresse und Port ein.
5. Legen Sie Einstellungen fest.
Option Beschreibung
Bind-DN DN, der für die Authentifizierung verwendetwerden soll. Muss als ein Distinguished Name(DN) in LDAP-Schreibweise angegebenwerden.
Kennwort Kennwort für den Server.
Verbindungssicherheit Verbindungssicherheit für den Server.
HinweisVerwendung von Verschlüsselung wirdempfohlen.
• Einfach Benutzer-Zugangsdaten alsunverschlüsselten Klartext senden.
• SSL/TLS Secure Sockets Layer/TransportLayer Security verwenden, um dieVerbindung zu verschlüsseln.
• STARTTLS Eine unverschlüsselteVerbindung hochstufen, indem sie nachoder während dem Verbindungsvorgang inSSL/TLS eingebettet wird. Der Standardportwird verwendet.
Serverzertifikat validieren Wenn eine sichere Verbindung verwendetwird, wird das Zertifikat des externen Serversvalidiert.
Clientzertifikat Clientzertifikat, das für die Erstellung einersicheren Verbindung verwendet werden soll.
HinweisUm Clientzertifikate zu verwalten, gehenSie zu Zertifikate.
Base-DN Basis-Distinguished-Name (DN) für den Server.Der Basis-DN ist der Ausgangspunkt relativzum Stammverzeichnis der Verzeichnisstruktur,in der die Benutzer festgelegt sind. Mussals ein Distinguished Name (DN) in LDAP-Schreibweise angegeben werden. Z.B.,O=Example,OU=RnD.
420 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
TippKlicken Sie auf Basis-DN ermitteln, umden Basis-DN aus dem Verzeichnis zuermitteln.
6. Klicken Sie auf Verbindung testen, um die Benutzerzugangsdaten zu validieren und dieVerbindung zum Server zu testen.
7. Klicken Sie auf Speichern.
Gehen Sie zu Authentifizierung > Dienste und wählen Sie Server aus, die für die Authentifizierungverwendet werden sollen.
Zugehörige KonzepteeDirectory-Server (Seite 418)Novell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur Verwaltung von Zugriffsrechten aufRessourcen auf mehreren Servern und Geräten in einem Netzwerk.
19.2 DiensteWählen Sie die Authentifizierungsserver für die Firewall und andere Dienste wie VPN aus. Sie könnenauch globale Authentifizierungseinstellungen, NTLM-Einstellungen, Webclient-Einstellungen undRADIUS Single-Sign-On-Einstellungen konfigurieren. Maßnahmen für Internetrichtlinien erlauben Ihnenfestzulegen, wohin unauthentifizierte Benutzer geleitet werden.
Firewall-Authentifizierungsmethoden
Authentifizierungsserver, der für Firewall-Verbindungen verwendet werden soll.
Authentifizierungsserverliste Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver Server, der für die Authentifizierung verwendetwerden soll. Um Benutzer für diesen Dienstzu authentifizieren, müssen Sie mindestenseinen Server auswählen. Sie können einenexternen Server oder die lokale Datenbankangeben, das heißt, die Benutzer und Gruppen,die Sie auf der Firewall konfiguriert haben. Wennmehr als ein Server ausgewählt ist, wird dieAuthentifizierungsanfrage in der angegebenenReihenfolge weitergeleitet.
Standardgruppe Gruppe, die für Benutzer verwendet werden soll,die sich authentifizieren, aber nicht in der Firewallkonfiguriert sind. Benutzer, die nicht Teil einerlokalen Gruppe sind, werden der Standardgruppezugewiesen.
Copyright © 2018 Sophos Limited 421
XG Firewall
VPN-Authentifizierungsmethoden
Authentifizierungsserver, der für VPN-Verbindungen verwendet werden soll.
Die gleichen Authentifizierungsmethodenverwenden wie für die Firewall
Ziehen Sie alle Authentifizierungsserver, die fürden Firewallverkehr eingerichtet sind, auch für dieAuthentifizierung von VPN-Datenverkehr heran.
Authentifizierungsserverliste Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver Server, der für die Authentifizierung verwendetwerden soll. Um Benutzer für diesen Dienstzu authentifizieren, müssen Sie mindestenseinen Server auswählen. Sie können einenexternen Server oder die lokale Datenbankangeben, das heißt, die Benutzer und Gruppen,die Sie auf der Firewall konfiguriert haben. Wennmehr als ein Server ausgewählt ist, wird dieAuthentifizierungsanfrage in der angegebenenReihenfolge weitergeleitet. Wenn Sie einenRADIUS-Server auswählen, können PPTP- undL2TP-Verbindungen, die mithilfe von MSCHAPv2-oder CHAP- aufgebaut wurden, über RADIUSauthentifiziert werden.
Administrator-Authentifizierungsmethoden
Server, der für die Authentifizierung von Administrator-Benutzern verwendet werden soll.
HinweisAdministrator-Authentifizierungseinstellungen betreffen nicht den Super-Administrator.
Die gleichen Authentifizierungsmethodenverwenden wie für die Firewall
Ziehen Sie alle Authentifizierungsserver, die fürden Firewallverkehr eingerichtet sind, auch für dieAuthentifizierung von Administratoren heran.
Authentifizierungsserverliste Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver Server, der für die Authentifizierung verwendetwerden soll. Um Benutzer für diesen Dienstzu authentifizieren, müssen Sie mindestenseinen Server auswählen. Sie können einenexternen Server oder die lokale Datenbankangeben, das heißt, die Benutzer und Gruppen,die Sie auf der Firewall konfiguriert haben. Wennmehr als ein Server ausgewählt ist, wird dieAuthentifizierungsanfrage in der angegebenenReihenfolge weitergeleitet.
SSL-VPN-Authentifizierungsmethoden
Authentifizierungsserver, der für SSL-VPN-Verbindungen verwendet werden soll.
422 Copyright © 2018 Sophos Limited
XG Firewall
Dieselbe wie für VPN Verwenden Sie dieselbeAuthentifizierungsmethode wie für den VPN-Verkehr.
Dieselbe wie für die Firewall Verwenden Sie dieselbeAuthentifizierungsmethode wie für denFirewallverkehr.
Authentifizierungsserverliste Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver Server, der für die Authentifizierung verwendetwerden soll. Um Benutzer für diesen Dienstzu authentifizieren, müssen Sie mindestenseinen Server auswählen. Sie können einenexternen Server oder die lokale Datenbankangeben, das heißt, die Benutzer und Gruppen,die Sie auf der Firewall konfiguriert haben. Wennmehr als ein Server ausgewählt ist, wird dieAuthentifizierungsanfrage in der angegebenenReihenfolge weitergeleitet.
Allgemeine Einstellungen
Maximale Sitzungszeitüberschreitung Maximale Sitzungsdauer für Benutzer, die sicherfolgreich an einem Dienst angemeldet haben.Sobald die Zeit abgelaufen ist, wird der Benutzerabgemeldet.
Die Firewall überprüft die Autorisierungalle drei Minuten. Mögliche Gründe,die die Sitzungsdauer begrenzen, sindZugriffsrichtlinien, Surfkontingente,Datentransferbeschränkungen und diemaximale Sitzungsdauer.
Diese Einstellung betrifft nur administrativeSitzungen.
Gleichzeitige Anmeldungen Maximale Anzahl an gleichzeitigen Sitzungen, dieBenutzern gestattet ist.
HinweisDiese Beschränkung betrifft nur Benutzer,die hinzugefügt wurden, nachdem Sie diesenWert eingestellt haben.
NTLM-Einstellungen
Einstellungen für Windows Challenge/Response, die für Active-Directory-Authentifizierungverwendet wird.
Inaktivitätsdauer Inaktivitätsdauer, nach der der Benutzerabgemeldet wird.
Copyright © 2018 Sophos Limited 423
XG Firewall
Mindestdatendurchsatz Minimale Datenmenge, die während derInaktivitätsdauer übertragen werden soll. Wirddas Mindestdatenvolumen nicht innerhalb desfestgelegten Zeitraums übertragen, wird derBenutzer als inaktiv markiert.
HTTP-Challenge-Umleitung auf Intranetzone Wenn eine im Internet gehostete Seite die NTLM-Web-Proxy-Challenge zur Authentifizierungbeginnt, leitet die Appliance die NTLM-Authentifizierungs-Challenge in die Intranetzoneum. Der Client wird transparent über die lokaleSchnittstellen-IP der Appliance authentifiziertund die Benutzerdaten werden nur im Intranetausgetauscht. Die Benutzerdaten bleibengeschützt. Wenn diese Einstellung ausgeschaltetist, wird der Client vom Browser über dieAppliance transparent authentifiziert, indemdie Benutzerdaten über das Internet gesendetwerden.
Webclient-Einstellungen
Einstellungen für iOS, Android und API.
Inaktivitätsdauer Inaktivitätsdauer, nach der der Benutzerabgemeldet wird.
Mindestdatendurchsatz Minimale Datenmenge, die während derInaktivitätsdauer übertragen werden soll. Wirddas Mindestdatenvolumen nicht innerhalb desfestgelegten Zeitraums übertragen, wird derBenutzer als inaktiv markiert.
SSO mit RADIUS-Accounting-Anfrage
Einstellungen für RADIUS Single Sign-On. Die Firewall kann Benutzer, die bereits an einemRADIUS-Server authentifiziert wurden, transparent authentifizieren.
RADIUS-Client IPv4 IPv4-Adresse des RADIUS-Clients. Für SSOwerden nur Anfragen für die angegebene IP-Adresse berücksichtigt.
Vereinbarter Schlüssel Textzeichenfolge, die als Kennwort zwischen demClient und dem Server dient.
Chromebook SSO
Einstellungen für Chromebook Single Sign-On. Die Firewall kann Benutzer, die bereits an einemChromebook wurden, transparent authentifizieren. Um Chromebook SSO-Authentifizierungeinzurichten, folgen Sie den Anweisungen in Chromebook Single Sign-On konfigurieren (Seite469).
Domäne Der Domänenname, der bei G Suite registriert ist.
424 Copyright © 2018 Sophos Limited
XG Firewall
Port Die Portnummer, mit der sich Chromebooks ausdem LAN or WLAN heraus verbinden.
Zertifikat Das Zertifikat, das für die Kommunikationmit den Chromebooks verwendet wird.Der Zertifikat-CN muss mit der Zone oderdem Netzwerk übereinstimmen, wo sichdie Chromebook-Benutzer befinden, z.B.gateway.example.com.
Protokollierungsstufe Wählen Sie den Umfang der Protokollierung.
Internetrichtlinien-Maßnahmen für nicht authentifizierte Benutzer
Legen Sie Einstellungen für unauthentifizierte Benutzer im Benutzerportal fest.
Nicht authentifizierte Benutzer zum Anmeldenauffordern
Leiten Sie die Zugriffsanfrage eines nichtauthentifizierten Benutzers entweder aufdas Captive-Portal um oder auf die Seitemit selbstdefinierter Nachricht. Wenn dieseEinstellung ausgeschaltet ist, wird der Verkehrvon unauthentifizierten Benutzern verworfen.
Anmeldeaufforderungsmethode Methode, mit der unauthentifizierte Benutzerumgeleitet werden sollen.
Captive-Portal verwendet HTTPS Sicheren Zugriff auf das Captive-Portal durch denEinsatz von HTTPS bieten.
Link zum Benutzerportal zur Verfügung stellen Einen Link zum vollständigen Benutzerportal aufder Captive-Portal-Seite bereitstellen.
Nach der Anmeldung zu einer URL weiterleiten Den Benutzer nach erfolgter Anmeldung auf dievom Benutzer angefragte Seite umleiten oder zueiner selbstdefinierten Seite.
Nach Anmeldung Captive-Portal beibehalten Captive-Portal minimieren, sobald der Benutzerauthentifiziert ist.
Keep Alive verwenden, um die Sitzung desBenutzers aufrecht zu erhalten
Keep-Alive-Nachrichten verwenden, um dieBenutzerverbindung zum Captive-Portal zuerhalten. Wenn die Firewall keine Antworterhält vom Benutzer erhält, wird der Benutzerautomatisch abgemeldet.
TippDiese Einstellung ausschalten, wennmehrere gleichzeitige Benutzer vorhandensind.
Benutzerinaktivitätszeitüberschreitung Inaktivitätsdauer, nach der der Benutzerabgemeldet wird.
Mindestdatendurchsatz Minimale Datenmenge, die während derInaktivitätsdauer übertragen werden soll. Wirddas Mindestdatenvolumen nicht innerhalb des
Copyright © 2018 Sophos Limited 425
XG Firewall
festgelegten Zeitraums übertragen, wird derBenutzer als inaktiv markiert.
Selbstdefinierte Nachrichtenoptionen
Bild Seitenkopf Bild, das in der Kopfzeile der selbstdefiniertenNachrichtenseite angezeigt werden soll.Unterstützte Formate:JPG, PNG und GIF.
Bild Fußzeile Bild, das in der Fußzeile der eigenenNachrichtenseite angezeigt werden soll.Unterstützte Formate:JPG, PNG und GIF.
Eigene Nachricht Anzuzeigende Nachricht.
Verwandte InformationenChromebook Single Sign-On konfigurieren (Seite 469)Lernen Sie, wie Sie XG Firewall konfigurieren, um Chromebook-Benutzer an XG Firewall zur gleichenZeit anzumelden, wenn diese sich an ihrem Chromebook anmelden.
19.3 GruppenGruppen enthalten Richtlinien und Einstellungen, die Sie als eine Einheit verwalten können. MitGruppen können Sie die Richtlinienverwaltung für Benutzer vereinfachen. Sie wollen zum Beispielvielleicht Einstellungen gruppieren, die ein bestimmtes Surfkontingent festlegen und die Zugriffszeit fürGastbenutzer einschränken.
• Um die Liste der Mitglieder einer Gruppe zu sehen, klicken Sie auf
und klicken Sie dann auf Gruppenmitglieder anzeigen.
• Um Mitglieder zu einer Gruppe hinzufügen, klicken Sie auf
und klicken Sie dann auf Mitglieder hinzufügen.
Zugehörige AufgabenGruppe hinzufügen (Seite 426)
19.3.1 Gruppe hinzufügen
1. Gehen Sie zu Authentifizierung > Gruppen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Wählen Sie einen Typ aus.
Option Beschreibung
Normal Benutzer müssen sich mithilfe eines Geräts mitinstalliertem Client anmelden.
426 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Clientlos Benutzer benötigen keinen Client, um sichanzumelden. Die Zugriffskontrolle wird über dieIP-Adresse durchgeführt.
4. Wählen Sie Richtlinien aus.
HinweisRichtlinien, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
Option Beschreibung
Surfkontingent Zugriff basierend auf einem festgelegtenZeitraum und Art. Diese Richtlinie kann eineZyklusart, Dauer, Gültigkeit und Höchstdauerenthalten.
Zugriffszeit Zugriff gewähren oder verweigern basierend aufeinem wiederkehrenden Zeitraum.
Netzwerkverkehr Zugriff basierend auf Bandbreitennutzung.
Traffic Shaping Zugriff basierend auf QoS-Traffic-Shaping-Richtlinie. Diese Richtlinie kann eine Richtlinien-Zuordnung, Priorität und spezifische Upload-und Downloadgrenzen enthalten.
Fernzugriff Zugriff, der Remote-Benutzer über VPN betrifft.
Clientlos Zugriff, der Benutzern gewährt wird, die nureinen Browser als Client verwenden. DieseRichtlinie kann Lesezeichen oder Ressourcenenthalten, die clientlose Benutzer verwendendürfen.
5. Legen Sie Einstellungen fest.
HinweisEinstellungen, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
Option Beschreibung
Quarantäne-Auszug Senden Sie eine Liste der isolierten E-Mail-Nachrichten als Quarantäne-Auszug.
MAC-Bindung Benutzer müssen sich über festgelegte Geräteanmelden.
L2TP Zugriff über L2TP-Verbindungen zulassen.
PPTP Zugang über PPTP-Verbindungen anbieten.
Anmeldebeschränkung Zugriff von den festgelegten Knoten zulassen.Sie können keine Beschränkung (beliebigerKnoten), benannte Knoten oder einenKnotenbereich festlegen.
Copyright © 2018 Sophos Limited 427
XG Firewall
6. Klicken Sie auf Speichern.
Zugehörige KonzepteZugriffszeit (Seite 491)Über die Zugriffszeit können Sie den Internetzugriff für Benutzer, Gruppen und Gastbenutzersteuern. Sie können den Zugriff aufs Internet zulassen oder verweigern basierend auf festgelegtenZeitspannen. Die Firewall verfügt über einige übliche Standardrichtlinien.
Netzwerkdatenkontingente (Seite 494)Mit Netzwerkdatenkontingent-Richtlinien können Sie Datentransfer von Benutzer und Gruppensteuern. Sie können Kontingente für den gesamten Datentransfer festlegen oder individuell fürUpload und Download. Kontingente können zyklisch oder nicht zyklisch sein. Zyklische Richtlinienkönnen Kontingente für den Zyklus und für die Höchstverkehr haben. Die Firewall verfügt über einigeüblicherweise eingesetzte Standardkontingente.
Gruppen (Seite 426)Gruppen enthalten Richtlinien und Einstellungen, die Sie als eine Einheit verwalten können. MitGruppen können Sie die Richtlinienverwaltung für Benutzer vereinfachen. Sie wollen zum Beispielvielleicht Einstellungen gruppieren, die ein bestimmtes Surfkontingent festlegen und die Zugriffszeit fürGastbenutzer einschränken.
19.3.2 Gruppeninformationen
Gruppen enthalten Richtlinien und Einstellungen, die Sie als eine Einheit verwalten können. MitGruppen können Sie die Richtlinienverwaltung für Benutzer vereinfachen.
Richtlinien
HinweisRichtlinien, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
Surfkontingent Zugriff basierend auf einem festgelegten Zeitraumund Art. Diese Richtlinie kann eine Zyklusart,Dauer, Gültigkeit und Höchstdauer enthalten.
Zugriffszeit Zugriff gewähren oder verweigern basierend aufeinem wiederkehrenden Zeitraum.
Netzwerkverkehr Zugriff basierend auf Bandbreitennutzung.
Traffic Shaping Zugriff basierend auf QoS-Traffic-Shaping-Richtlinie. Diese Richtlinie kann eine Richtlinien-Zuordnung, Priorität und spezifische Upload- undDownloadgrenzen enthalten.
Fernzugriff Zugriff, der Remote-Benutzer über VPN betrifft.
Clientlos Zugriff, der Benutzern gewährt wird, die nur einenBrowser als Client verwenden. Diese Richtliniekann Lesezeichen oder Ressourcen enthalten, dieclientlose Benutzer verwenden dürfen.
428 Copyright © 2018 Sophos Limited
XG Firewall
Einstellungen
HinweisEinstellungen, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
Quarantäne-Auszug Senden Sie eine Liste der isolierten E-Mail-Nachrichten als Quarantäne-Auszug.
MAC-Bindung Benutzer müssen sich über die festgelegtenGeräte anmelden.
L2TP Zugriff über L2TP zulassen. Legen Sie optionaleine IP-Adresse fest, die dem Benutzer für L2TP-Zugriff zugewiesen wird.
PPTP Zugriff über PPTP zulassen. Legen Sie optionaleine IP-Adresse, die dem Benutzer für PPTP-Zugriff zugewiesen wird.
Anmeldebeschränkung Zugriff von den festgelegten Knoten zulassen. Siekönnen keine Beschränkung (beliebiger Knoten),benannte Knoten oder einen Knotenbereichfestlegen.
19.4 BenutzerDie Firewall unterscheidet zwischen Endbenutzern, die sich von hinter der Firewall mit dem Internetverbinden, und Administratoren, die Zugriff auf Firewall-Objekte und -Einstellungen haben. Sie könnenBenutzereinträge für die Verwendung bei der Authentifizierung hinzufügen oder importieren. Wenn Sieeinen Benutzer hinzufügen (registrieren), legen Sie den Benutzertyp fest und verknüpfen den Eintragmit einer Gruppe. Der Benutzer erbt die in der Gruppe festgelegten Richtlinien, aber die Richtlinien desBenutzers selbst überschreiben die Gruppeneinstellungen.
• Um Benutzer in Form von durch Komma getrennten Werten (CSV-Format) zu importieren, klickenSie auf Importieren.
• Um Benutzer im CSV-Format zu exportieren, klicken Sie auf Exportieren.
• Um den Benutzerstatus von aktiv zu inaktiv (und andersherum) zu ändern, wählen Sie einenBenutzer aus und klicken Sie auf Status ändern.
• Um Active-Directory-Benutzer zu entfernen, die sich nicht in der Domäne befinden, klicken Sie aufAD-Benutzer bereinigen.
HinweisWenn Hochverfügbarkeit konfiguriert ist, werden die Benutzer sowohl vom primären alsauch vom sekundären Gerät gelöscht. Die An- oder Abmeldung von Benutzern bzw.Accountingvorgänge werden durch die Bereinigung nicht unterbrochen.
Zugehörige AufgabenBenutzer registrieren (Seite 430)
Copyright © 2018 Sophos Limited 429
XG Firewall
Benutzer importieren (Seite 432)Anstatt Benutzer einzeln zu erstellen, können Sie eine Datei mit durch Komma getrennten Werten(CSV) hochladen. Die CSV-Datei muss den Formatierungsanforderungen entsprechen.
19.4.1 Benutzer registrieren
1. Gehen Sie zu Authentifizierung > Benutzer und klicken Sie auf Hinzufügen.
2. Geben Sie einen Benutzernamen ein, der für die Authentifizierung verwendet werden soll.
3. Geben Sie einen Namen ein.
HinweisDies ist der Benutzereintragsname, nicht der Benutzername.
4. Geben Sie ein Kennwort ein, das für die Authentifizierung verwendet werden soll.
5. Wählen Sie einen Typ aus.
Option Beschreibung
Benutzer Endbenutzer, die sich hinter der Firewallbefinden und sich mit dem Internet verbinden.
Administrator Benutzer, die Zugriff auf Firewallobjekte undEinstellungen wie im Profil festgelegt haben.
6. Geben Sie eine E-Mail-Adresse ein.
HinweisWenn ein Benutzer von Active Directory importiert wurde, überschreibt XG Firewall die E-Mail-Adressen, die bei der Benutzerregistrierung angegeben wurden, mit den E-Mail-Adressen, dieim Active Directory zur Zeit der Authentifizierung angegeben sind.
7. Wählen Sie Richtlinien aus.
HinweisRichtlinien, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
Option Beschreibung
Gruppe Gruppe, zu welcher der Benutzer hinzugefügtwerden soll. Der Benutzer erbt alle dieserGruppe zugewiesenen Richtlinien.
Surfkontingent Zugriff basierend auf einem festgelegtenZeitraum und Art. Diese Richtlinie kann eineZyklusart, Dauer, Gültigkeit und Höchstdauerenthalten.
Zugriffszeit Zugriff gewähren oder verweigern basierend aufeinem wiederkehrenden Zeitraum.
Netzwerkverkehr Zugriff basierend auf Bandbreitennutzung.
430 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Traffic Shaping Zugriff basierend auf QoS-Traffic-Shaping-Richtlinie. Diese Richtlinie kann eine Richtlinien-Zuordnung, Priorität und spezifische Upload-und Downloadgrenzen enthalten.
Fernzugriff Zugriff, der Remote-Benutzer über VPN betrifft.
Clientlos Zugriff, der Benutzern gewährt wird, die nureinen Browser als Client verwenden. DieseRichtlinie kann Lesezeichen oder Ressourcenenthalten, die clientlose Benutzer verwendendürfen.
8. Legen Sie Einstellungen fest.
HinweisEinstellungen, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
Option Beschreibung
L2TP Zugriff über L2TP zulassen. Legen Sie optionaleine IP-Adresse fest, die dem Benutzer fürL2TP-Zugriff zugewiesen wird.
PPTP Zugriff über PPTP zulassen. Legen Sie optionaleine IP-Adresse, die dem Benutzer für PPTP-Zugriff zugewiesen wird.
Sophos Connect Client Fernzugriff über einen konfigurierten CISCOVPN-Client zulassen. Legen Sie optional eineIP-Adresse fest, die dem Benutzer für CISCOVPN-Zugriff zugewiesen wird.
Quarantäne-Auszug Senden Sie eine Liste der isolierten E-Mail-Nachrichten als Quarantäne-Auszug.
Gleichzeitige Anmeldungen Anzahl der gleichzeitigen Sitzungen, die demBenutzer gewährt werden. Verwenden Sieden Wert, der in den globalen Einstellungenfestgelegt ist, oder legen Sie einen Wert fest.
MAC-Bindung Benutzer müssen sich über die festgelegtenGeräte anmelden.
Anmeldebeschränkung Zugriff von den festgelegten Knoten zulassen.Sie können keine Beschränkung (beliebigerKnoten), benannte Knoten oder einenKnotenbereich festlegen.
9. Für Administrator-Benutzer klicken Sie auf Erweiterte Administrator-Einstellungen und legen Siedie Einstellungen fest.
Option Beschreibung
Zeitplan für Appliance-Zugriff Zugriff auf die Appliance nur während dergewählten Zeit zulassen.
Copyright © 2018 Sophos Limited 431
XG Firewall
Option Beschreibung
Anmeldebeschränkung für Appliance-Zugriff Zugriff von den festgelegten Knoten zulassen.Sie können keine Beschränkung (beliebigerKnoten), benannte Knoten oder einenKnotenbereich festlegen.
10. Klicken Sie auf Speichern.
Zugehörige KonzepteZugriffszeit (Seite 491)Über die Zugriffszeit können Sie den Internetzugriff für Benutzer, Gruppen und Gastbenutzersteuern. Sie können den Zugriff aufs Internet zulassen oder verweigern basierend auf festgelegtenZeitspannen. Die Firewall verfügt über einige übliche Standardrichtlinien.
Netzwerkdatenkontingente (Seite 494)Mit Netzwerkdatenkontingent-Richtlinien können Sie Datentransfer von Benutzer und Gruppensteuern. Sie können Kontingente für den gesamten Datentransfer festlegen oder individuell fürUpload und Download. Kontingente können zyklisch oder nicht zyklisch sein. Zyklische Richtlinienkönnen Kontingente für den Zyklus und für die Höchstverkehr haben. Die Firewall verfügt über einigeüblicherweise eingesetzte Standardkontingente.
Appliance-Zugriff (Seite 496)Mit dem Appliance-Zugriff können Sie rollenbasierten Zugriff auf die Firewall für Administratorenerstellen. Die Standardauswahl an Profilen legt die Berechtigungen für einen Super-Administratorund für einige normale Administratoren fest. Sie können eigene Profile erstellen und Berechtigungenfestlegen.
Benutzer (Seite 429)Die Firewall unterscheidet zwischen Endbenutzern, die sich von hinter der Firewall mit dem Internetverbinden, und Administratoren, die Zugriff auf Firewall-Objekte und -Einstellungen haben. Sie könnenBenutzereinträge für die Verwendung bei der Authentifizierung hinzufügen oder importieren. Wenn Sieeinen Benutzer hinzufügen (registrieren), legen Sie den Benutzertyp fest und verknüpfen den Eintragmit einer Gruppe. Der Benutzer erbt die in der Gruppe festgelegten Richtlinien, aber die Richtlinien desBenutzers selbst überschreiben die Gruppeneinstellungen.
19.4.2 Benutzer importieren
Anstatt Benutzer einzeln zu erstellen, können Sie eine Datei mit durch Komma getrennten Werten(CSV) hochladen. Die CSV-Datei muss den Formatierungsanforderungen entsprechen.
1. Gehen Sie zu Authentifizierung > Gruppen und klicken Sie auf Importieren.
2. Klicken Sie auf Datei auswählen und wählen Sie eine CSV-Datei aus.
Beachten Sie folgende Anforderungen:
• Die Kopfzeile muss einen Benutzernamen enthalten, gefolgt von optionalen Feldern, z.B.Kennwort, Name, Gruppe und E-Mail-Adresse.
• In jeder Zeile muss die Anzahl der Felder mit der Anzahl der Felder in der Kopfzeileübereinstimmen.
• Maximal 1000 Einträge.
3. Klicken Sie auf Hochladen.
Zugehörige KonzepteBenutzer (Seite 429)
432 Copyright © 2018 Sophos Limited
XG Firewall
Die Firewall unterscheidet zwischen Endbenutzern, die sich von hinter der Firewall mit dem Internetverbinden, und Administratoren, die Zugriff auf Firewall-Objekte und -Einstellungen haben. Sie könnenBenutzereinträge für die Verwendung bei der Authentifizierung hinzufügen oder importieren. Wenn Sieeinen Benutzer hinzufügen (registrieren), legen Sie den Benutzertyp fest und verknüpfen den Eintragmit einer Gruppe. Der Benutzer erbt die in der Gruppe festgelegten Richtlinien, aber die Richtlinien desBenutzers selbst überschreiben die Gruppeneinstellungen.
19.4.3 Benutzerinformationen
Die Firewall unterscheidet zwischen Endbenutzern, die sich von hinter der Firewall mit dem Internetverbinden, und Administratoren, die Zugriff auf Firewall-Objekte und -Einstellungen haben. Legen SieRichtlinien und Einstellungen nach Ihren Bedürfnissen fest.
• Um ein Kennwort zu ändern, klicken Sie auf Kennwort ändern.
• Um Internetverkehrsstatistiken zu sehen, klicken Sie auf Nutzung anzeigen.
• Um die Internetverkehrsstatistiken zurückzusetzen und die Netzwerkdatenkontingente neu zustarten, klicken Sie auf Benutzer-Accounting zurücksetzen.
Richtlinien
HinweisRichtlinien, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
Gruppe Gruppe, zu welcher der Benutzer hinzugefügtwerden soll. Der Benutzer erbt alle dieser Gruppezugewiesenen Richtlinien.
Surfkontingent Zugriff basierend auf einem festgelegten Zeitraumund Art. Diese Richtlinie kann eine Zyklusart,Dauer, Gültigkeit und Höchstdauer enthalten.
Zugriffszeit Zugriff gewähren oder verweigern basierend aufeinem wiederkehrenden Zeitraum.
Netzwerkverkehr Zugriff basierend auf Bandbreitennutzung.
Traffic Shaping Zugriff basierend auf QoS-Traffic-Shaping-Richtlinie. Diese Richtlinie kann eine Richtlinien-Zuordnung, Priorität und spezifische Upload- undDownloadgrenzen enthalten.
Fernzugriff Zugriff, der Remote-Benutzer über VPN betrifft.
Clientlos Zugriff, der Benutzern gewährt wird, die nur einenBrowser als Client verwenden. Diese Richtliniekann Lesezeichen oder Ressourcen enthalten, dieclientlose Benutzer verwenden dürfen.
Copyright © 2018 Sophos Limited 433
XG Firewall
Einstellungen
HinweisEinstellungen, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
L2TP Zugriff über L2TP zulassen. Legen Sie optionaleine IP-Adresse fest, die dem Benutzer für L2TP-Zugriff zugewiesen wird.
PPTP Zugriff über PPTP zulassen. Legen Sie optionaleine IP-Adresse, die dem Benutzer für PPTP-Zugriff zugewiesen wird.
Sophos Connect Client Fernzugriff über einen konfigurierten CISCOVPN-Client zulassen. Legen Sie optional eine IP-Adresse fest, die dem Benutzer für CISCO VPN-Zugriff zugewiesen wird.
Quarantäne-Auszug Senden Sie eine Liste der isolierten E-Mail-Nachrichten als Quarantäne-Auszug.
Gleichzeitige Anmeldungen Anzahl der gleichzeitigen Sitzungen, die demBenutzer gewährt werden. Verwenden Sie denWert, der in den globalen Einstellungen festgelegtist, oder legen Sie einen Wert fest.
MAC-Bindung Benutzer müssen sich über die festgelegtenGeräte anmelden.
Anmeldebeschränkung Zugriff von den festgelegten Knoten zulassen. Siekönnen keine Beschränkung (beliebiger Knoten),benannte Knoten oder einen Knotenbereichfestlegen.
19.5 EinmalkennwortSie können Zwei-Faktor-Authentifizierung mithilfe von Einmalkennwörtern einrichten, auch bekannt alsZugangscodes. Zugangscodes werden von Sophos Authenticator auf einem Mobilgerät oder Tableterzeugt ohne die Notwendigkeit einer Internetverbindung. Wenn Benutzer sich anmelden, müssen Sieein Kennwort und einen Zugangscode angeben.
Dienst für Einmalkennwörter
Sie können Zweifaktor-Authentifizierung mithilfe des Einmalkennwort-Diensts (OTP) konfigurieren.
• Um Zweifaktor-Authentifizierung zu konfigurieren, klicken Sie auf Einstellungen und schalten SieEinmalkennwort ein.
434 Copyright © 2018 Sophos Limited
XG Firewall
OTP-Token
Um sich mit Zweifaktor-Authentifizierung anmelden zu können, müssen Benutzer erst ein Tokenbeziehen. Token werden als ein QR-Code im Benutzerportal bereitgestellt. Benutzer scannen denCode mit Sophos Authenticator, die dann die Zugangscodes erzeugt.
• Um automatisch OTP-Token zu erstellen, klicken Sie auf Einstellungen und schalten Sie OTP-Token für Benutzer automatisch erstellen ein.
• Um manuell OTP-Token zu erstellen, klicken Sie auf Hinzufügen und legen Sie die Einstellungenfest. Schauen Sie sich danach das Token an und senden Sie es an den Benutzer.
• Um das Token zu sehen, das einem Benutzer zugewiesen ist, klicken Sie auf
.
• Um den Zeitunterschied mit dem Server zu synchronisieren, klicken Sie auf
und geben Sie den Zugangscode ein.
Zugehörige AufgabenZugangscodes manuell erzeugen (Seite 437)Wenn ein Benutzer keinen Zugang zu Zugangscodes hat (z.B. weil das Authentifizierungsprogrammgerade nicht zur Verfügung steht), können Sie diese manuell erzeugen.
Token hinzufügen (Seite 436)Verwandte InformationenZwei-Faktor-Authentifizierung konfigurieren (Seite 452)Zweifaktor-Authentifizierung stellt sicher, dass sich nur Benutzer mit vertrauenswürdigen Gerätenanmelden können. Um Zweifaktor-Authentifizierung anzubieten, konfigurieren Sie den OTP-Dienst.Danach scannen Endbenutzer die Tokens und erhalten die Zugangscodes mithilfe von SophosAuthenticator.
OTP-Tokens manuell ausstellen (Seite 454)In manchen Fällen müssen Sie vielleicht ein OTP-Token einem Endbenutzer manuell bereitstellen,selbst wenn der Dienst so eingestellt ist, dass er Tokens automatisch erstellt. Diese Fälle tretenzum Beispiel ein, wenn ein Benutzer keinen Zugriff auf Sophos Authenticator hat. Um das zutun, konfigurieren Sie den OTP-Dienst und stellen Sie ein Token manuell aus. Danach erhält derEndbenutzer das Token über das Captive-Portal.
Sophos Authenticator for AndroidSophos Authenticator for iOS
19.5.1 OTP-Diensteinstellungen
Einmalkennwort Schalten Sie den Dienst für Einmalkennwörterein.
OTP für alle Benutzer Von allen Benutzern die Verwendung vonEinmalkennwörter verlangen. Wenn Sie wollen,dass nur bestimmte Benutzer Einmalkennwörterverwenden, schalten Sie diese Einstellung ausund wählen Sie Benutzer aus.
OTP-Token für Benutzer automatisch erstellen OTP-Token für Benutzer automatisch erstellen.Token werden als ein QR-Code im Benutzerportal
Copyright © 2018 Sophos Limited 435
XG Firewall
bereitgestellt. Benutzer scannen den Codemit Sophos Authenticator, die dann dieZugangscodes erzeugt. Wenn Sie dieseEinstellung nicht aktivieren, müssen Sie OTP-Token manuell bereitstellen.
OTP für Komponenten aktivieren Firewall-Funktionen, die Zweifaktor-Authentifizierung erfordern.
HinweisBenutzerportal muss ausgewählt sein, wennautomatisches Erstellen eingeschaltet ist.
AchtungWenn WebAdmin ausgewählt ist, müssenSie sicherstellen, dass Benutzer Zugang zuEinmalkennwort-Tokens haben. Wenn siediesen nicht haben, riskieren Sie, dass siepermanent abgemeldet werden.
Standard-Token-Zeitschritt in Sekunden Intervall (in Sekunden), in der die Zugangscode-Erzeugung beim Einmalkennwort-Dienststattfindet. Dieser Wert muss der gleiche sein wieder von Sophos Authenticator festgelegte. DerEinmalkennwort-Dienst und Sophos Authenticatorhaben einen Standardwert von 30 Sekunden.
Maximale Schritte derSicherheitscodeverzögerung
Maximale Anzahl an Zeitschritten, die sich dieUhr eines Tokens zwischen Client und Serverunterscheiden darf. Wenn Sie zum Beispiel einenWert von 3 festlegen und der Zeitschritt ist 30Sekunden, dann kann der Client einen beliebigenZugangscode aus den letzten 90 Sekunden oderden nachfolgenden 90 Sekunden verwenden,solange der Code noch nicht verwendet wurde.
Maximale Schritte der initialenSicherheitscodeverzögerung
Maximale Anzahl an Zeitschritten, die sich die Uhreines Tokens zwischen Client und Server nur beider ersten Anmeldung unterscheiden darf.
19.5.2 Token hinzufügen
1. Gehen Sie zu Authentifizierung > Einmalkennwort und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Schlüssel Eindeutiger HEX-Schlüssel, der im Algorithmusverwendet wird, um die Kennwörter fürBenutzer zu erzeugen. Verwenden Sie beiHardware-Tokens den Schlüssel, der vomGerätehersteller bereitgestellt wurde.
436 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Benutzer Benutzer, dem das Token zugewiesen werdensoll.
Eigenen Token-Zeitschritt verwenden Abstand, in Sekunden, in dem dieKennworterzeugung für dieses Tokenstattfindet. Dieser Wert muss der gleichesein wie der von Sophos Authenticatorfestgelegte.(Der Einmalkennwort-Dienstund Sophos Authenticator haben einenStandardwert von 30 Sekunden.)
TippWenn Sie einem Benutzer mehr als ein Token bereitstellen, geben Sie eine Beschreibung ein,um dem Benutzer zu helfen, diese zu unterscheiden.
3. Klicken Sie auf Speichern.
Zugehörige KonzepteEinmalkennwort (Seite 434)Sie können Zwei-Faktor-Authentifizierung mithilfe von Einmalkennwörtern einrichten, auch bekannt alsZugangscodes. Zugangscodes werden von Sophos Authenticator auf einem Mobilgerät oder Tableterzeugt ohne die Notwendigkeit einer Internetverbindung. Wenn Benutzer sich anmelden, müssen Sieein Kennwort und einen Zugangscode angeben.
19.5.3 Zugangscodes manuell erzeugen
Wenn ein Benutzer keinen Zugang zu Zugangscodes hat (z.B. weil das Authentifizierungsprogrammgerade nicht zur Verfügung steht), können Sie diese manuell erzeugen.
Sie müssen ein OTP-Token manuell erzeugen und dem Benutzer zukommen lassen.
1. Gehen Sie zu Authentifizierung > Einmalkennwort.
2. Finden Sie den Benutzer und klicken Sie auf
.
3. Blättern Sie zu Zusätzliche Codes und klicken Sie auf
.Die Firewall erzeugt Zugangscodes.
Copyright © 2018 Sophos Limited 437
XG Firewall
4. Senden Sie einen Zugangscode an den Benutzer.
5. Klicken Sie auf Speichern.
Zugehörige KonzepteEinmalkennwort (Seite 434)Sie können Zwei-Faktor-Authentifizierung mithilfe von Einmalkennwörtern einrichten, auch bekannt alsZugangscodes. Zugangscodes werden von Sophos Authenticator auf einem Mobilgerät oder Tableterzeugt ohne die Notwendigkeit einer Internetverbindung. Wenn Benutzer sich anmelden, müssen Sieein Kennwort und einen Zugangscode angeben.
19.6 Captive-PortalDas Captive-Portal ist eine Browser-Oberfläche, die Benutzer hinter der Firewall dazu auffordert, sichzu authentifizieren, wenn diese versuchen, auf eine Website zuzugreifen. Nach der Authentifizierungwird der Benutzer zur Adresse weitergeleitet oder die Firewall leitet ihn zur einer vorgegebenen URLweiter. Verwenden Sie diese Einstellungen, um das Aussehen und den Inhalt des Captive-Portalsanzupassen. Sie können zum Beispiel Ihre Unternehmenslogo und eigen Text für die Schaltflächefestlegen.
• Um die Einstellungen zu aktualisieren, klicken Sie auf Übernehmen.
• Um eine Vorschau des Captive-Portals zu sehen, klicken Sie auf Vorschau.
• Um die selbstdefinierten Einstellungen zu löschen, klicken Sie auf Auf Standard zurücksetzen.
• Um das Aussehen des Portals anzupassen, wählen Sie Eigene HTML-Vorlage verwenden undverändern Sie das HTML nach Bedarf. Ihr Portal muss eines der folgenden Elemente enthalten:<div id="__loginbox"></div>. Das System wird die notwendigen Benutzereingabe-Elemente im div-Element einblenden. Sie können diese Elemente mithilfe von CSS undJavaScript anpassen.
Auf das Captive-Portal zugreifen
Benutzer können auf das Captive-Portal unter https://<SFOS-IP-Adresse>:8090 zugreifen.
438 Copyright © 2018 Sophos Limited
XG Firewall
Zugehörige KonzepteLive-Benutzer (Seite 16)Live-Benutzer sind Benutzer, die momentan an XG Firewall angemeldet sind.
Verwandte InformationenAuthentifizierung: Captive-Portal
19.7 GastbenutzerGastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Sie können Zugangsdaten ausdrucken undsie per SMS versenden. Bei erfolgreicher Authentifizierung wird dem Gastbenutzer entsprechend dengewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.
HinweisBevor Sie Gastbenutzer hinzufügen, gehen Sie zu Authentifizierung > Gastbenutzer-Einstellungen und legen Sie die Einstellungen fest.
• Um Zugangsdaten auszudrucken, wählen Sie Benutzer aus und klicken Sie dann auf Drucken.
• Um Zugangsdaten noch einmal per SMS zu senden, klicken Sie auf
.
• Um den Benutzerstatus von aktiv zu inaktiv (und andersherum) zu ändern, wählen Sie einenBenutzer aus und klicken Sie auf Status ändern.
Zugehörige KonzepteLive-Benutzer (Seite 16)Live-Benutzer sind Benutzer, die momentan an XG Firewall angemeldet sind.
Zugehörige AufgabenEinzelnen Gastbenutzer hinzufügen (Seite 439)Wenn Sie Gastbenutzer hinzufügen (registrieren), legen Sie grundlegende Werte fest wie denGültigkeitszeitraum und den Gültigkeitsbeginn. Andere Werte (z.B. Benutzername und Kennwort)werden entsprechend den Gastbenutzereinstellungen erstellt. Bei erfolgreicher Authentifizierung wirddem Gastbenutzer entsprechend den gewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.
Mehrere Gastbenutzer hinzufügen (Seite 440)Wenn Sie Gastbenutzer hinzufügen (registrieren), legen Sie grundlegende Werte fest wie denGültigkeitszeitraum und den Gültigkeitsbeginn. Andere Werte (z.B. Benutzername und Kennwort)werden entsprechend den Gastbenutzereinstellungen erstellt. Bei erfolgreicher Authentifizierung wirddem Gastbenutzer entsprechend den gewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.
19.7.1 Einzelnen Gastbenutzer hinzufügen
Wenn Sie Gastbenutzer hinzufügen (registrieren), legen Sie grundlegende Werte fest wie denGültigkeitszeitraum und den Gültigkeitsbeginn. Andere Werte (z.B. Benutzername und Kennwort)werden entsprechend den Gastbenutzereinstellungen erstellt. Bei erfolgreicher Authentifizierung wirddem Gastbenutzer entsprechend den gewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.
Copyright © 2018 Sophos Limited 439
XG Firewall
1. Gehen Sie zu Authentifizierung > Gastbenutzer und klicken Sie auf Einzelne hinzufügen.
2. Geben Sie einen Namen ein.
HinweisDies ist der Benutzereintragsname, nicht der Benutzername.
3. Geben Sie eine E-Mail-Adresse ein.
4. Legen Sie einen Gültigkeitszeitraum fest.
5. Legen Sie den Gültigkeitsbeginn fest.
Option Beschreibung
Sofort Der Gültigkeitszeitraum beginnt sofort,nachdem Sie den Gastbenutzer hinzufügen.
Nach der ersten Anmeldung Der Gültigkeitszeitraum beginnt ab dem Punkt,an dem der Gastbenutzer sich das erste Malanmeldet.
6. Klicken Sie auf Hinzufügen, um den Benutzer hinzuzufügen, oder auf Hinzufügen und drucken,um den Benutzer hinzuzufügen und die Zugangsdaten auszudrucken.
Gehen Sie zu Authentifizierung > Gastbenutzer und klicken Sie auf
für denBenutzer. Legen Sie Richtlinien und Einstellungen nach Ihren Bedürfnissen fest.
Zugehörige KonzepteGastbenutzer (Seite 439)Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Sie können Zugangsdaten ausdrucken undsie per SMS versenden. Bei erfolgreicher Authentifizierung wird dem Gastbenutzer entsprechend dengewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.
19.7.2 Mehrere Gastbenutzer hinzufügen
Wenn Sie Gastbenutzer hinzufügen (registrieren), legen Sie grundlegende Werte fest wie denGültigkeitszeitraum und den Gültigkeitsbeginn. Andere Werte (z.B. Benutzername und Kennwort)werden entsprechend den Gastbenutzereinstellungen erstellt. Bei erfolgreicher Authentifizierung wirddem Gastbenutzer entsprechend den gewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.
1. Gehen Sie zu Authentifizierung > Gastbenutzer und klicken Sie auf Mehrere hinzufügen.
2. Geben Sie die Anzahl der Benutzer ein.
3. Legen Sie einen Gültigkeitszeitraum fest.
4. Legen Sie den Gültigkeitsbeginn fest.
Option Beschreibung
Sofort Der Gültigkeitszeitraum beginnt sofort,nachdem Sie den Gastbenutzer hinzufügen.
440 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Nach der ersten Anmeldung Der Gültigkeitszeitraum beginnt ab dem Punkt,an dem der Gastbenutzer sich das erste Malanmeldet.
5. Klicken Sie auf Hinzufügen, um die Benutzer hinzuzufügen, oder auf Hinzufügen und drucken,um die Benutzer hinzuzufügen und die Zugangsdaten auszudrucken.
Gehen Sie zu Authentifizierung > Gastbenutzer und klicken Sie auf
für jeden hinzugefügten Benutzer. Legen Sie Richtlinien und Einstellungen nach Ihren Bedürfnissenfest.
Zugehörige KonzepteGastbenutzer (Seite 439)Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Sie können Zugangsdaten ausdrucken undsie per SMS versenden. Bei erfolgreicher Authentifizierung wird dem Gastbenutzer entsprechend dengewählten Richtlinien Zugriff gewährt oder er wird zur Captive-Portal-Seite weitergeleitet.
19.7.3 Gastbenutzerinformationen
Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Legen Sie Richtlinien und Einstellungen nachIhren Bedürfnissen fest.
• Um ein Kennwort zu ändern, klicken Sie auf Kennwort ändern.
• Um Internetverkehrsstatistiken zu sehen, klicken Sie auf Nutzung anzeigen.
• Um die Internetverkehrsstatistiken zurückzusetzen und die Netzwerkdatenkontingente neu zustarten, klicken Sie auf Benutzer-Accounting zurücksetzen.
Richtlinien
HinweisRichtlinien, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
Gruppe Gruppe, zu welcher der Benutzer hinzugefügtwerden soll. Der Benutzer erbt alle dieser Gruppezugewiesenen Richtlinien.
Surfkontingent Zugriff basierend auf einem festgelegten Zeitraumund Art. Diese Richtlinie kann eine Zyklusart,Dauer, Gültigkeit und Höchstdauer enthalten.
Zugriffszeit Zugriff gewähren oder verweigern basierend aufeinem wiederkehrenden Zeitraum.
Netzwerkverkehr Zugriff basierend auf Bandbreitennutzung.
Copyright © 2018 Sophos Limited 441
XG Firewall
Traffic Shaping Zugriff basierend auf QoS-Traffic-Shaping-Richtlinie. Diese Richtlinie kann eine Richtlinien-Zuordnung, Priorität und spezifische Upload- undDownloadgrenzen enthalten.
Fernzugriff Zugriff, der Remote-Benutzer über VPN betrifft.
Clientlos Zugriff, der Benutzern gewährt wird, die nur einenBrowser als Client verwenden. Diese Richtliniekann Lesezeichen oder Ressourcen enthalten, dieclientlose Benutzer verwenden dürfen.
Einstellungen
HinweisEinstellungen, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
L2TP Zugriff über L2TP zulassen. Legen Sie optionaleine IP-Adresse fest, die dem Benutzer für L2TP-Zugriff zugewiesen wird.
PPTP Zugriff über PPTP zulassen. Legen Sie optionaleine IP-Adresse, die dem Benutzer für PPTP-Zugriff zugewiesen wird.
Sophos Connect Client Fernzugriff über einen konfigurierten CISCOVPN-Client zulassen. Legen Sie optional eine IP-Adresse fest, die dem Benutzer für CISCO VPN-Zugriff zugewiesen wird.
Quarantäne-Auszug Senden Sie eine Liste der isolierten E-Mail-Nachrichten als Quarantäne-Auszug.
Gleichzeitige Anmeldungen Anzahl der gleichzeitigen Sitzungen, die demBenutzer gewährt werden. Verwenden Sie denWert, der in den globalen Einstellungen festgelegtist, oder legen Sie einen Wert fest.
MAC-Bindung Benutzer müssen sich über die festgelegtenGeräte anmelden.
Anmeldebeschränkung Zugriff von den festgelegten Knoten zulassen. Siekönnen keine Beschränkung (beliebiger Knoten),benannte Knoten oder einen Knotenbereichfestlegen.
Zugehörige KonzepteZugriffszeit (Seite 491)Über die Zugriffszeit können Sie den Internetzugriff für Benutzer, Gruppen und Gastbenutzersteuern. Sie können den Zugriff aufs Internet zulassen oder verweigern basierend auf festgelegtenZeitspannen. Die Firewall verfügt über einige übliche Standardrichtlinien.
442 Copyright © 2018 Sophos Limited
XG Firewall
19.8 Clientlose BenutzerClientlose Benutzer müssen sich nicht über einen Client authentifizieren, um auf das Internetzuzugreifen. Stattdessen authentifiziert die Firewall diese Benutzer, indem Sie einen Benutzernamenmit einer IP-Adresse abgleicht.
• Um den Benutzerstatus von aktiv zu inaktiv (und andersherum) zu ändern, wählen Sie einenBenutzer aus und klicken Sie auf Status ändern.
Zugehörige KonzepteLive-Benutzer (Seite 16)Live-Benutzer sind Benutzer, die momentan an XG Firewall angemeldet sind.
Zugehörige AufgabenEinzelnen clientlosen Benutzer hinzufügen (Seite 443)Mehrere clientlose Benutzer hinzufügen (Seite 444)
19.8.1 Einzelnen clientlosen Benutzer hinzufügen
1. Gehen Sie zu Authentifizierung > Clientlose Benutzer und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Benutzername Name, der von dem Benutzer hinter der Firewallfür die Authentifizierung verwendet werden soll.
IP-Adresse IP-Adresse für den Benutzer.
Gruppe Gruppe, zu welcher der Benutzer hinzugefügtwerden soll. Der Benutzer erbt alle dieserGruppe zugewiesenen Richtlinien.
Name Name des Benutzereintrags.
E-Mail E-Mail-Adresse des Benutzers.
Quarantäne-Auszug Senden Sie eine Liste der isolierten E-Mail-Nachrichten als Quarantäne-Auszug.
3. Klicken Sie auf Speichern.
Gehen Sie zu Authentifizierung > Clientlose Benutzer und klicken Sie auf
für den Benutzer. Legen Sie Richtlinien und Einstellungen nach Ihren Bedürfnissen fest.
Zugehörige KonzepteClientlose Benutzer (Seite 443)Clientlose Benutzer müssen sich nicht über einen Client authentifizieren, um auf das Internetzuzugreifen. Stattdessen authentifiziert die Firewall diese Benutzer, indem Sie einen Benutzernamenmit einer IP-Adresse abgleicht.
Copyright © 2018 Sophos Limited 443
XG Firewall
19.8.2 Mehrere clientlose Benutzer hinzufügen
1. Gehen Sie zu Authentifizierung > Clientlose Benutzer und klicken Sie auf Bereich hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Von IP Geben Sie die Start-IP-Adresse des Bereichsein.
Zu IP Geben Sie die End-IP-Adresse für den Bereichein.
Gruppe Gruppe, zu der alle Benutzer hinzugefügtwerden sollen. Die Benutzer erben alleRichtlinien, die der Gruppe zugewiesensind. Sie können die Richtlinien, die füreinen Benutzer gelten, ändern, indem Siedie Benutzerinformationen bearbeiten.Einstellungen, die auf Benutzerebene festgelegtwurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
3. Klicken Sie auf Speichern.
Gehen Sie zu Authentifizierung > Clientlose Benutzer und klicken Sie auf
für jeden hinzugefügten Benutzer. Legen Sie Richtlinien und Einstellungen nach Ihren Bedürfnissenfest.
Zugehörige KonzepteClientlose Benutzer (Seite 443)Clientlose Benutzer müssen sich nicht über einen Client authentifizieren, um auf das Internetzuzugreifen. Stattdessen authentifiziert die Firewall diese Benutzer, indem Sie einen Benutzernamenmit einer IP-Adresse abgleicht.
19.8.3 Informationen zu clientlosen Benutzern
Clientlose Benutzer müssen sich nicht über einen Client authentifizieren, um auf das Internetzuzugreifen. Stattdessen authentifiziert die Firewall diese Benutzer, indem Sie einen Benutzernamenmit einer IP-Adresse abgleicht. Legen Sie Richtlinien und Einstellungen nach Ihren Bedürfnissen fest.
• Um Internetverkehrsstatistiken zu sehen, klicken Sie auf Nutzung anzeigen.
• Um die Internetverkehrsstatistiken zurückzusetzen und die Netzwerkdatenkontingente neu zustarten, klicken Sie auf Benutzer-Accounting zurücksetzen.
444 Copyright © 2018 Sophos Limited
XG Firewall
Richtlinien
HinweisRichtlinien, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
Traffic Shaping Zugriff basierend auf QoS-Traffic-Shaping-Richtlinie. Diese Richtlinie kann eine Richtlinien-Zuordnung, Priorität und spezifische Upload- undDownloadgrenzen enthalten.
Einstellungen
HinweisEinstellungen, die auf Benutzerebene festgelegt wurden, haben Vorrang vor denen, die aufGruppenebene festgelegt wurden.
Quarantäne-Auszug Senden Sie eine Liste der isolierten E-Mail-Nachrichten als Quarantäne-Auszug.
19.9 Gastbenutzer-EinstellungenGastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Verwenden Sie diese Einstellungen, umGastbenutzern zu ermöglichen, sich über die Gastbenutzer-Registrierungsseite zu registrieren, und umAuthentifizierungseinstellungen und eine Standardgruppe für Gastbenutzer zu konfigurieren.
Allgemeine Einstellungen für Gastbenutzer
Benutzername Präfix Präfix, das für Erzeugung eines Benutzernamensfür den Gastbenutzer verwendet wird.
Gruppe Gruppe, der Gastbenutzer zugewiesen werden.Benutzer erben die Richtlinien, die für die Gruppefestgelegt sind.
Kennwortlänge Anzahl an Zeichen, die für die erzeugtenKennwörter für Gastbenutzer verwendet werdensollen. Längere Kennwörter bieten erhöhteSicherheit.
Kennwortkomplexität Art des Kennworts, die für erzeugte Kennwörterverwendet werden soll. Komplexere Kennwörterbieten erhöhte Sicherheit.
Nutzungsbedingungen Nachricht, die unter den Benutzerzugangsdatenangezeigt werden soll, um die Benutzer über
Copyright © 2018 Sophos Limited 445
XG Firewall
rechtliche Verpflichtungen und Gebühren für dieNutzung des Internets zu informieren.
Bei Ablauf automatisch bereinigen Benutzerinformationen bereinigen, wenn derGültigkeitszeitraum eines Benutzers endet.
HinweisDiese Einstellung betrifft nicht Protokolle.
Registrierungseinstellungen für Gastbenutzer
Gastbenutzer-Registrierung einschalten Erlauben Sie Benutzern, sich selbst alsGastbenutzer über das Benutzerportal zuregistrieren.
SMS-Gateway Gateway, an das die SMS mit den Gastbenutzer-Zugangsdaten gesendet werden soll.
Gastbenutzer Name Methode, mit der der Gastbenutzernamezugewiesen werden soll. Wenn Sie nichtMobilfunknummer als Benutzernameverwenden auswählen, wird der Benutzernamemithilfe des angegebenen Werts inBenutzername Präfix erzeugt.
Benutzer-Gültigkeit (Dauer in Tagen) Gültigkeit von Gastbenutzern in Tagen.
Standard-Ländercode Standard-Ländercode, der zusammen mitder Mobilfunknummer auf der Gastbenutzer-Registrierungsseite angezeigt werden soll.
CAPTCHA-Verifizierung Verlangen Sie von Gastbenutzern, eineCAPTCHA-(Completely Automated PublicTuring Test To Tell Computers and HumansApart)-Code-Prüfung zu bestehen, um auf dieGastbenutzer-Registrierungsseite zu gelangen.
SMS-Gateway
Ein SMS-Gateway ermöglicht das Versenden und Empfangen von Kurznachrichten (SMS) zurRegistrierung von Gastbenutzern. Die Firewall unterstützt HTTP- und HTTPS-basierten SMS-Dienst.
Zugehörige AufgabenSMS-Gateway konfigurieren (Seite 446)
19.9.1 SMS-Gateway konfigurieren
1. Gehen Sie zu Authentifizierung > Gastbenutzer-Einstellungen, blättern Sie zu SMS-Gatewayund klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie Einstellungen fest.
446 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
URL URL des SMS-Gateways für das Versendenvon SMS-Anfragen.
HTTP-Methode Methode für das Versenden einer SMS-Anfragean das SMS-Gateway. Wählen Sie Get,um Daten von einer bestimmten Ressourceanzufragen. Wählen Sie Post, um Datenzu übermitteln, die von einer bestimmtenRessource verarbeitet werden sollen.
Mobilfunknummer-Format Mobilfunknummer mit Ländervorwahlverwenden.
Nummern-Präfix Präfix, das mit der Mobilfunknummer verwendetwerden soll. Kann alphanumerische und ASCII-Sonderzeichen enthalten.
4. Geben Sie die von Ihrem Dienstanbieter angegeben Anfrageparameter ein.
Wenn das die Anfrage-URL ist:
http://www.example.com/sms.aspx?user=joey&pass=joey123&mbno=9792234567&msg=Test
Dann sind das die Anfrageparameter:
Name Wert
user joey
pass joey123
mbno 9792234567
msg Test
5. Geben Sie das von Ihrem Dienstanbieter angegebene Antwortformat ein.
Wenn dies die empfangene Antwort ist:
status=302&message=Limit Exceeded
Dann sollte so das Antwortformat aussehen:
status={0}&message={1}
6. Geben Sie die von Ihrem Dienstanbieter angegebene Antwortparameter ein.
Wenn dies das Antwortformat ist:
status={0}&message={1}
Dann sind das die Antwortparameter:
Stichwortverzeichnis Name
0 Status
1 Nachricht
Copyright © 2018 Sophos Limited 447
XG Firewall
7. Klicken Sie auf Speichern.
Klicken Sie auf Verbindung testen und geben Sie eine Mobiltelefonnummer ein. Wenn Sie sich mitdem Gateway verbinden können, erhalten Sie eine SMS-Nachricht.
Zugehörige KonzepteGastbenutzer-Einstellungen (Seite 445)Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Verwenden Sie diese Einstellungen, umGastbenutzern zu ermöglichen, sich über die Gastbenutzer-Registrierungsseite zu registrieren, und umAuthentifizierungseinstellungen und eine Standardgruppe für Gastbenutzer zu konfigurieren.
19.10 Client-DownloadsVerwenden Sie diese Einstellungen, um die Clients und Komponenten herunterzuladen, die SingleSign-On, transparente Authentifizierung und E-Mail-Verschlüsselung unterstützen.
Single-Sign-On
Sophos Single-Sign-On-Client (SSO) Ermöglicht Benutzern, sich am Netzwerk und amGerät gleichzeitig anzumelden. Dafür ist ein Clientauf der Maschine des Benutzers erforderlich.
Sophos Transparent Authentication Suite(STAS)
Ermöglicht transparente Authentifizierung, beider Windows-Anmeldedaten zur Authentifizierungverwendet werden können. Dadurch muss sichder Benutzer nur einmal anmelden, um aufNetzwerkressourcen zuzugreifen. Hierfür mussauf dem Rechner des Benutzers kein Clientinstalliert sein.
Sophos Authentication for Thin Client (SATC) Ermöglicht transparente Authentifizierungfür Benutzer in einer Citrix- oder Terminal-Services-Umgebung. Dabei könnenNetzwerkzugangsdaten für die Authentifizierungverwendet werden und der Benutzer muss sichnur einmal anmelden. Hierfür muss auf demRechner des Benutzers kein Client installiert sein.SATC unterstützt nur TCP-Verbindungen, keineUDP-Verbindungen.
Authentifizierungsclients
MSI herunterladen Ermöglicht Netzwerkadministratoren mithilfe vonMicrosoft Installer Authentifizierungsclients aufBenutzergeräten zu installieren.
CA für MSI herunterladen Laden Sie das digitale Zertifikat herunter, daszusammen mit dem MSI auf dem Client installiertwerden soll, um eine sichere Verbindung zurFirewall zu gewährleisten.
448 Copyright © 2018 Sophos Limited
XG Firewall
Download für Windows Ermöglicht Windows-Benutzern, sich amNetzwerk anzumelden und auf das Internetzuzugreifen in Übereinstimmung mit den auf derFirewall konfigurierten Richtlinien.
Download für MAC OS X Ermöglicht macOS-Benutzern, sich am Netzwerkanzumelden und auf das Internet zuzugreifenin Übereinstimmung mit den auf der Firewallkonfigurierten Richtlinien.
Download für Linux Ermöglicht Linux-Benutzern, sich am Netzwerkanzumelden und auf das Internet zuzugreifenin Übereinstimmung mit den auf der Firewallkonfigurierten Richtlinien.
Zertifikat für iOS/Android-Client herunterladen Laden Sie das digitale Zertifikat herunter, dasin Sophos Authenticator installiert werden soll,um eine sichere Verbindung zur Firewall zugewährleisten.
SPX Add-In
Das SPX Add-in ermöglicht Benutzern, ausgehende Nachrichten mithilfe von Sophos EmailProtection direkt in Microsoft Outlook zu verschlüsseln.
Für eine interaktive Installation führen Sie setup.exe aus.
Für eine unüberwachte Installation, führen Sie das Installationsprogramm folgendermaßen aus:
msiexec /qr /i SophosOutlookAddInSetupUTM.msi T=1 EC=3 C=1 I=1
Unüberwachte Installationen haben folgende Anforderungen:
• Windows XP, Windows Vista, Windows 7, oder Windows 8 (32- oder 64-Bit)
• Microsoft Outlook 2007 SP3, 2010 oder 2013 (32- oder 64-Bit)
• Microsoft .NET Framework 4 Client-Profil
• Microsoft Visual Studio 2010 Tools für Office Runtime 4.0
Zugehörige KonzepteLive-Benutzer (Seite 16)Live-Benutzer sind Benutzer, die momentan an XG Firewall angemeldet sind.
19.11 STASSophos Transparent Authentication Suite (STAS) ermöglicht Benutzern auf einer Windows-Domäne, sich an der Firewall anzumelden, sobald sie sich an Windows anmelden. Das beseitigt dieNotwendigkeit von mehreren Anmeldungen und von SSO-Clients auf jedem Arbeitsplatzrechner.
STAS besteht aus einem Agent und einem Collector. Der Agent überwachtBenutzerauthentifizierungsanfragen und sendet Informationen an den Collector für dieAuthentifizierung. Der Kollektor sammelt die Benutzerauthentifizierungsanfragen vom Agent,verarbeitet die Anfragen und sendet sie dann zur Authentifizierung an die Firewall.
Copyright © 2018 Sophos Limited 449
XG Firewall
HinweisNur der Agent muss auf dem Domänencontroller installiert sein. Der Collector kann auf jederanderen Maschine installiert sein. Den Collector auf dem Domänencontroller zu installieren, istnicht ratsam, da er sehr viel Datenverkehr erzeugt.
• Um STAS herunterzuladen, gehen Sie zu Authentifizierung > Client-Downloads.
• Um die Firewall für eine STAS-Umgebung zu konfigurieren, klicken Sie auf den An/Aus-Schaltervon Sophos Transparent Authentication Suite einschalten und klicken Sie dann auf STASaktivieren.
• Um Benutzerinaktivitätseinstellungen festzulegen, klicken Sie auf den An/Aus-SchalterBenutzerinaktivität einschalten.
• Um einen Collektor hinzuzufügen, klicken Sie auf Neuen Kollektor hinzufügen.
Allgemeine Einstellungen
Timer für Inaktivität Zeit der Inaktivität in Minuten, nach der einBenutzer abgemeldet wird. Benutzer, die keineDaten innerhalb des festgelegten Zeitraumsübertragen, werden abgemeldet.
Mindestdatendurchsatz Minimale Datenmenge, die während derInaktivitätsdauer übertragen werden muss.
Zugehörige AufgabenCollector hinzufügen (Seite 450)Der Kollektor sammelt die Benutzerauthentifizierungsanfragen vom Agent, verarbeitet die Anfragenund sendet sie dann zur Authentifizierung an die Firewall.
Verwandte InformationenTransparente Authentifizierung mithilfe von STAS konfigurieren (Seite 463)Clientloses SSO in der Form von Sophos Transparent Authentication Suite (STAS). Sie können STASin eine Umgebung mit einem einzigen Active-Directory-Server integrieren.
STAS Quick Start Guide
19.11.1 Collector hinzufügen
Der Kollektor sammelt die Benutzerauthentifizierungsanfragen vom Agent, verarbeitet die Anfragenund sendet sie dann zur Authentifizierung an die Firewall.
Schalten Sie Sophos Transparent Authentication Suite einschalten ein und klicken Sie dann aufSTAS aktivieren.
1. Klicken Sie auf Neuen Kollektor hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Kollektor-IP IP-Adresse des STAS-Collectors. Die Firewallwartet auf Verbindungsanfragen, die über diefestgelegte IP und Port hereinkommen.
450 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Kollektor-Port Collector-Port
Kollektorgruppe Gruppe, zu der der Benutzer hinzugefügt wird.Sie können den Collector zu einer neuen oderbestehenden Gruppe hinzufügen.
3. Klicken Sie auf Speichern.
Zugehörige KonzepteSTAS (Seite 449)Sophos Transparent Authentication Suite (STAS) ermöglicht Benutzern auf einer Windows-Domäne, sich an der Firewall anzumelden, sobald sie sich an Windows anmelden. Das beseitigt dieNotwendigkeit von mehreren Anmeldungen und von SSO-Clients auf jedem Arbeitsplatzrechner.
19.11.2 Clientlose SSO-Authentifizierung
Clientloses SSO wird durch den Einsatz von Sophos Transparent Authentication Suite realisiert.
Der zugehörige Ablauf sieht folgendermaßen aus:
1. Der Benutzer meldet sich von einem Arbeitsplatzrechner im LAN am Active-Directory-Domänencontroller an. Der Domänencontroller authentifiziert die Zugangsdaten des Benutzers.
2. AD erhält die Sitzungsinformationen und erstellt ein Sicherheitsauditprotokoll. Nach erfolgreicherBenutzeranmeldung erstellt AD ein Ereignis mit der ID 672 (Windows 2003) oder 4768 (Windows2008 und neuer).
3. Während der Agent den AD-Server überwacht, erhält er die Sitzungsinformationen von den obengenannten Ereignis-IDs.
4. Der Agent gibt zur gleichen Zeit den Benutzernamen und die IP-Adresse an den Collector überden Standard-TCP-Port (5566) weiter.
5. Der Collector antwortet, indem er Aktualisierungen über die erfolgreiche Authentifizierung an dieFirewall auf Port 6060 sendet.
6. Wenn die Firewall Verkehr von einer IP sieht, über die sie keine Informationen hat, kann sie denCollector auf Port 6677 befragen.
7. Ein Benutzer startet eine Internetanfrage.
8. Die Firewall vergleicht die Benutzerinformationen mit ihrer lokalen Benutzerliste und wendet dieSicherheitsrichtlinien entsprechend an.
Die Firewall bittet den AD-Server eine Gruppenmitgliedschaft zu bestimmen, basierend aufden Daten vom STAS-Agent. In Abhängigkeit von den Daten wird der Zugang gewährt oderabgelehnt. Benutzer, die direkt (oder lokal) an einem Arbeitsplatzrechner aber nicht an einerDomäne angemeldet sind, werden nicht authentifiziert und werden als unauthentifizierte Benutzereingestuft. Benutzer, die nicht an einer Domäne angemeldet sind, müssen sich über das Captive-Portal authentifizieren.
Copyright © 2018 Sophos Limited 451
XG Firewall
19.11.3 Unauthentifizierter Datenverkehr
Wenn die Firewall nicht authentifizierten Verkehr von einer IP-Adresse erkennt, setzt STAS dieAdresse auf Lernmodus und sendet einen Anfrage an den Collector für Benutzerinformationen.Während sich die Adresse im Lernmodus befindet, verwirft die Firewall den von ihr erzeugtenDatenverkehr.
Wenn es während des Lernmodus keine Antwort vom Collector gibt, setzt STAS die Adresse füreine Stunde auf den Zustand „unauthentifiziert“. Es wird nach einer Stunde erneut versuchen, sichanzumelden, indem es wieder in den Lernmodus geht. Während des unauthentifizierten Zustandswendet die Firewall die Regeln für unauthentifizierten Verkehr an.
Hosts, die nicht in der Domäne sind, werden nicht von STAS kontrolliert und werden von der Firewallals unauthentifiziert eingestuft. Wenn daher das Netzwerk einen Host enthält, der nicht Teil derDomäne ist, erstellen Sie clientlose Benutzer für diese IP-Adressen. Dadurch ermöglichen Sie derFirewall, den Datenverkehr dieser IPs entsprechend der zugehörigen clientlosen Richtlinien zubehandeln, anstatt den Verkehr zu verwerfen.
19.12 Zwei-Faktor-Authentifizierung konfigurierenZweifaktor-Authentifizierung stellt sicher, dass sich nur Benutzer mit vertrauenswürdigen Gerätenanmelden können. Um Zweifaktor-Authentifizierung anzubieten, konfigurieren Sie den OTP-Dienst.Danach scannen Endbenutzer die Tokens und erhalten die Zugangscodes mithilfe von SophosAuthenticator.
452 Copyright © 2018 Sophos Limited
XG Firewall
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• OTP-Dienst einschalten und Einstellungen vornehmen.
• Tokens scannen und Zugangscodes erhalten mithilfe von Sophos Authenticator auf dem Client.
Zugehörige KonzepteEinmalkennwort (Seite 434)Sie können Zwei-Faktor-Authentifizierung mithilfe von Einmalkennwörtern einrichten, auch bekannt alsZugangscodes. Zugangscodes werden von Sophos Authenticator auf einem Mobilgerät oder Tableterzeugt ohne die Notwendigkeit einer Internetverbindung. Wenn Benutzer sich anmelden, müssen Sieein Kennwort und einen Zugangscode angeben.
OTP-Diensteinstellungen angeben
Zunächst schalten Sie den OTP-Dienst ein. Um den Schutz zu maximieren, den dieseAuthentifizierungsart bietet, verlangen Sie danach von allen Benutzern, sie verwenden. Sie gebenauch die Funktionen an, für die Zweifaktor-Authentifizierung erforderlich ist.
Die folgenden Schritte werden auf der Firewall ausgeführt.
1. Gehen Sie zu Authentifizierung > Einmalkennwort und klicken Sie auf Einstellungen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Einmalkennwort An
OTP für alle Benutzer An
OTP-Token für Benutzer automatisch erstellen An
3. Aktivieren Sie OTP für WebAdmin und Benutzerportal.
4. Klicken Sie auf Übernehmen.
Token und Zugangscodes beziehen
Endbenutzer scannen das OTP-Token über das Benutzerportal mithilfe von Sophos Authenticator. DasAuthentifizierungsprogramm stellt dann die Zugangscodes bereit.
Die folgenden Schritte werden von einem Endbenutzer ausgeführt.
1. Laden Sie Sophos Authenticator for Android oder Sophos Authenticator for iOS auf ein Mobilgerätherunter.
2. Melden Sie sich über das Benutzerportal an.Das Benutzerportal zeigt das OTP-Token an.
Copyright © 2018 Sophos Limited 453
XG Firewall
3. Scannen Sie das OTP-Token mithilfe von Sophos Authenticator.Sophos Authenticator beginnt mit der Erzeugung von Zugangscodes.
4. Gehen Sie erneut zum Benutzerportal und melden Sie sich an, indem Sie das Kennwort infolgendem Format eingeben: <Benutzerkennwort><Erzeugtes_Kennwort>.
19.13 OTP-Tokens manuell ausstellenIn manchen Fällen müssen Sie vielleicht ein OTP-Token einem Endbenutzer manuell bereitstellen,selbst wenn der Dienst so eingestellt ist, dass er Tokens automatisch erstellt. Diese Fälle tretenzum Beispiel ein, wenn ein Benutzer keinen Zugriff auf Sophos Authenticator hat. Um das zutun, konfigurieren Sie den OTP-Dienst und stellen Sie ein Token manuell aus. Danach erhält derEndbenutzer das Token über das Captive-Portal.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• OTP-Dienst einschalten und Einstellungen vornehmen.
• Ein Token hinzufügen und es dem Benutzer über das Benutzerportal zur Verfügung stellen.
Zugehörige KonzepteEinmalkennwort (Seite 434)Sie können Zwei-Faktor-Authentifizierung mithilfe von Einmalkennwörtern einrichten, auch bekannt alsZugangscodes. Zugangscodes werden von Sophos Authenticator auf einem Mobilgerät oder Tablet
454 Copyright © 2018 Sophos Limited
XG Firewall
erzeugt ohne die Notwendigkeit einer Internetverbindung. Wenn Benutzer sich anmelden, müssen Sieein Kennwort und einen Zugangscode angeben.
OTP-Diensteinstellungen angeben
Zunächst schalten Sie den OTP-Dienst ein. Um den Schutz zu maximieren, den dieseAuthentifizierungsart bietet, verlangen Sie danach von allen Benutzern, sie verwenden. Sie gebenauch die Funktionen an, für die Zweifaktor-Authentifizierung erforderlich ist.
Die folgenden Schritte werden auf der Firewall ausgeführt.
1. Gehen Sie zu Authentifizierung > Einmalkennwort und klicken Sie auf Einstellungen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Einmalkennwort An
OTP für alle Benutzer An
OTP-Token für Benutzer automatisch erstellen An
3. Aktivieren Sie OTP für WebAdmin und Benutzerportal.
4. Klicken Sie auf Übernehmen.
Token hinzufügen
Fügen Sie ein Token hinzu. Der Endbenutzer erhält das Token über das Captive-Portal.
1. Gehen Sie zu Authentifizierung > Einmalkennwort und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Option Beschreibung
Schlüssel abcdefabcdefabcdefabcdefabcdefabcdef
Benutzer jsmith
3. Klicken Sie auf Speichern.Der QR-Code steht für den Endbenutzer im Captive-Portal zur Verfügung. Der Benutzer kannden Code mit Sophos Authenticator scannen und anfangen, Kennwörter zu verwenden, um sichanzumelden.
4. Optional: Lokalisieren Sie den Benutzer und klicken Sie auf
.
Die Firewall zeigt das Token als einen QR-Code und als Textschlüssel an. Sie können denTextschlüssel zum Benutzer senden.
Copyright © 2018 Sophos Limited 455
XG Firewall
19.14 Active-Directory-AuthentifizierungkonfigurierenSie können bestehende Active-Directory-Benutzer zur Firewall hinzufügen. Dafür fügen Sie einen AD-Server hinzu, importieren Gruppen und stellen die primäre Authentifizierungsmethode ein.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Einen Active-Directory-Server auf der Firewall hinzufügen und konfigurieren.
• AD-Gruppen mithilfe des Gruppenimport-Assistenten importieren.
• Die primäre Authentifizierungsmethode einstellen, sodass die Firewall zuerst den AD-Serverabfragt.
Zugehörige KonzepteActive-Directory-Server (Seite 412)Mithilfe von Microsoft Active Directory können Sie die Firewall als eine Windows-Domäne registrierenund ein Objekt für sie auf dem primären Domänencontroller erstellen. Die Firewall kann dann Benutzer-und Ressourceninformationen beim Windows-Domänennetzwerk anfragen.
Active-Directory-Server hinzufügen
Zunächst fügen Sie einen Active-Directory-Server hinzu, der eine Suchabfrage besitzt.
Sie werden die folgenden Informationen benötigen, um die Aufgabe abzuschließen:
• Domänenname
• NetBIOS Domäne
• Active-Directory-Server-Kennwort
Überprüfen Sie den Eigenschaften des Active-Directory-Servers. Gehen Sie zum Beispiel beiMicrosoft Windows zu Verwaltungstools.
Suchabfragen basieren auf dem Domänennamen (DN). In diesem Beispiel ist der Domänennamesophos.com, daher ist die Suchabfrage: dc=sophos,dc=com.
1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
456 Copyright © 2018 Sophos Limited
XG Firewall
HinweisFür Einstellungen, die hier nicht aufgeführt sind, verwenden Sie den Standardwert.
Verwenden Sie das Kennwort, das auf dem Active-Directory-Server konfiguriert ist.
Option Beschreibung
Servertyp Active Directory
Servername My_AD_Server
Server-IP/Domäne 192.168.1.100
NetBIOS-Domäne sophos
ADS-Benutzername administrator
Kennwort <AD-Serverkennwort>
Domänenname sophos.com
Suchanfragen dc=sophos,dc=com
3. Klicken Sie auf Verbindung testen, um die Benutzerzugangsdaten zu validieren und dieVerbindung zum Server zu testen.
4. Klicken Sie auf Speichern.
Active-Directory-Gruppen importieren
Importieren Sie Active-Directory-Gruppen in die Firewall und geben Sie Richtlinien für sie an.
1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf
.
2. Im Gruppenimport-Assistenten, klicken Sie auf Start.
3. Wählen Sie die Basis-DN für Gruppen aus.
Copyright © 2018 Sophos Limited 457
XG Firewall
4. Wählen Sie die zu importierenden AD-Gruppen aus.
5. Wählen Sie gemeinsame Richtlinien für Gruppen aus.
6. Überprüfen Sie die Auswahl.
7. Sehen Sie sich die Ergebnisse an.
8. Gehen Sie zu Authentifizierung > Gruppen und überprüfen Sie die kürzlich importierten Gruppen.
Primäre Authentifizierungsmethode festlegen
Um zuerst den Active-Directory-Server abzufragen, legen Sie ihn als erste Authentifizierungsmethodefest. Wenn sich ein Benutzer das erste Mal an der Firewall anmeldet, wird er automatisch als Mitgliedzur Standardgruppe hinzufügt.
1. Gehen Sie zu Authentifizierung > Dienste.
2. Wählen Sie in der Authentifizierungsserver-Liste My_AD_Server aus.
458 Copyright © 2018 Sophos Limited
XG Firewall
3. Schieben Sie den Server zur ersten Position auf der Liste der ausgewählten Server.
4. Klicken Sie auf Übernehmen.
Gehen Sie zu Authentifizierung > Gruppen und überprüfen Sie die importierten Gruppen.
19.15 LDAP-Authentifizierung konfigurierenSie können bestehende LDAP-Benutzer zur Firewall hinzufügen. Das Hinzufügen von Benutzer zueiner dedizierten Gruppe ermöglicht Ihnen, Richtlinien für diese Benutzer festzulegen. Sie fügen eineGruppe und einen LDAP-Server hinzu und stellen die primäre Authentifizierungsmethode ein.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Eine Gruppe für LDAP-Benutzer hinzufügen und Zugriffsrichtlinien festlegen.
• Einen LDAP-Server hinzufügen und konfigurieren.
• Die primäre Authentifizierungsmethode einstellen, sodass die Firewall zuerst den LDAP-Serverabfragt und der dedizierten Gruppe LDAP-Benutzer zuweist.
Zugehörige KonzepteLDAP-Server (Seite 408)Lightweight Directory Access Protocol ist ein Netzwerkprotokoll, um Anfragen an Verzeichnisdienste zustellen, die auf dem X.500-Standard basieren, und diese zu modifizieren. Die Firewall verwendet dasLDAP-Protokoll, um Benutzer für bestimmte Dienste zu authentifizieren und Zugriff zuzulassen oderzu verweigern, basierend auf Attributen oder Gruppenzugehörigkeiten. Die Firewall unterstützt auchLDAPS/SLDAP (LDAP Secure oder Secure LDAP) over Sockets Layer (SSL) oder Transport LayerSecurity (TLS).
LDAP-Gruppe hinzufügen
Erstellen Sie eine dedizierte Gruppe für LDAP-Benutzer und legen Sie Zugriffsrichtlinien fest.
1. Gehen Sie zu Authentifizierung > Gruppen und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
Copyright © 2018 Sophos Limited 459
XG Firewall
HinweisFür Einstellungen, die hier nicht aufgeführt sind, verwenden Sie den Standardwert.
Option Beschreibung
Gruppenname LDAP
Surfkontingent Unbegrenzter Internetzugriff
Zugriffszeit Immer erlaubt
3. Klicken Sie auf Speichern.
LDAP-Server hinzufügen
Fügen Sie einen LDAP-Server hinzu, der eine BaseDN festlegt.
Sie werden die folgenden Informationen benötigen, um die Aufgabe abzuschließen:
• Authentifizierungsattribut
• Gruppenname-Attribut
1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
HinweisFür Einstellungen, die hier nicht aufgeführt sind, verwenden Sie den Standardwert.
Option Beschreibung
Servertyp LDAP-Server
Servername LDAP_Server
Server-IP/Domäne 192.168.1.101
Verbindungssicherheit SSL/TLS
Base-DN DC=sophos,DC=com
Authentifizierungsattribut UID
Gruppenname-Attribut GID
Ablaufdatum-Attribut Datum
3. Klicken Sie auf Verbindung testen, um die Benutzerzugangsdaten zu validieren und dieVerbindung zum Server zu testen.
4. Klicken Sie auf Speichern.
Primäre Authentifizierungsmethode festlegen
Um zuerst den LDAP-Server abzufragen, legen Sie ihn als erste Authentifizierungsmethode fest.Wenn sich ein Benutzer das erste Mal an der Firewall anmeldet, wird er automatisch als Mitglied zurStandardgruppe hinzufügt. Geben Sie in diesem Fall die LDAP-Gruppe an.
1. Gehen Sie zu Authentifizierung > Dienste.
460 Copyright © 2018 Sophos Limited
XG Firewall
2. Wählen Sie in der Authentifizierungsserver-Liste LDAP_Server aus.
3. Schieben Sie den Server zur ersten Position auf der Liste der ausgewählten Server.
4. Wählen Sie als Standardgruppe LDAP.
5. Klicken Sie auf Übernehmen.
19.16 RADIUS-Authentifizierung konfigurierenSie können bestehende RADIUS-Benutzer zur Firewall hinzufügen. Dafür fügen Sie einen RADIUS-Server hinzu und stellen die primäre Authentifizierungsmethode ein.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Einen NTP-Server auf der Firewall hinzufügen und konfigurieren.
• Die primäre Authentifizierungsmethode einstellen, sodass die Firewall zuerst den AD-Serverabfragt.
Zugehörige KonzepteRADIUS-Server (Seite 414)Remote Authentication Dial In User Service ist ein Protokoll, mit dem Netzwerkgeräte, wie z.B. Router,Benutzer mithilfe einer Datenbank authentifizieren können. Kennwörter werden mithilfe des RADIUS-Schlüssels (secret) verschlüsselt. Die Autorisierung, um auf einen Dienst zuzugreifen, wird gewährt,wenn eine Anfrage mit einer Gruppe von Attributen übereinstimmt, wie z.B. die IP-Adresse desanfragenden Clients. Authentifizierungs- und Autorisierungsinformationen werden in Benutzerprofilengespeichert. RADIUS unterstützt auch Accounting, das üblicherweise für die Abrechnung undstatistische Zwecke verwendet wird.
RADIUS-Server hinzufügen
Fügen Sie einen RADIUS-Server hinzu, der einen vereinbarten Schlüssel und ein Gruppenname-Attribut besitzt.
Sie werden die folgenden Informationen benötigen, um die Aufgabe abzuschließen:
• Vereinbarter Schlüssel des RADIUS-Servers
• Gruppenname-Attribut des RADIUS-Servers
Copyright © 2018 Sophos Limited 461
XG Firewall
1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
2. Legen Sie Einstellungen fest.
HinweisFür Einstellungen, die hier nicht aufgeführt sind, verwenden Sie den Standardwert.
Verwenden Sie den vereinbarten Schlüssel und das Gruppenname-Attribut, die auf dem RADIUS-Server konfiguriert sind.
Option Beschreibung
Servertyp RADIUS-Server
Servername SF_RADIUS
Server-IP 192.168.1.102
Accounting aktivieren Ja
Accountingport 1813
Vereinbarter Schlüssel <Vereinbarter Schlüssel des RADIUS-Servers>
Gruppenname-Attribut <Gruppenname-Attribut des RADIUS-Servers>
3. Klicken Sie auf Verbindung testen, um die Benutzerzugangsdaten zu validieren und dieVerbindung zum Server zu testen.
4. Klicken Sie auf Speichern.
Primäre Authentifizierungsmethode festlegen
Um zuerst den RADIUS-Server abzufragen, legen Sie ihn als erste Authentifizierungsmethode fest.Wenn sich ein Benutzer das erste Mal an der Firewall anmeldet, wird er automatisch als Mitglied zurStandardgruppe hinzufügt.
1. Gehen Sie zu Authentifizierung > Dienste.
2. Wählen Sie in der Authentifizierungsserver-Liste SF_RADIUS aus.
3. Schieben Sie den Server zur ersten Position auf der Liste der ausgewählten Server.
4. Klicken Sie auf Übernehmen.
Testen Sie die Konfiguration indem Sie sich am Captive-Portal mit den Benutzerzugangsdatenvom RADIUS-Server anmelden. Sie können das Captive-Portal über https://<SFOS-IP-Adresse>:8090 erreichen.
462 Copyright © 2018 Sophos Limited
XG Firewall
19.17 Transparente Authentifizierung mithilfe vonSTAS konfigurierenClientloses SSO in der Form von Sophos Transparent Authentication Suite (STAS). Sie können STASin eine Umgebung mit einem einzigen Active-Directory-Server integrieren.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• STAS installieren und einen Agent und einen Collector konfigurieren.
• STAS in die Firewall integrieren.
• Live-Benutzer verifizieren.
Zugehörige KonzepteSTAS (Seite 449)Sophos Transparent Authentication Suite (STAS) ermöglicht Benutzern auf einer Windows-Domäne, sich an der Firewall anzumelden, sobald sie sich an Windows anmelden. Das beseitigt dieNotwendigkeit von mehreren Anmeldungen und von SSO-Clients auf jedem Arbeitsplatzrechner.
Systemsicherheit konfigurieren
Konfigurieren Sie Überwachungsrichtlinien, weisen Sie Benutzerrechte zu und ändern Sie Firewall-Einstellungen.
1. Klicken Sie in Windows auf die Schaltfläche Start und gehen Sie zu Verwaltung > LokaleSicherheitsrichtlinie.
2. Gehen Sie zu Lokale Richtlinien > Überwachungsrichtlinie und öffnen Sie Anmeldeereignisseüberwachen.
3. Wählen Sie die Optionen Erfolgreich und Fehler aus und klicken Sie auf OK.
Copyright © 2018 Sophos Limited 463
XG Firewall
4. Gehen Sie zu Lokale Richtlinien > Zuweisen von Benutzerrechten und öffnen Sie Anmeldenals Dienst.
5. Wenn der administrative Benutzer, der STAS installiert und betreibt, nicht aufgeführt ist, klicken Sieauf Benutzer oder Gruppen hinzufügen, fügen Sie den Benutzer hinzu und klicken Sie auf OK.
6. Öffnen Sie Ports.
Konfigurieren sie die Windows-Firewall und Firewalls von Drittanbietern, um die Kommunikationüber folgende Ports zu ermöglichen:
• AD-Server: Eingehend UDP 6677, Ausgehend UDP 6060, Ausgehend TCP 135 und 445(wenn die Workstation-Polling-Methode WMI oder Registry Read Access verwendet werden),Ausgehend ICMP (wenn Logoff Detection Ping verwendet wird), Eingehend/Ausgehend UDP50001 (Collector-Test), Eingehend/Ausgehend TCP 27015 (Konfigurationssychronisierung).
• Arbeitsplatzrechner: Eingehend TCP 135 & 445 (wenn die Workstation-Polling-Methode WMIoder Registry Read Access verwendet werden), Eingehend ICMP (wenn Logoff DetectionPing verwendet wird).
HinweisDie Dienste RPC, RPC locator, DCOM und WMI sollten auf Arbeitsplatzrechnern aktiviert seinfür WMI/Registry Read Access.
STAS installieren
Laden Sie STAS herunter und installieren Sie es auf dem Active-Directory-Server.
1. Gehen Sie auf der Firewall zu Authentifizierung > Client-Downloads und laden Sie SophosTransparent Authentication Suite (STAS) herunter.
2. Verschieben Sie das Installationsprogramm auf den Active-Directory-Server.
3. Starten Sie das Installationsprogramm auf dem Active-Directory-Server und klicken Sie auf Next.
464 Copyright © 2018 Sophos Limited
XG Firewall
4. Folgen Sie dem Einrichtungsassistenten, um Zielorte und andere Optionen anzugeben. Klicken Siedanach auf Installieren.
5. Wählen Sie SSO-Suite aus und klicken Sie auf Next.
6. Geben Sie die Administratorzugangsdaten ein und klicken Sie auf Next.
7. Klicken Sie auf Finish.
STAS konfigurieren
Konfigurieren Sie einen Collector, einen Agent und allgemeine Einstellungen.
Copyright © 2018 Sophos Limited 465
XG Firewall
1. Starten Sie STAS auf dem AD-Server, klicken Sie auf das Tab STA-Collektor und legenEinstellungen fest.
HinweisFür Einstellungen, die hier nicht aufgeführt sind, verwenden Sie den Standardwert.
Option Beschreibung
Sophos Appliances 192.168.1.251
Workstation polling method WMI
2. Klicken Sie auf das Tab STA Agent und legen Einstellungen fest.
Option Beschreibung
Legen Sie die Netzwerke fest, die überwachtwerden sollen.
192.168.1.0/24
3. Klicken Sie auf das Tab General und legen Einstellungen fest.
Option Beschreibung
NetBIOS-Name TESTLAB
Vollständiger Domänenname testlab.com
4. Klicken Sie auf Apply.
5. Klicken Sie auf Start, um den STAS-Dienst zu starten.
STAS in die Firewall integrieren
Aktivieren Sie STAS auf der Firewall und fügen Sie einen neuen Collector hinzu. Öffnen Sie danachSTAS auf dem AD-Server und überprüfen Sie, ob die IP-Adresse der Firewall angezeigt wird.Erstellen Sie schließlich eine Firewallregel, um Datenverkehr basierend auf der Benutzeridentität zukontrollieren.
Bevor Sie STAS integrieren, gehen Sie zu Authentifizierung > Dienste und wählen Sie Ihren AD-Server als primäre Authentifizierungsmethode aus.
466 Copyright © 2018 Sophos Limited
XG Firewall
1. Gehen Sie auf der-Firewall zu Authentifizierung > STAS.
2. Schalten Sie Sophos Transparent Authentication Suite einschalten ein und klicken Sie aufSTAS aktivieren.
3. Klicken Sie auf Neuen Kollektor hinzufügen und legen Sie die Einstellungen fest.
Option Beschreibung
Kollektor-IP 192.168.1.10
4. Klicken Sie auf Speichern.Die Firewall versucht, STAS auf dem AD-Server über UDP 6060 zu kontaktieren.
5. Starten Sie STAS auf dem AD-Server und klicken Sie auf das Tab Allgemein.
Sie sollten die IP-Adresse der Firewall in der Liste der Sophos Appliances sehen. Das bedeutet,dass STAS mit der Firewall verbunden ist.
Copyright © 2018 Sophos Limited 467
XG Firewall
6. Gehen Sie zu Firewall, klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregelund erstellen Sie eine identitätsbasierte Regel, um den Datenverkehr basierend auf derBenutzeridentität zu kontrollieren.
Live-Benutzer verifizieren
Sobald sich Benutzer erfolgreich an der Domäne authentifiziert haben, können Sie sie als Live-Benutzer sowohl auf STAS als auch auf der Firewall sehen.
1. Auf STAS, gehen Sie zu Advanced und wählen Sie Show live users.
468 Copyright © 2018 Sophos Limited
XG Firewall
2. Gehen Sie auf der Firewall zu Aktuelle Aktivitäten > Live-Benutzer.
19.18 Chromebook Single Sign-On konfigurierenLernen Sie, wie Sie XG Firewall konfigurieren, um Chromebook-Benutzer an XG Firewall zur gleichenZeit anzumelden, wenn diese sich an ihrem Chromebook anmelden.
Zielsetzungen
Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
• Einen Active-Directory-Server in XG Firewall für die Verwendung mit Google Chrome Enterprisekonfigurieren.
• Ein Chromebook für die Verwendung mit XG Firewall konfigurieren.
• Google Chrome Enterprise für die Verwendung mit XG Firewall konfigurieren.
Zugehörige KonzepteDienste (Seite 421)Wählen Sie die Authentifizierungsserver für die Firewall und andere Dienste wie VPN aus. Sie könnenauch globale Authentifizierungseinstellungen, NTLM-Einstellungen, Webclient-Einstellungen und
Copyright © 2018 Sophos Limited 469
XG Firewall
RADIUS Single-Sign-On-Einstellungen konfigurieren. Maßnahmen für Internetrichtlinien erlauben Ihnenfestzulegen, wohin unauthentifizierte Benutzer geleitet werden.
Verwandte InformationenGoogle Chrome Enterprise Hilfe: Set Chrome policies
Chromebook SSO mit Active Directory konfigurieren
Konfigurieren Sie zunächst XG Firewall.
• Ihr Active-Directory-Server ist bereits für die Verwendung mit G Suite konfiguriert und dieSynchronisierung hat stattgefunden.
• Sie wissen, wie man einen Active-Directory-Server in XG Firewall konfiguriert.
• Sie wissen, wie man Zertifikate erstellt oder importiert.
• Sie wissen, wie man Firewallregeln erstellt.
• Chromebooks können sich mit dem von XG Firewall kontrollierten Netzwerk verbinden, z.B. demLAN oder WLAN.
1. Active-Directory-Server erstellen.
Die Chromebook-Benutzer im AD müssen E-Mail-Adressen haben, welche die bei G Suiteregistrierte Domäne verwenden. Wenn Ihre registrierte Domäne z.B. example.com ist, müssenAD-Chromebook-Benutzer eine E-Mail-Adresse der Form [email protected] haben.
2. Ändern Sie den Appliance-Zugriff, um Chromebook SSO zuzulassen.
Gehen Sie zu Verwaltung > Appliance-Zugriff und wählen Sie Chromebook SSO für die Zone,aus der sich die Chromebook-Benutzer verbinden dürfen, z.B. LAN und WLAN.
3. Erstellen oder importieren Sie ein gültiges Zertifikat.
WichtigDer CN muss mit der Zone oder dem Netzwerk übereinstimmen, wo sich die Chromebook-Benutzer befinden, z.B. gateway.example.com.
Das Zertifikat darf nicht durch ein Kennwort geschützt sein.
Das Zertifikat wird für die SSL-verschlüsselte Kommunikation mit den Chromebooks verwendet.
4. Gehen Sie zu Authentifizierung > Dienste > Chromebook SSO, schalten Sie die Chromebook-SSO-Funktion ein und legen Sie die folgenden Einstellungen fest:
Option Beschreibung
Domäne Die Domäne, die bei G Suite registriert ist, z.B.example.com
Port 65123
Zertifikat Das oben erstellte oder importierte Zertifikat.
Protokollierungsstufe Wählen Sie den Umfang der Protokollierung.
5. Erstellen Sie Firewallregeln.
a) Erstellen Sie eine Benutzer-/Netzwerkregel, um Google API und Chrome Web Store dieKommunikation mit allen Geräten zu gestatten. Dies ist nötig, um die App auf die Chromebookszu senden:
• Quellzonen, z.B.: LAN, WLAN
470 Copyright © 2018 Sophos Limited
XG Firewall
• Zielzonen, z.B.: WAN
• Zielnetzwerke: Wählen Sie die vordefinierten FQDN-Hostgruppen Google API Hosts undGoogle Chrome Web Store aus.
b) Erstellen Sie eine Benutzer-/Netzwerkregel, die bekannte Benutzer abgleicht undunbekannten Benutzern das Captive-Portal anzeigt, um Chromebooks Internetzugriff zugewähren.
• Quellzonen, z.B.: LAN, WLAN
• Zielzonen, z.B.: WAN
• Identität: Wählen Sie die folgenden Optionen aus: Übereinstimmung mit bekanntenBenutzern, Unbekannten Benutzern das Captive-Portal anzeigen
Sortieren Sie beide Regeln, sodass Regel A vor Regel B angewendet wird.
Wenn Sie in Regel B nicht Unbekannten Benutzern das Captive-Portal anzeigen auswählen,empfehlen wir, dass Sie eine weitere Netzwerkregel C erstellen, um mögliche Wartezeiten zuvermeiden, wenn der Chrome Web Store kontaktiert wird.
c) Erstellen Sie ein Benutzer-/Netzwerkregel mit den folgenden Einstellungen:
• Regeltyp: Ablehnen
• Quellzonen, z.B.: LAN, WLAN
• Zielzonen: WAN
Platzieren Sie die Regel unten auf der Liste, sodass die Regel zuletzt angewendet wird.
Ein Chromebook konfigurieren.
Ein Chromebook konfigurieren, indem Sie die Sophos Chromebook user ID App aus dem Web Storeinstallieren.
Google Chrome Enterprise konfigurieren
Konfigurieren Sie G Suite für die Kommunikation mit XG Firewall.
1. Melden Sie sich bei G Suite an und gehen Sie zu Geräteverwaltung > Chrome-Verwaltung >App-Verwaltung.
2. Suchen sie nach der Sophos Chromebook user ID app und wählen Sie sie aus.
3. Gehen Sie zu Nutzereinstellungen und nehmen Sie die folgenden Einstellungen für Ihre Domänevor:
Installation zulassen Eingeschaltet lassen. Ermöglicht Benutzern,Apps selbst zu installieren.
Installation erzwingen Aktivieren, um die App automatisch auf allenChromebooks zu installieren, die für IhreDomäne konfiguriert sind.
An Taskleiste anheften Aktivieren, um die App in der Taskleiste desChromebooks nach der Installation anzuzeigen.
Zur Chrome Web Store-Sammlunghinzufügen
Aktivieren, um die App in der Chrome WebStore-Sammlung für Ihre Organisationanzeigen.
Copyright © 2018 Sophos Limited 471
4. Erstellen Sie eine JSON-Konfigurationsdatei mit dem folgenden Inhalt:
{ "serverAddress": { "Value": "10.1.1.1" }, "serverPort": { "Value": 65123 }, "logLevel": { "Value": 2 }, "logoutOnLockscreen": { "Value": true }, "logoutOnIdle": { "Value": true }, "idleInterval": { "Value": 900 }}
Ersetzen Sie den Wert serverAddress durch die LAN-IP oder DNS-Adresse Ihrer XG Firewall, diemit der CN des Zertifikats übereinstimmen muss.
5. Laden Sie die Konfigurationsdatei in G Suite hoch.
6. Speichern Sie.
7. Gehen Sie zu Einstellungen für öffentliche Sitzungen, legen Sie die gleichen Einstellungen wiefür Nutzereinstellungen fest und laden Sie dort auch die JSON-Konfigurationsdatei hoch.Die Konfigurationsänderungen werden automatisch auf alle verwalteten Geräten verteilt. DieGoogle-Dokumentation besagt, dass „Einstellungen in Minuten in Kraft treten. Aber dass sie bis zueiner Stunde benötigen, um für alle angewendet zu werden.“
Der Konfigurationsvorgang hier ist abgeschlossen, es sei denn, Sie verwenden ein selbst-signiertesZertifikat für XG Firewall. In diesem Fall, müssen Sie das entsprechende Zertifikat an die Chromebooksverteilen. Fahren Sie mit dem nächsten Abschnitt fort.
Sobald sich Benutzer mit der in G Suite konfigurierten Domäne authentifizieren, werden sie unterAktuelle Aktivitäten > Live-Benutzer angezeigt.
CA-Zertifikat für Proxy- und App-Kommunikation installieren
Wenn Sie ein selbstsigniertes Zertifikat für XG Firewall verwenden, müssen Sie das entsprechendeCA-Zertifikat in G Suite hinterlegen, damit die Proxy- und App-Kommunikation funktioniert.
Sie werden das CA-Zertifikat (üblicherweise Standard) brauchen, das Sie von XG Firewall unterZertifikate > Zertifizierungsstellen (CA) herunterladen können.
1. Melden Sie sich an G Suite an und gehen Sie zu Geräteverwaltung > Netzwerke > Zertifikate.
2. Klicken Sie auf Zertifikat hinzufügen und laden Sie das CA-Zertifikat hoch, das Sie von XGFirewall heruntergeladen haben.
3. Wählen Sie die Option Dieses Zertifikat als HTTPS-Zertifizierungsstelle nutzen aus.
Kapitel 20
20 SystemdiensteVerwenden Sie Systemdienste, um den RED Provisioning Service, Hochverfügbarkeit undglobale Malware-Protection-Einstellungen zu konfigurieren. Andere Optionen lassen Sieden Bandbreitennutzung sehen und die Bandbreite verwalten, um den Einfluss von starkemVerkehrsaufkommen zu verringern. Über die Protokolleinstellungen können Sie festlegen, dassSystemaktivität protokolliert wird und wie Protokolle gespeichert werden. Datenanonymisierung erlaubtIhnen, Identitäten in Protokollen und Berichten zu verschlüsseln.
20.1 HochverfügbarkeitHochverfügbarkeit (high availability, HA) bezeichnet die Hardware-Konfiguration und -einstellungen,die der Firewall ermöglichen, während eines Stromausfalls, Festplattenausfalls oder einem anderenEreignis weiter zu funktionieren.
HinweisDie Unterstützung für HA variiert je nach Appliance-Modell. Prüfen Sie Ihre Gerätespezifikation.
Um einen durchgehende Verfügbarkeit zu gewährleisten, werden Appliances als Verbund (cluster)aufgesetzt. Wenn die primäre Appliance in einem Cluster ausfällt, übernimmt die sekundäreAppliance, sodass es zu keiner Unterbrechung des Firewallschutzes kommt. Die Appliances sindphysikalisch über einen dedizierten HA-Link-Port verbunden.
Sie können den HA-Status im Kontrollzentrum überprüfen.
Der Vorgang, bei dem eine Appliance übernimmt, wenn es keine Kommunikation mehr von seinerGegenstelle im festgelegten Zeitraum erhält, wird als device failover (Geräte-Failover) bezeichnet.
Gegenstellen in einem HA-Cluster überwachen kontinuierlich den dedizierten HA-Link und dieSchnittstellen, die zur Überwachung konfiguriert wurden. Wenn irgendein überwachter Port ausfällt,verlässt die Appliance den Cluster und es findet ein Link-Failover statt.
Während eines Geräte-Failovers oder eines Link-Failovers passiert ein session failover (Sitzungs-Failover) für weitergeleiteten TCP-Verkehr, welcher nicht über einen Proxy-Dienst läuft, außer beifolgendem: Ein Virenscan findet statt, VPN-Sitzungen, UDP-, ICMP-, Multicast- oder Broadcast-Sitzungen und Proxy-Verkehr.
Zugehörige AufgabenDie primäre XG Firewall konfigurieren (Seite 474)Sekundäre XG Firewall konfigurieren (Seite 476)
20.1.1 HA-Voraussetzungen
Sie können ein HA-Link-Paar mithilfe eine der folgenden Methoden herstellen:
• Direkt, über ein Überkeuzkabel.
• Indirekt, über ein dediziertes Ethernet-Netzwerk. Der HA-Verwaltungsverkehr muss auf einemisolierten Netzwerk stattfinden, z.B. einem dedizierten VLAN über ein Ethernet-Netzwerk.
XG Firewall
• Mithilfe eines Linkbündelungs-Switch in LACP 802.3ad Modus, wobei XG Firewall im Bridge-Modus angeschlossen wird.
HinweisVerwenden Sie das Netzwerkmedium, das in der Lage ist, Multicast-Pakete weiterzuleiten, dienicht fürs Routen vorgesehen sind.
Voraussetzungen
• An beiden Appliances müssen die Kabel zu allen überwachten Ports angeschlossen sein.
• Die Appliances im HA-Cluster müssen vom gleichen Modell und Revision sein.
• Die Appliances müssen registriert sein.
• Die Appliances müssen dieselbe Anzahl an Schnittstellen haben.
• Die Appliances müssen die gleiche Firmware-Version installiert haben (einschließlichMaintenance-Releases und Hotfixes).
• Für eine Aktiv/Aktiv-Konfiguration wird eine Lizenz je Appliance benötigt.
• Für eine Aktiv/Passiv-Konfiguration wird eine Lizenz für jede primäre Appliance benötigt. Für diesekundäre Appliance ist keine Lizenz erforderlich.
• Die Appliances müssen die gleichen Abonnement-Module aktiviert haben.
• Sichern Sie Ihre Netzwerkumgebung, da der Kommunikationskanal zwischen den HA-Knotenunverschlüsselt ist.
• Auf beiden Appliances muss der dedizierte HA-Link ein Mitglied derselben Zone des Typs DMZsein und muss eine eindeutige IP-Adresse besitzen. Außerdem muss SSH für beide Appliancesin der DMZ-Zone aktiviert sein.
• Zugang über SSH auf die DMZ-Zone muss für beide XG Firewall Appliances aktiviert sein.
• Die DHCP- und PPPoE-Konfiguration muss deaktiviert sein, bevor eine HA-Konfigurationversucht wird.
• Die HA-Link-Verzögerung verstärkt sich mit zunehmender Distanz. Wir empfehlen, dass SieSpanning Tree Protocol (STP) auf dem dedizierten HA-Link deaktivieren.
• Auf der Schnittstelle, die mit dem Switch verbunden ist, passen Sie die Link-Aktivierungszeitfür jeden Port an, der mit der Firewall-Schnittstelle verbunden ist. Dies gilt, wenn der Ethernet-Switch Spanning Tree Protocol (STP) oder Rapid Spanning Tree Protocol (RSTP) verwendet.Auf einem Cisco Switch der Catalyst-Serie zum Beispiel, aktivieren Sie Spanning-Tree portfastauf jedem Port, der mit der Firewall-Schnittstelle verbunden ist.
20.1.2 Die primäre XG Firewall konfigurieren
Sie müssen die sekundäre Appliance konfigurieren, bevor Sie die primäre Appliance konfigurierenkönnen, und HA aktivieren.
1. Gehen Sie zu Systemdienste > Hochverfügbarkeit.
2. Legen Sie den Anfangsstatus der HA-Appliances fest.
Option Beschreibung
Anfangsstatus der HA-Appliances Primäre Appliance
474 Copyright © 2018 Sophos Limited
XG Firewall
3. Legen Sie den HA-Konfigurationsmodus für den Cluster fest.
Option Beschreibung
Aktiv/Aktiv Die primäre Appliance empfängt allenNetzwerkverkehr und verteilt die Verkehrslastmithilfe des sekundären. Sowohl die primäreals auch die sekundäre Appliance verarbeitenDatenverkehr. Die sekundäre übernimmt, wennes auf der primären Appliance zu einem Strom-,Hardware- oder Softwareausfall kommt.
Aktiv/Passiv Die primäre Appliance verarbeitet allenNetzwerkverkehr und die sekundäre verweiltim Wartemodus. Die sekundäre wird aktivund übernimmt nur, wenn es auf der primärenAppliance zu einem Strom-, Hardware- oderSoftwareausfall kommt.
4. Geben Sie ein Kennwort ein und bestätigen Sie es.
HinweisDie Appliances im Cluster müssen dasselbe Kennwort haben.
5. Wählen Sie einen dedizierten HA-Link.
Option Beschreibung
Dedizierter HA-Link Der Link, der überwacht werden soll.Gegenstellen in einem HA-Cluster überwachenkontinuierlich den dedizierten HA-Link und dieSchnittstellen, die zur Überwachung konfiguriertwurden.
HinweisDie Gegenstellen-Appliance muss den gleichen HA-Link verwenden. Legen Sie diesen Portals HA-Link-Port auf der Gegenstelle fest. Wenn Sie z.B. Port E auf der primären Appliancewählen, müssen Sie auch auf der sekundären Appliance Port E auswählen.
HinweisDie IP-Adresse des HA-Links für die Gegenstellen-Appliance muss im gleichen Subnetz sein.
6. Legen Sie Einstellungen fest.
Option Beschreibung
HA-Link IPv4 der Gegenstelle IP-Adresse, die auf dem HA-Link-Port dersekundären Appliance konfiguriert wurde.
Gegenstellen-Verwaltungsport Port, der auf der sekundären Appliance fürVerwaltungszwecke verwendet wird.
Gegenstellen-Verwaltungs-IP IP-Adresse, die Zugang zur Administrations-Konsole der sekundären Appliance gewährt.
7. Wählen Sie die Ports aus, deren HA-Status überwacht werden soll.
Copyright © 2018 Sophos Limited 475
XG Firewall
Wenn irgendein überwachter Port ausfällt, verlässt die Appliance den Cluster und es findet einFailover statt.
HinweisDiese Funktion wird von virtuellen Sicherheitsgeräten nicht unterstützt.
8. Klicken Sie auf HA einschalten.Die primäre Appliance sendet seine Konfiguration auf die sekundäre Appliance.
Wenn HA aktiv ist, synchronisieren sich die Appliances automatisch. Um die Appliance zu zwingen,regelmäßig Konfigurationsaktualisierungen an die sekundäre Appliance zu senden, klicken Sie aufSekundäre synchronisieren.
Wenn Sie die Appliance für den Aktiv/Passiv-Modus konfiguriert haben, können Sie erzwingen, dassdie sekundäre Appliance als primäre Appliance übernimmt, indem Sie auf Auf Standby setzenklicken.
Zugehörige KonzepteHochverfügbarkeit (Seite 473)Hochverfügbarkeit (high availability, HA) bezeichnet die Hardware-Konfiguration und -einstellungen,die der Firewall ermöglichen, während eines Stromausfalls, Festplattenausfalls oder einem anderenEreignis weiter zu funktionieren.
20.1.3 Sekundäre XG Firewall konfigurieren
1. Gehen Sie zu Systemdienste > Hochverfügbarkeit.
2. Legen Sie den Anfangsstatus der HA-Appliances fest.
Option Beschreibung
Anfangsstatus der HA-Appliances Sekundär
3. Geben Sie ein Kennwort ein und bestätigen Sie es.
HinweisDie Appliances im Cluster müssen dasselbe Kennwort haben.
4. Wählen Sie einen dedizierten HA-Link.
Option Beschreibung
Dedizierter HA-Link Der Link, der überwacht werden soll.Gegenstellen in einem HA-Cluster überwachenkontinuierlich den dedizierten HA-Link und dieSchnittstellen, die zur Überwachung konfiguriertwurden.
HinweisDie Gegenstellen-Appliance muss den gleichen HA-Link verwenden. Legen Sie diesen Portals HA-Link-Port auf der Gegenstelle fest. Wenn Sie z.B. Port E auf der primären Appliancewählen, müssen Sie auch auf der sekundären Appliance Port E auswählen.
476 Copyright © 2018 Sophos Limited
XG Firewall
HinweisDie IP-Adresse des HA-Links für die Gegenstellen-Appliance muss im gleichen Subnetz sein.
5. Klicken Sie auf Speichern.
Konfigurieren Sie die primäre Appliance. Nachdem Sie die primäre Appliance konfiguriert haben undwenn HA aktiv ist, synchronisieren sich die Geräte automatisch. Um die sekundäre Appliance zuzwingen, regelmäßig Konfigurationsaktualisierungen von der primären Appliance zu holen, klickenSie auf Mit primärer synchronisieren.
Zugehörige KonzepteHochverfügbarkeit (Seite 473)Hochverfügbarkeit (high availability, HA) bezeichnet die Hardware-Konfiguration und -einstellungen,die der Firewall ermöglichen, während eines Stromausfalls, Festplattenausfalls oder einem anderenEreignis weiter zu funktionieren.
20.1.4 Unterstützung für Lastverteilung
Im Aktiv/Aktiv-Modus empfängt die primäre Appliance allen Netzwerkverkehr und verteilt Verkehr andie sekundäre Appliance in einem Vorgang, der Lastverteilung (load-balancing) genannt wird. DieUnterstützung für Lastverteilung unterscheidet sich in Abhängigkeit vom Verkehrsart.
Tabelle 33: Unterstützung für Lastverteilung nach Verkehrsart
Art des Verkehrs Unterstützt?
Normal weitergeleiteter TCP-Verkehr J
Über NAT (sowohl SNAT als auch virtueller Host)gesendeter, weitergeleiteter TCP-Verkehr
J
TCP-Verkehr, der das Proxy-Subsystem passiert:transparenter Proxy, direkter Proxy, übergeordneterProxy und VLAN-Verkehr.
J
Verkehr aus dem Routing-Modus, Bridge-Modus,gemischter Modus und Mehrport-Bridge-Modus:TCP-Verkehr, der das Proxy-Teilsystem passiert(transparent/direkt/übergeordnet); weitergeleiteterTCP-Verkehr; über NAT (SNAT und virtueller Host)gesendeter, weitergeleiteter TCP-Verkehr; HTTPS-Verbindung; VLAN-Verkehr
J
VPN N
UDP N
ICMP N
Multicast-Sitzungen N
Broadcast-Sitzungen N
Gescannter FTP-Verkehr N
Verkehr, der über RED-Geräte oder Access Pointshereinkommt
N
TCP-Verkehr für das Benutzerportal, die Web-Admin-Oberfläche oder die Telnet-Konsole
N
H.323-Verkehr-Sitzungen N
Copyright © 2018 Sophos Limited 477
XG Firewall
Art des Verkehrs Unterstützt?
Überwachungsverkehr für alle Module N
Verkehr aus dem Routing-Modus, Bridge-Modus,gemischter Modus und Mehrport-Bridge-Modus: VPN-Sitzungen, Verkehr außer TCP (UDP, ICMP, Multicast,Broadcast, usw.); vom System erzeugter Datenverkehr;gescannter FTP-Verkehr; Verkehr, der über WLAN-RED-Geräte oder Access Points hereinkommt; TCP-Verkehr für das Benutzerportal, die Web-Admin-Oberfläche oder die Telnet-Konsole; H.323-Verkehr-Sitzungen; Kontrollverkehr für alle Module
N
20.1.5 Manuelle Synchronisierung
Unter normalen Umständen wird die sekundäre Appliance automatisch mit der primären Appliancesynchronisiert. Die Möglichkeit, Gegenstellen manuell zu synchronisieren, wird bestimmt durch dieZustände der Appliances im Cluster.
Die Synchronisierung ist zum Beispiel möglich, wenn die Appliance im Status Primär in den StatusStörung wechselt, aber nicht wenn es in den Status Sekundär wechselt.
20.1.6 HA deaktivieren
Sie können HA von jeder Appliance im Cluster aus deaktivieren. Bei einer Deaktivierung von derprimären Appliance aus wird HA auf beiden Appliances deaktiviert. Bei einer Deaktivierung von dersekundären Appliance aus wird HA auf der primären nicht deaktiviert und übernimmt die Funktion einerStandalone-Appliance.
Nach der Deaktivierung von HA werden alle Ports außer dem dedizierten HA-Link-Port und demGegenstellen-Verwaltungsport auf der sekundären Appliance deaktiviert. Der Gegenstellen-HA-Link-IP wird die IP-Adresse des dedizierten HA-Link-Ports zugewiesen, während der Gegenstellen-Verwaltungs-IP die IP-Adresse des Gegenstellen-Verwaltungsports zugewiesen wird.
Nachdem HA deaktiviert wurde, werden alle Verwaltungsdienste für die LAN-Zone (HTTP, HTTPS,Telnet, SSH) zugelassen, während in der DMZ-Zone nur HTTPS- und SSH-Dienste zugelassen sind.
Nach der Deaktivierung von HA ändert sich das IP-Schema der primären Appliance nicht.
478 Copyright © 2018 Sophos Limited
XG Firewall
Wenn HA von einem Standalone-Rechner deaktiviert wird, ändert sich das IP-Schema nicht.
20.1.7 HA-Verhalten
• Die folgenden Dienste laufen nicht auf der sekundären Appliance: Routing-Dienst, VPN-Dienst,Netzwerkdienst, Anmeldeserver.
• Sitzungs-Failover ist nicht möglich bei Virenscan-Sitzungen oder anderen Sitzungen, bei denenIPv4-Verkehr weitergeleitet wird, wie ICMP-, UDP-, Multicast- und Broadcast-Verkehr, Verkehr, derdurch ein Proxy-Subsystem geleitet wird (transparent, direkt oder Parent-Proxy), und VPN-Verkehr.
• Sitzungs-Failover ist nicht möglich bei weitergeleitetem IPv6-Verkehr wie ICMPv6-, UDP-,Multicast- und Broadcast-Verkehr.
• Wenn irgendeines der manuellen Synchronisierungsereignisse von einem oder mehreren HA-Cluster-Appliances auftritt, werden alle maskierten Verbindungen verworfen.
• Es sind Administratorrechte erforderlich, um über die Web-Admin-Oberfläche auf die sekundäreAppliance zuzugreifen. Nur „admin“ Benutzer können darauf zugreifen und die Seiten Live-Benutzer, DHCP-Leases und IPsec-Verbindungen werden nicht angezeigt.
• Der Einrichtungsassistent wird für die sekundäre Appliance nicht zur Verfügung stehen.
• Wenn eine Sicherung ohne HA-Konfiguration wiederhergestellt wird (nachdem HAkonfiguriert wurde), wird HA deaktiviert und auf die primäre Appliance kann gemäß derSicherungskonfiguration zugegriffen werden, während der Zugriff auf die sekundäre Appliance mitder sekundären Admin-IP-Adresse möglich ist.
• Im Aktiv/Aktiv-Modus werden E-Mails auf beiden Appliances separat isoliert, da für den SMTP-Proxy-Datenverkehr die Lastverteilung per Round-Robin stattfindet.
• Im Aktiv/Passiv-Modus werden E-Mails nur auf der primären Appliance isoliert.
• Sofern der Quarantäne-Auszug konfiguriert ist, schicken beide Appliances im Cluster Quarantäne-Auszüge.
• Administratoren können isolierte E-Mails für alle Benutzer beider Appliances freigeben.
• Benutzer können isolierte E-Mails über das Benutzerportal freigeben. Im Benutzerportal werdennur die auf der primären Appliance isolierten E-Mails angezeigt. Benutzer können sie auch überden Quarantäne-Auszug freigeben, der von der primären Appliance verschickt wird.
• HA wird deaktiviert, wenn Sie den Bereitstellungsassistenten ausführen.
20.1.8 Terminologie zur Hochverfügbarkeit (HA)
HA-Cluster
Gruppe aus zwei Appliances, die als eine Einheit agieren. Jeder HA-Cluster verfügt über eine primäreund eine sekundäre Appliance. Die primäre Appliance steuert den Betrieb des Clusters. Die Aufgabender primären und der sekundären Appliance im Cluster hängen vom Konfigurationsmodus ab.
Aktiv/Passiv-HA-Konfigurationsmodus
Ein HA-Cluster besteht aus einer primären und einer sekundären Appliance. In diesem Modus wirdder Datenverkehr nur von der primären Appliance verarbeitet, während die sekundäre Appliance imWartemodus bleibt und erst übernimmt, wenn die primäre Appliance ausfällt.
Copyright © 2018 Sophos Limited 479
XG Firewall
Aktiv/Aktiv-HA-Konfigurationsmodus
Ein HA-Cluster besteht aus einer primären und einer sekundären Appliance. In diesem Modusverarbeiten beide Appliances Verkehr und die primäre Appliance verteilt die Verkehrslast. DieEntscheidung, die Verkehrslast zu verteilen, wird von der primären Appliance getroffen. Die sekundäreAppliance kann diese Aufgabe übernehmen, wenn die primäre Appliance ausfällt.
Primäre Appliance
In einem Aktiv/Aktiv-Cluster empfängt die primäre Appliance allen Datenverkehr im Netzwerk undagiert als Lastverteiler, der den Datenverkehr an die sekundäre Appliance weiterleitet. Die primäreAppliance ist zudem für die Nachverfolgung des Status aller Cluster-Appliances verantwortlich. Ineinem Aktiv/Passiv-Cluster verarbeitet die primäre Appliance den Datenverkehr im Netzwerk. Diesekundäre Appliance verarbeitet keinen Datenverkehr, verbleibt jedoch im Wartemodus, um bei Ausfallder primären Appliance übernehmen zu können.
Sekundäre Appliance
In einem Aktiv/Aktiv-Cluster verarbeitet die sekundäre Appliance den Netzwerkverkehr, der ihr vonder primären Appliance zugewiesen wird. Wenn die primäre Appliance ausfällt, wird die sekundäreAppliance die primäre Appliance. In einem Aktiv/Passiv-Cluster verarbeitet die sekundäre Appliancekeinen Netzwerkverkehr und befindet sich im Wartemodus. Sie wird erst aktiv, wenn die primäreAppliance zur Verarbeitung des Datenverkehrs nicht zur Verfügung steht.
Dedizierter HA-Link-Port
Der dedizierte HA-Link ist eine direkte physikalische Verknüpfung zwischen den Appliances eines HA-Clusters.
Lastverteilung
Dies ist die Fähigkeit des HA-Clusters, den Datenverkehr zwischen den Knoten des HA-Clusters zuverteilen.
Überwachte Schnittstelle
Mehrere ausgewählte Schnittstellen, die überwacht werden sollen. Jede Appliance überwacht seineeigene(n) ausgewählte(n) Schnittstelle(n). Bei Ausfall entfernt sich die Appliance selbst aus demCluster und ein Failover tritt ein.
Virtuelle MAC-Adresse
Eine MAC-Adresse, die dem HA-Cluster zugewiesen ist. Diese Adresse wird als Antwort gesendet,wenn eine der Appliances eine ARP-Anfrage an den HA-Cluster sendet. Hierbei handelt es sich nichtum die tatsächliche MAC-Adresse. Sie wird keiner Schnittstelle einer Appliance aus dem Clusterzugewiesen.
Die primäre Appliance ist Eigentümer der MAC-Adresse und leitet den Netzwerk-Datenverkehrweiter. Alle externen Clients nutzen diese Adresse, um mit dem HA-Cluster zu kommunizieren. ImFall eines Failover besitzt die neue primäre Appliance dieselbe MAC-Adresse wie die ausgefallenenprimäre Appliance. Die Appliance im Cluster, die eine virtuelle MAC-Adresse besitzt, agiert alsprimäre Appliance.
480 Copyright © 2018 Sophos Limited
XG Firewall
Primärzustand
Im Aktiv/Aktiv-Modus wird von der Appliance, welches allen Datenverkehr empfängt und dieLastverteilung vornimmt, gesagt, es befinde sich im primary state (Primärzustand). Eine Appliancekann sich nur dann im Primärzustand befinden, wenn sich die andere Appliance im Sekundärzustandbefindet.
Im Aktiv/Passiv-Modus wird von der Appliance, das den gesamten Datenverkehr verarbeitet, gesagt,sie befinde sich im Primärzustand.
Sekundärzustand
Im Aktiv/Aktiv-Modus wird von der Appliance, die den zu verarbeitenden Datenverkehr von derprimären Appliance erhält, gesagt, es befinde sich im auxiliary state (Sekundärzustand). EineAppliance kann sich nur dann im Sekundärzustand befinden, wenn sich die andere Appliance imPrimärzustand befindet.
Im Aktiv/Passiv-Modus befindet sich die Appliance, die den Datenverkehr nicht verarbeitet, imSekundärzustand. Eine Appliance kann sich nur dann im Sekundärzustand befinden, wenn sich dieandere Appliance im Primärzustand befindet.
Standalone-Status
Von einer Appliance wird gesagt, sie befinde sich im standalone state (Standalone-Status), wenn sie inder Lage ist, Verkehr zu verarbeiten, und wenn die andere Appliance nicht in der Lage ist, Verkehr zuverarbeiten (zum Beispiel, weil sie ausgefallen oder außer Betrieb ist).
Störungszustand
Eine Appliance ist im Störungszustand, wenn sie den Netzwerkverkehr nicht verarbeiten kann, weileine Appliance oder ein Link ausgefallen ist.
Gegenstelle
Nach der Konfiguration des HA-Clusters werden die Cluster-Appliances als Gegenstellen bezeichnet,d.h. die sekundäre Appliance ist die Gegenstellen-Appliance der primären Appliance und umgekehrt.
Synchronisierung
Der Austausch verschiedener Cluster-Konfigurationen zwischen Cluster-Appliances (HA-Gegenstellen). Die erzeugten Berichte werden nicht synchronisiert.
Link-Verfügbarkeit (drei Sekunden)
Zeit, die der jeweilige Link oder überwachte Port benötigte, um zur Verfügung zu stehen.
Heartbeat-(Keep-Alive)-Intervall (250 Millisekunden)
Zeitraum zwischen Heartbeat-Paketaustausch zwischen HA-Gegenstelle zur Bestätigung, dass derCluster funktioniert.
Copyright © 2018 Sophos Limited 481
XG Firewall
Appliance-Failover
Wenn eine Appliance innerhalb eines festgelegten Zeitraums von der HA-Gegenstelle keine Datenempfängt, gilt die Gegenstelle-Appliance als ausgefallen. Dieser Vorgang wird auch Appliance-Failovergenannt, denn wenn dieser Zustand eintritt, übernimmt das Gegenstellengerät.
Appliance-Failover-Erkennungszeit (Gegenstellen-Zeitüberschreitung) (4Sekunden)
Wenn die primäre Appliance aufhört Heartbeat-Pakete zu senden, wird es nach vier Sekunden als toteingestuft (250 Millisekunden x 16 Zeitüberschreitungen).
HinweisDie Gegenstelle wird als aktiv eingestuft, wenn ein Heartbeat innerhalb von 14Zeitüberschreitungen empfangen wird.
Ein Failover wird sieben Sekunden nach Verfügbarkeit des Clusters ausgelöst (drei Sekunden Link-Verfügbarkeit + vier Sekunden Appliance-Failover-Erkennungszeit). Den Failover-Schwellenwertkönnen Sie nicht ändern.
Link-Failover
Beide Appliances eines HA-Clusters überwachen kontinuierlich den dedizierten HA-Link und dieSchnittstellen, die zur Überwachung konfiguriert wurden. Wenn der Link oder eine der Schnittstellenausfallen, liegt ein Link-Failover vor.
Sitzungs-Failover
Sowohl bei einem Appliance-Failover als auch bei einem Link-Failover tritt für den weitergeleitetenTCP-Traffic ein Sitzungs-Failover ein, mit Ausnahme von laufenden Virenscan-Sitzungen, VPN-Sitzungen, UDP, ICMP, Multicast- und Broadcast-Sitzungen sowie Proxy-Traffic.
Die Appliance erhält in der Regel die Sitzungsinformationen für den TCP-Verkehr aufrecht, dernicht über den Proxy-Dienst geleitet wird. Im Fall eines Failovers wird daher die Appliance, dieübernimmt, alle Sitzungen (d.h. TCP-Sitzungen, die nicht über eine Proxy-Anwendung geleitetwerden) fortführen. Der gesamte Prozess ist für den Endbenutzer transparent.
20.2 Traffic-Shaping-EinstellungenVerwenden Sie diese Einstellungen, um die maximale Bandbreite, Verkehrsoptimierung undBandbreiten-Belegung für internet-bezogenen Verkehr festzulegen.
• Um die Bandbreitennutzung anzuzeigen, klicken Sie auf Bandbreitennutzung anzeigen.
Allgemeine Einstellungen
Gesamte verfügbare WAN-Bandbreite Die Summe der maximalen Bandbreiten allerWAN-Links in KB/s.
482 Copyright © 2018 Sophos Limited
XG Firewall
Für Echtzeit (VoIP) optimieren Geben Sie Echtzeitverkehr, wie z.B. VoIP, einehöhere Priorität. Wenn die Option deaktiviertist, kann die Priorität nur für überschüssigeBandbreite gesetzt werden, d.h. für dieBandbreite, die nach der Zuweisung derzugesicherten Bandbreite verbleibt.
Zugesicherte Bandbreite erzwingen Verwalten Sie allen internet-bezogenenVerkehr durch die Traffic-Shaping-Richtlinie,die auf diesen angewendet wird. Wird auf denDatenverkehr keine Traffic-Shaping-Richtlinieangewendet, wird der Datenverkehr von derStandard-Richtlinie verarbeitet.
Aktivieren Sie diese Einstellung, wenn Sie eineBandbreitenbeschränkung für Datenverkehrerwirken wollen, auf den keine Traffic-Shaping-Richtlinie angewendet wird.
Deaktivieren Sie diese Einstellung, wennSie keine Bandbreitenbeschränkung fürDatenverkehr erwirken wollen, auf den keineTraffic-Shaping-Richtlinie angewendet wird. (DieEinstellung betrifft nur Verkehr, auf den eineTraffic-Shaping-Richtlinie angewendet wird.)
Standard-Richtlinie Standardrichtlinie, die auf Verkehr angewendetwird, für welchen keine Traffic-Shaping-Richtliniegilt.
• Zugesichert Minimale Bandbreite, dieBenutzern zur Verfügung steht.
• Maximum Maximale Bandbreite, dieBenutzern zur Verfügung steht.
• Priorität Kann von 0 (höchste) bis 7(niedrigste) eingestellt werden, je nachDatenverkehr, der geregelt werden muss.
20.3 REDEin Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. Der RED-Provisioning-Service unterstützt die Einrichtungvon RED und bietet Sicherheitsoptionen.
• Um den RED-Provisioning-Service einzuschalten, klicken Sie auf den Ein/Aus-Schalter, legen SieDetails fest und klicken Sie auf Übernehmen.
• Um die Verwendung von TLS 1.2 durch die REDs zu erzwingen, aktivieren Sie TLS 1.2 erzwingenund klicken Sie auf Übernehmen. TLS 1.2 wird für eine erhöhte Sicherheit empfohlen.
HinweisDamit Geräte TLS 1.2 unterstützen, kann ein Firmware-Upgrade nötig sein. Überprüfen SieIhre Gerätespezifikationen bevor Sie diese Option aktivieren.
Copyright © 2018 Sophos Limited 483
XG Firewall
• Um automatisch REDs die Autorisierung zu entziehen, nachdem ihre Verbindung getrennt wurde,aktivieren Sie Geräte automatisch Autorisierung entziehen, legen Sie eine Zeit fest und klickenSie auf Übernehmen. Wenn ein RED versucht, sich nach dem Entzug der Autorisierung wiederzu verbinden, wird es deaktiviert. Diese Option wird empfohlen, um unautorisierte Geräte davonabzuhalten, sich mit der Firewall zu verbinden.
HinweisDie Option trifft nicht auf Firewall-REDs zu.
Fehlerbehebung
Wenn Sie die Nachricht „Registrierung beim RED-Service fehlgeschlagen“ erhalten, prüfen Sie, obSie den RED-Service über Telnet erreichen können. Geben Sie Folgendes auf der Kommandozeileein:
telnet red.astaro.com 3400
Wenn Sie den Service erreichen können, wurde der Verbindungsfehler vermutlich durch hoheNetzwerklast ausgelöst. Versuchen Sie es in diesem Fall später erneut.
Zugehörige KonzepteRED-Schnittstellen (Seite 343)Ein Remote Ethernet Device ist eine Netzwerk-Appliance, die einen sicheren Tunnel zwischen einemRemote-Standort und der Firewall bereitstellt. Mithilfe von RED-Schnittstellen können Sie REDskonfigurieren und einsetzen oder einen Site-to-Site-RED-Tunnel zwischen zwei Firewalls in einerClient-/Server-Konfiguration erstellen.
20.4 Malware ProtectionLegen Sie globale Einstellungen zum Schutz vor Malware (Schadprogrammen) fest.
Allgemeine Einstellungen
Primäre Antiviren-Engine Die primäre Antiviren-Engine, die zum Scannenvon Datenverkehr eingesetzt wird.
HinweisWenn Sie diese Einstellung ändern, könnteeine irgendwo lokal festgelegte Antiviren-Engine überschrieben werden.
20.5 ProtokolleinstellungenDie Firewall bietet umfassende Protokollfunktionen für Datenverkehr, System- und Netzwerkschutz.Sie können Protokolle verwenden, um Netzwerkaktivitäten zu analysieren, was Ihnen dabei hilft,
484 Copyright © 2018 Sophos Limited
XG Firewall
Sicherheitsprobleme zu identifizieren und Netzwerkmissbrauch zu verringern. Sie können Protokollelokal speichern oder sie an syslog-Server senden. Die Firewall unterstützt syslog wie in RFC 5424definiert.
• Um Protokolle lokal zu speichern, wählen Sie Lokal aus und danach Protokolle.
• Um Protokolle an einen syslog-Server zu senden, klicken Sie auf Hinzufügen und geben Sie dieServer-Informationen an. Wählen Sie danach Protokolle aus.
Protokolle
Firewall Firewall-Protokolle bieten Informationen zuDatenverkehr in Zusammenhang mit der Firewall-Konfiguration, wie z.B. Firewallregeln, MAC-Filterung und DoS-Angriffe.
IPS IPS-Protokolle bieten Aufzeichnungen vonerkannten und verworfenen Angriffen basierendauf unbekannten oder verdächtigen Mustern(Anomalien) und Signaturen.
Antivirus Antiviren-Protokolle bieten Informationen zuViren, die im HTTP-, SMTP-, FTP-, POP3-,IMAP4-, HTTPS-, SMTPS-, IMAPS- und POPS-Datenverkehr erkannt wurden.
Antispam Anti-Spam-Protokolle bieten Informationen zuSpam- und möglichen Spam-E-Mails aus SMTP,POP3, IMAP4, SMTPS, POPS und IMAPS.
Inhaltsfilterung Inhaltsfilterungsprotokolle bieten Informationenzu Web- und Anwendungsfilter-Ereignissen,wie z.B. solchen, die mit Internetrichtlinien inZusammenhang stehen.
HinweisUm Ereignisse zu sehen, die inZusammenhang mit einer Internetrichtliniestehen, müssen Sie Firewallverkehrprotokollieren in der jeweiligen Firewallregelauswählen.
Ereignisse Ereignisprotokolle bieten Informationenzu Konfigurationsaktivitäten,Authentifizierungsereignissen, undSystemaktivitäten.
Webserver-Schutz Webserver-Schutz-Protokolle bietenInformationen zu Webserver-Schutz-Aktivitäten,z.B. Schutzrichtlinien.
Komplexe Bedrohungen ATP-Protokolle bieten Informationenüber Ereignisse im Hinblick auf komplexeBedrohungen, wie verworfenem Verkehr oderWarnungen.
WLAN WLAN-Protokolle bieten Informationen zu Access-Point-Aktivitäten und SSIDs.
Copyright © 2018 Sophos Limited 485
XG Firewall
Heartbeat Heartbeat-Protokolle bieten Informationen zumIntegritätsstatus der Endpoints.
Systemstatus Systemzustandsprotokolle bieten Informationenzur CPU-Nutzung, Speichernutzung, Anzahlder Live-Benutzer, Schnittstellen undFestplattenpartitionen.
Sandstorm Sandstorm Protokolle bieten Aufzeichnungen allerSandstorm Ereignisse.
Zugehörige KonzepteDoS-Angriffe (Seite 132)Der DoS-Angriff-Status ermöglicht Ihnen zu sehen, ob Verkehrsbeschränkungen angewendet wurdenund die Menge an Daten, die verworfen wurde, nachdem die Grenze überschritten wurde. DieFirewall wendet die Verkehrsbeschränkungen an, die in den DoS-Einstellungen festgelegt sind, undprotokolliert die zugehörigen Ereignisse. Daten stehen für Quelle und Ziel in Echtzeit zur Verfügung.
Zugehörige AufgabenSyslog-Server hinzufügen (Seite 486)
20.5.1 Syslog-Server hinzufügen
1. Gehen Sie zu Systemdienste > Protokolleinstellungen und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie Einstellungen fest.
Option Beschreibung
IP-Adresse/Domäne IP-Adresse oder Domänenname des Syslog-Servers. Protokolle werden an den Servergesendet.
Port Portnummer zur Kommunikation mit demSyslog-Server.
Facility Syslog-Einrichtung, die für das Sendender Protokolle verwendet werden soll. DieEinrichtung gibt die Protokollquelle an, z.B. einBetriebssystem, Prozess oder Anwendung.
Schweregrad Niedrigster Schweregrad von Meldungen,die protokolliert werden sollen. Wählen Siezum Beispiel Fehler aus, um alle Meldungen,die als Fehler und alle Meldungen, die alskritisch, Alarm oder Notfall markiert sind, zuprotokollieren. Wählen Sie Fehlersuche aus, umalle Meldungen einzuschließen.
Format Protokollformat
4. Klicken Sie auf Speichern.
Gehen Sie zu Systemdienste > Protokolleinstellungen und wählen Sie Protokolle aus.
Zugehörige KonzepteProtokolleinstellungen (Seite 484)
486 Copyright © 2018 Sophos Limited
XG Firewall
Die Firewall bietet umfassende Protokollfunktionen für Datenverkehr, System- und Netzwerkschutz.Sie können Protokolle verwenden, um Netzwerkaktivitäten zu analysieren, was Ihnen dabei hilft,Sicherheitsprobleme zu identifizieren und Netzwerkmissbrauch zu verringern. Sie können Protokollelokal speichern oder sie an syslog-Server senden. Die Firewall unterstützt syslog wie in RFC 5424definiert.
20.6 DatenanonymisierungMit Datenanonymisierung können Sie Identitäten in Protokollen und Berichten verschlüsseln.Identitäten umfassen Benutzernamen, IP-Adressen, MAC-Adressen und E-Mail-Adressen. Wenn SieDatenanonymisierung aktivieren, geben Sie einen oder mehrere Administratoren an, welche autorisiertsind, die Daten zu entanonymisieren. Sie können die Anonymisierung mithilfe von Ausnahmenumgehen.
• Um Identitäten in Protokollen und Berichten zu verschlüsseln, wählen Sie Datenanonymisierungeinschalten, wählen Sie einen Bevollmächtigten aus und klicken Sie auf Übernehmen.
TippGeben Sie mindestens zwei Bevollmächtigte an. Wenn Sie als einer der Bevollmächtigtenangemeldet sind, ist die Genehmigung von mindestens einem weiteren Bevollmächtigtenerforderlich.
• Um die Anonymisierung zu umgehen, legen Sie Ausnahmen fest (Benutzer, IP-Adressen, MAC-Adressen oder E-Mail-Adressen) und klicken Sie auf Übernehmen. Geben Sie danach einenBenutzernamen (Bevollmächtigter) und ein Kennwort an und klicken Sie auf Speichern. NachdemSie sich authentifiziert haben, werden diese Identitäten in den Protokollen und Berichten nichtverschlüsselt sein.
Zugehörige KonzepteProtokolle (Seite 536)Die Firewall bietet umfassende Protokollfunktionen für Datenverkehr, Systemaktivitäten-und Netzwerkschutz. Protokolle beinhalten Analysen der Netzwerkaktivität, mit denen SieSicherheitsprobleme identifizieren und die gefährdende Nutzung Ihres Netzwerk verringern können.Sie können Protokolle an einen Syslog-Server senden oder sie mithilfe der Protokollansicht einsehen.
Berichte (Seite 27)Berichte bieten eine einheitliche Sicht auf Netzwerkaktivitäten zum Zweck der Analyse vonDatenverkehr und Bedrohungen und der Einhaltung von Vorschriften. Sie können zum Beispiel einenBericht ansehen, der alle Web-Server-Protection-Maßnahmen der Firewall enthält, wie z.B. blockierteWebserver-Anfragen und identifizierte Viren.
20.7 Traffic ShapingMithilfe von Traffic-Shaping-Richtlinien können Sie die Bandbreite verwalten und Netzwerkverkehrpriorisieren, um die Auswirkungen von starker Bandbreitennutzung zu verringern. Richtlinien stelleneine Zuordnung her. Sie können zum Beispiel Richtlinien erstellen, die verwendet werden, um dieBandbreite für Benutzer oder Anwendungen zu beschränken. Sie können die Wirksamkeit einerRichtlinie begrenzen, indem Sie einen Zeitplan festlegen.
Zugehörige AufgabenTraffic-Shaping-Richtlinie erstellen (Seite 488)
Copyright © 2018 Sophos Limited 487
XG Firewall
20.7.1 Traffic-Shaping-Richtlinie erstellen
1. Gehen Sie zu Systemdienste > Traffic Shaping und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie Einstellungen fest.
Option Beschreibung
Richtlinien-Zuordnung Kategorie, auf die die Richtlinie angewendetwird. Um zum Beispiel eine Richtlinie zuerstellen, die auf Benutzer und Gruppenangewendet werden kann, wählen Sie Benutzeraus.
Regeltyp Maximum Benutzer kann das festgelegteBandbreitenlimit nicht überschreiten.
Zugesichert Dem Benutzer wird diefestgelegte Bandbreite garantiert und er kanndie Bandbreite, sofern verfügbar, bis zumfestgelegten Limit ausschöpfen. Benutzernzu erlauben, zusätzliche Bandbreite zubeanspruchen, kann eine gleichbleibendeDienstqualität zu Spitzenzeiten sicherstellen.
Upload/Download getrennt voneinanderbegrenzen
Deaktivieren Keine separaten Upload- undDownloadlimits einsetzen.
Einschalten Upload- und Downloadbandbreiteentsprechend den angegebenen Wertenbegrenzen.
Priorität Art des Verkehrs, für den Bandbreitenprioritäteingeräumt werden soll. Standardmäßig wirddem Echtzeitverkehr Priorität eingeräumt.
TippUm das Standardverhalten der Optimierungvon Echtzeitverkehr zu steuern, gehen Siezu Systemdienste > Traffic-Shaping-Einstellungen.
Wenn dem Echtzeitverkehr Prioritäteingeräumt wird, wird die Fähigkeit vonRichtlinien für Nicht-Echtzeitverkehr ihregarantierte Bandbreite zu erhalten bestimmtdurch die verbleibende Bandbreite derinsgesamt verfügbaren Bandbreite, nachdemdie Richtlinien für Echtzeitverkehr bedientwurden.
Bandbreitennutzungstyp Individuell Die zugewiesene Bandbreite istnur für den Benutzer, die Firewallregel, dieWebkategorie oder die Anwendung, dem oderder diese Richtlinie zuerst zugewiesen wird.
488 Copyright © 2018 Sophos Limited
XG Firewall
Option Beschreibung
Gemeinsam Die zugewiesene Bandbreitewird zwischen allen Benutzern, Firewallregeln,Webkategorien oder Anwendungen geteilt,denen diese Richtlinie zugewiesen wurde.
4. Optional: Um einen Zeitplan für die Richtlinie festzulegen, blättern Sie zum Bereich Zeitplanhinzufügen, klicken Sie auf Hinzufügen und legen Sie Details fest.
5. Klicken Sie auf Speichern.
Damit die Richtlinie in Kraft tritt, fügen Sie sie zu einem Benutzer-, Firewallregel-, Webkategorie-oder Anwendungseintrag hinzu.
Zugehörige KonzepteZeitplan (Seite 490)Zeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.
Traffic Shaping (Seite 487)Mithilfe von Traffic-Shaping-Richtlinien können Sie die Bandbreite verwalten und Netzwerkverkehrpriorisieren, um die Auswirkungen von starker Bandbreitennutzung zu verringern. Richtlinien stelleneine Zuordnung her. Sie können zum Beispiel Richtlinien erstellen, die verwendet werden, um dieBandbreite für Benutzer oder Anwendungen zu beschränken. Sie können die Wirksamkeit einerRichtlinie begrenzen, indem Sie einen Zeitplan festlegen.
20.8 DiensteSehen Sie den Zustand von Systemdiensten und verwalten Sie die Dienste.
Zugehörige KonzepteIPS-Richtlinien (Seite 132)Mit IPS-Richtlinien können Sie Netzwerkangriffe mithilfe von Regeln verhindern. Die Firewall setzt dieMaßnahmen durch, die in den Regeln und festgelegt sind, und protokolliert die zugehörigen Ereignisse.Die Auswahl an Standardrichtlinien verhindert Netzwerkangriffe für einige der gängigsten Arten vonVerkehr. Sie können eigene Richtlinien erstellen, die Ihren Anforderungen an Verkehr entsprechen.
Copyright © 2018 Sophos Limited 489
XG Firewall
Kapitel 21
21 ProfileProfile erlauben Ihnen, den Zugriff von Benutzern aufs Internet und von Administratoren auf dieFirewall zu kontrollieren. Sie können Zeitpläne, Zugriffszeit und Kontingente für das Surfen und denDatentransfer festlegen. Netzwerkadressübersetzung erlaubt Ihnen, öffentliche IP-Adressen für denInternetzugriff festzulegen. Sie können Zugangsebenen für Administratoren festlegen, basierend aufderen Arbeitsfunktionen.
21.1 ZeitplanZeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.
• Um einen Zeitplan zu bearbeiten, klicken Sie auf
.
HinweisUm einen Zeitplan zu löschen, der in Verwendung ist, weisen Sie der Regel oder Richtlinieeinen anderen Zeitplan zu und löschen Sie dann den Zeitplan.
Zugehörige KonzepteSuche nach unautorisierten APs (Seite 192)Ein unautorisierter (rogue) Access Point bezeichnet einen Access Point, der ohne Autorisierung mitIhrem Netzwerk verbunden ist. Angreifer können unautorisierte Access Points verwenden, um Verkehrmitzulesen und für andere Zwecke, z.B. Man-in-the-Middle-Angriffe. Sie können diese Bedrohungenumgehen, indem Sie die Access Points in Ihrem Netzwerk scannen und unautorisierte Access Pointsals solche markieren.
Zugehörige AufgabenBenutzer-/Netzwerkregel hinzufügen (IPv4) (Seite 62)Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv4-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.
Benutzer-/Netzwerkregel hinzufügen (IPv6) (Seite 68)Auf dieser Seite können Sie Firewallregeln erstellen, um den Verkehr zu kontrollieren, der dasIPv6-Protokoll verwendet. Firewallregeln kontrollieren den Verkehr zwischen internen und externenNetzwerken und schützen das Netzwerk vor nicht autorisiertem Zugriff. Die Appliance bestimmt dieRegel, die zugewiesen werden soll, basierend auf der Quell- und Zielzone, die Sie in der Firewallregelkonfigurieren. Verwenden Sie diese Seite, um identitätsbasierte Firewallregeln zu erstellen, indem Siediese Benutzern zuweisen.
Eine Richtlinie hinzufügen (Seite 143)Anwendungsfilter-Richtlinienregel hinzufügen (Seite 172)
490 Copyright © 2018 Sophos Limited
XG Firewall
Traffic-Shaping-Richtlinie erstellen (Seite 488)Zugriffszeit-Richtlinie hinzufügen (Seite 492)Zeitplan hinzufügen (Seite 491)
21.1.1 Zeitplan hinzufügen
1. Gehen Sie zu Profile > Zeitplan und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie eine Wiederholungsart fest.
Option Beschreibung
Wiederkehrend Verwenden Sie dies, um wiederkehrendeEreignisse zu steuern.
Einmalig Wählen Sie ein Anfangs- und Enddatum.Verwenden Sie dies, um einmaligeEreignisse zu steuern, z.B. Konferenzen oderGastbenutzerzugriff.
HinweisSie können Einmalzeitpläne nur in Firewallregeln verwenden.
4. Legen Sie die Zeit fest.
HinweisUm eine andere Anfangs- und Endzeit für verschiedene Wochentage anzuwenden, klicken Sieauf
und wählen Sie die Werte aus.
5. Klicken Sie auf Speichern.
Damit der Zeitplan wirksam wird, fügen Sie ihn zu einer Firewallregel hinzu.
Zugehörige KonzepteZeitplan (Seite 490)Zeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.
21.2 ZugriffszeitÜber die Zugriffszeit können Sie den Internetzugriff für Benutzer, Gruppen und Gastbenutzersteuern. Sie können den Zugriff aufs Internet zulassen oder verweigern basierend auf festgelegtenZeitspannen. Die Firewall verfügt über einige übliche Standardrichtlinien.
• Um eine Zugriffszeit-Richtlinie zu bearbeiten, klicken Sie auf
.
Copyright © 2018 Sophos Limited 491
XG Firewall
HinweisÄnderungen der Zugriffszeit-Richtlinie werden sofort wirksam.
Zugehörige KonzepteGastbenutzerinformationen (Seite 441)Gastbenutzer sind Benutzer, die kein Konto haben und sich mit Ihrem Netzwerk verbinden wollen, umauf das Internet zuzugreifein. Sie können Gastbenutzer hinzufügen (registrieren) oder ihnen erlauben,sich selbst über das Gastbenutzerportal zu registrieren. Legen Sie Richtlinien und Einstellungen nachIhren Bedürfnissen fest.
Zugehörige AufgabenBenutzer registrieren (Seite 430)Gruppe hinzufügen (Seite 426)Zugriffszeit-Richtlinie hinzufügen (Seite 492)
21.2.1 Zugriffszeit-Richtlinie hinzufügen
1. Gehen Sie zu Profile > Zugriffszeit und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie die Maßnahme für Internetzugang fest.
• Zulassen
• Ablehnen
4. Legen Sie den Zeit fest, während der die Maßnahme angewendet werden soll.
HinweisSie können für Zugriffszeit-Richtlinien nur Zeitpläne mit Wiederholung verwenden.
5. Klicken Sie auf Speichern.
Damit die Zugriffszeit-Richtlinie wirksam werden kann, fügen Sie Benutzer, Gruppen oderGastbenutzer hinzu.
Zugehörige KonzepteZeitplan (Seite 490)Zeitpläne legen die Dauer fest, während der Regeln und Richtlinien in Kraft sind. Sie könnenwiederkehrende und Einmalzeitpläne erstellen. Sie können Zeitpläne auf Firewallregeln anwenden,Internet-, Anwendungs-, Traffic-Shaping- und Zugriffszeit-Richtlinien und Scans für unautorisierteAccess Points auslösen. Die Firewall verfügt über einige üblicherweise eingesetzte Standardzeitpläne.
Zugriffszeit (Seite 491)Über die Zugriffszeit können Sie den Internetzugriff für Benutzer, Gruppen und Gastbenutzersteuern. Sie können den Zugriff aufs Internet zulassen oder verweigern basierend auf festgelegtenZeitspannen. Die Firewall verfügt über einige übliche Standardrichtlinien.
21.3 SurfkontingenteSurfkontingente ermöglichen Ihnen, den Internetzugriff für Benutzer mithilfe von Zugriffseinstellungenzu steuern. Kontingente legen den Zugriff auf zyklischer (wiederkehrender) oder nicht-zyklischer
492 Copyright © 2018 Sophos Limited
XG Firewall
(einmaliger) Basis fest und den zulässigen Zeitraum. Die Standardkontingente umfassen einigetypischerweise verwendete Kontingente wie z.B. unbegrenzten Zugriff und Zugriff mit Blockierungen.
HinweisWenn mehr als ein Kontingent auf einen Benutzer zutrifft, beschränkt die Firewall den Zugriffentsprechend der ersten Richtlinie, die ihre Grenze erreicht.
• Um ein Surfkontingent zu bearbeiten, klicken Sie auf
.
Das folgende Kontingent legt unbegrenzten Zugriff für eine Woche als einmaliges Ereignis fest.
Zugehörige AufgabenSurfkontingent hinzufügen (Seite 159)
21.3.1 Surfkontingent hinzufügen
1. Gehen Sie zu Profile > Surfkontingent und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie eine Zyklusart fest.
Option Beschreibung
Zyklisch Wiederkehrender Zugriff. Legen Sie dieZykluszeit fest. Sobald die festgelegte Zeitendet, erhält der Benutzer wieder Zugriff.Benutzer erhalten die festgelegte Zeit zuBeginn eines Zyklus. Ungenutzte Zeit wird nichtübertragen.
Nicht zyklisch Einmalzugriff. Sobald die festgelegte Zeit endet,wird der Benutzer getrennt.
4. Legen Sie einen Gültigkeitszeitraum fest.
• Geben Sie die Anzahl an Tagen ein.
• Wählen Sie das Kontrollkästchen Unbegrenzt aus, wenn Sie die Gültigkeit nicht beschränkenwollen.
5. Legen Sie die Höchstdauer der Zugriffszeit fest, die vom Kontingent gewährt werden soll.
Copyright © 2018 Sophos Limited 493
XG Firewall
• Geben Sie die Stunden und Minuten ein. Benutzer werden getrennt, nachdem dieser Werterreicht wurde, selbst wenn der Gültigkeitszeitraum des Kontingents noch nicht abgelaufen ist.
• Wählen Sie das Kontrollkästchen Unbegrenzt aus, wenn Sie keine Maximalzeit angebenwollen.
6. Klicken Sie auf Speichern.
21.4 NetzwerkdatenkontingenteMit Netzwerkdatenkontingent-Richtlinien können Sie Datentransfer von Benutzer und Gruppensteuern. Sie können Kontingente für den gesamten Datentransfer festlegen oder individuell fürUpload und Download. Kontingente können zyklisch oder nicht zyklisch sein. Zyklische Richtlinienkönnen Kontingente für den Zyklus und für die Höchstverkehr haben. Die Firewall verfügt über einigeüblicherweise eingesetzte Standardkontingente.
• Um eine Netzwerkdatenkontingent-Richtlinie zu bearbeiten, klicken Sie auf
.
Zugehörige AufgabenBenutzer registrieren (Seite 430)Gruppe hinzufügen (Seite 426)Netzwerkdatenkontingent-Richtlinie hinzufügen (Seite 494)
21.4.1 Netzwerkdatenkontingent-Richtlinie hinzufügen
1. Gehen Sie zu Profile Netzwerkdatenkontingente und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Legen Sie die Beschränkungen für den Datentransfer fest.
Option Beschreibung
Gesamter Netzwerkverkehr Kontingent für den gesamten Datentransfer.
Individueller Netzwerkverkehr (Upload undDownload)
Individuelle Kontingente für Upload undDownload
4. Legen Sie eine Zyklusart fest.
Option Beschreibung
Zyklisch Kontingent für jeden Zyklus. Nicht verbrauchteKontingente verfallen und das Kontingent wirdbei jedem Zyklus zurückgesetzt.
Nicht zyklisch Kontingent für einen einzigen Zykluszeitraum.
5. Wählen Sie basierend auf den Beschränkungen und der Zyklusart den Zykluszeitraum, dasDatenkontingent für den Zyklus und das maximale Datenkontingent aus.
HinweisWenn Sie ein maximales Datenkontingent festlegen wollen, deaktivieren Sie dasKontrollkästchen. Das maximale Kontingent muss größer sein als das Zykluskontingent.
494 Copyright © 2018 Sophos Limited
XG Firewall
HinweisWenn der Benutzer das Zyklus- oder das maximale Kontingent verbraucht, trennt die Firewalldie Verbindung des Benutzers. Um den Benutzer wiederzuverbinden, müssen Sie dasBenutzer-Accounting zurücksetzen.
6. Klicken Sie auf Speichern.
Damit die Netzwerkdatenkontingent-Richtlinie wirksam wird, fügen Sie sie einem Benutzer oder einerGruppe hinzu.
Zugehörige KonzepteNetzwerkdatenkontingente (Seite 494)Mit Netzwerkdatenkontingent-Richtlinien können Sie Datentransfer von Benutzer und Gruppensteuern. Sie können Kontingente für den gesamten Datentransfer festlegen oder individuell fürUpload und Download. Kontingente können zyklisch oder nicht zyklisch sein. Zyklische Richtlinienkönnen Kontingente für den Zyklus und für die Höchstverkehr haben. Die Firewall verfügt über einigeüblicherweise eingesetzte Standardkontingente.
21.5 NATMit Richtlinien für die Netzwerkadressübersetzung (NAT) können Sie internen Hosts gestatten, überdie öffentlichen IP-Adressen der Firewall auf das Internet zuzugreifen. Die Firewall bildet interne IP-Adressen auf die öffentlichen IP-Adressen ab.
• Um eine NAT-Richtlinie zu bearbeiten, klicken Sie auf
.
HinweisDie Standard-NAT-Richtlinie maskiert Verkehr automatisch unter Verwendung der WAN-Adresse der Firewall.
Zugehörige KonzepteFirewall (Seite 56)Firewallregeln sind Sets an Sicherheitsregeln, die das Verhalten von Benutzern, Anwendungen oderNetzwerkobjekten in einer Organisation steuern. Mithilfe der Firewallregel können Sie pauschale oderspezifische Regeln zur Datenübertragung je nach Ihren Anforderungen erstellen. Die Regeltabelleermöglicht die zentralisierte Verwaltung von Firewallregeln.
Zugehörige AufgabenNAT-Richtlinie hinzufügen (Seite 495)
21.5.1 NAT-Richtlinie hinzufügen
1. Gehen Sie zu Profile > NAT und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Geben Sie eine IP-Adresse an oder erstellen Sie eine neue.
4. Klicken Sie auf Speichern.
Um eine NAT-Richtlinie anzuwenden, fügen Sie sie zu einer Firewallregel hinzu.
Copyright © 2018 Sophos Limited 495
XG Firewall
Zugehörige KonzepteNAT (Seite 495)Mit Richtlinien für die Netzwerkadressübersetzung (NAT) können Sie internen Hosts gestatten, überdie öffentlichen IP-Adressen der Firewall auf das Internet zuzugreifen. Die Firewall bildet interne IP-Adressen auf die öffentlichen IP-Adressen ab.
21.6 Appliance-ZugriffMit dem Appliance-Zugriff können Sie rollenbasierten Zugriff auf die Firewall für Administratorenerstellen. Die Standardauswahl an Profilen legt die Berechtigungen für einen Super-Administratorund für einige normale Administratoren fest. Sie können eigene Profile erstellen und Berechtigungenfestlegen.
• Um ein Profil zu bearbeiten, klicken Sie auf
.
Tabelle 34: Standardprofile
Name Beschreibung
Administrator Superadministrator mit vollen Zugriffsrechten. Kann Administratoren mitbeschränkten oder vollen Rechten erstellen.
Audit admin Lese- und Schreibrechte für Protokolle und Berichte.
Crypto admin Lese- und Schreibrechte für die Konfiguration von Sicherheitszertifikaten.
HAProfile Leserechte für die Sekundär-Appliance, wenn Hochverfügbarkeitkonfiguriert ist.
Security admin Lese- und Schreibrechte für alle Funktionen, mit Ausnahme von Profilen,Protokollen und Berichten.
Hinweis• Um ein Profil zu löschen, stellen Sie sicher, dass es keinem Administrator zugewiesen ist.
Zugehörige AufgabenBenutzer registrieren (Seite 430)Appliance-Zugriffsprofil hinzufügen (Seite 496)
21.6.1 Appliance-Zugriffsprofil hinzufügen
1. Gehen Sie zu Profile > Appliance-Zugriff und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Um eine Konfiguration festzulegen, wählen Sie die Zugriffsstufe des Administrators für die Menüs.
• Keine
• Nur lesen
• Lesen + Schreiben
496 Copyright © 2018 Sophos Limited
XG Firewall
HinweisUm verschiedene Zugriffsstufen für Untermenüs festzulegen, klicken Sie auf
.
4. Klicken Sie auf Speichern.
Damit das Appliance-Zugriffsprofil wirksam wird, weisen Sie es einem Benutzer zu, der zum TypAdministrator gehört.
Zugehörige KonzepteAppliance-Zugriff (Seite 496)Mit dem Appliance-Zugriff können Sie rollenbasierten Zugriff auf die Firewall für Administratorenerstellen. Die Standardauswahl an Profilen legt die Berechtigungen für einen Super-Administratorund für einige normale Administratoren fest. Sie können eigene Profile erstellen und Berechtigungenfestlegen.
Copyright © 2018 Sophos Limited 497
XG Firewall
Kapitel 22
22 Hosts und DiensteHosts und Dienste ermöglicht, Systemhosts und -dienste zu definieren und zu verwalten.
22.1 IP-HostAuf der Seite IP-Host wird eine Liste aller dynamischen Hosts, Standardhosts und manuellhinzugefügten Hosts angezeigt.
Mit Hosts können Einheiten einmalig definiert werden, die dann während der Konfiguration mehrfachreferenziert werden können. Nehmen Sie als Beispiel einen internen Mailserver mit der IP-Adresse192.168.1.15 an. Anstatt die IP-Adresse bei der Konfiguration der Sicherheitsrichtlinien oder NAT-Richtlinien mehrfach einzugeben, kann ein einzelner interner Mailserver als Hostname mit der IP-Adresse 192.168.1.15 erstellt werden. Dieser Host, also der interne Mailserver, kann anschließendfür jede Konfiguration ausgewählt werden, die einen Host als bestimmendes Kriterium verwendet.
Durch Verwendung eines Hostnamens anstelle der numerischen Adresse müssen Änderungen nuran einem einzigen Speicherort durchgeführt werden, und nicht in jeder Konfiguration, in der die IP-Adresse erscheint.
Die Verwendung von Hosts vermindert, dass falsche IP-Adressen eingegeben werden, was dieÄnderung von IP-Adressen erleichtert und die Lesbarkeit erhöht.
Sie können mehrere Objekte, welche die gleiche Funktion erfüllen, unter einem Hostnamenzusammenfassen.
Auf der Seite „IP Host“ erscheint eine Liste aller dynamischen Hosts, die bei der Erstellungder VPN-Fernzugriffsverbindungen automatisch erstellt werden (IPsec und SSL), sowie dieStandardhosts (IPv6 und IPv4) für den Fernzugriff (##ALL_RW, ##WWAN1, ##ALL_IPSEC_RW und##ALL_SSLVPN_RW) und die manuell hinzugefügten Hosts. Auf der Seite haben Sie außerdemdie Möglichkeit, einen neuen Host hinzuzufügen, den bestehenden Host zu aktualisieren oder einenHost zu löschen.
Hinweis• Systemhosts können nicht aktualisiert oder gelöscht werden.
• Dynamische Hosts, die automatisch bei der Erstellung von VPN-Fernzugriffsverbindungenhinzugefügt werden, können nicht gelöscht werden.
• Die Standardhosts (IPv6 und IPv4) für den Fernzugriff (##ALL_RW, ##WWAN1,##ALL_IPSEC_RW und ##ALL_SSLVPN_RW) können nicht aktualisiert oder gelöschtwerden.
Zugehörige AufgabenWebserver hinzufügen (Seite 270)
22.1.1 IP-Host hinzufügen
IP-Host hinzufügen ermöglicht Ihnen, einem Netzwerk, einer IP-Adresse, einem Adressbereich odereiner Liste einen Hostnamen zuzuweisen.
498 Copyright © 2018 Sophos Limited
XG Firewall
1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
2. Geben Sie den Hostnamen ein.
3. Wählen Sie eine IP-Familie.
Verfügbare Optionen:
• IPv4
• IPv6
4. Wählen Sie den Typ des Hosts aus.
Verfügbare Optionen:
• IP
• Netzwerk
• IP-Bereich
• IP-Liste (IP-Adressen, die zu anderen Netzwerken gehören oder sich nicht im gleichen IP-Adressbereich befinden.)
5. Wenn der gewählte Hosttyp IP, Netzwerk oder IP-Bereich ist:
a) Geben Sie die IP-Adresse, das Subnetz oder den Bereich in Abhängigkeit des Hosttyps an.
b) Wählen Sie eine IP-Hostgruppe aus oder fügen Sie eine neue hinzu.
HinweisEin einzelner Host kann Mitglied mehrerer Hostgruppen sein. Eine Hostgruppe kann nichtgleichzeitig IPv4- und IPv6-Hosts enthalten.
6. Wenn der gewählte Hosttyp IP-Liste ist, geben Sie die Liste der IP-Adressen an.
HinweisZu einer IP-Liste können nur IP-Adressen der Klasse B hinzugefügt werden. Sie können eineIP-Adresse zur IP-Liste hinzufügen oder von ihr entfernen.
7. Klicken Sie auf Speichern.
22.2 IP-HostgruppeAuf der Seite IP-Hostgruppe wird eine Liste aller Hostgruppen angezeigt.
Eine Hostgruppe ist eine Zusammenfassung von Hosts. Sicherheitsrichtlinien können für einzelneHosts oder Hostgruppen erstellt werden.
HinweisGruppen mit dynamischen Hosts, die automatisch bei der Erstellung von VPN-Fernzugriffsverbindungen hinzugefügt werden, können nicht gelöscht werden.
Die Seite bietet außerdem die Möglichkeit, eine neue Hostgruppe hinzuzufügen, die Parameter derbestehenden Hostgruppe zu aktualisieren, Mitglieder zur bestehenden Hostgruppe hinzuzufügenoder eine Hostgruppe zu löschen.
Copyright © 2018 Sophos Limited 499
XG Firewall
22.2.1 IP-Hostgruppe hinzufügen
Auf der Seite IP-Hostgruppe hinzufügen können Sie eine IP-Hostgruppe konfigurieren.
1. Gehen Sie zu Hosts und Dienste > IP-Hostgruppe und klicken Sie auf Hinzufügen.
2. Geben Sie die Daten für die Hostgruppe ein.
Name Geben Sie einen Namen ein, um die IP-Hostgruppe zu identifizieren.
Beschreibung Geben Sie eine Beschreibung der IP-Hostgruppe ein.
IP-Familie Wählen Sie aus den verfügbaren Optionen denTyp der IP-Familie:
Verfügbare Optionen:
• IPv4
• IPv6
Host auswählen In der Host-Liste werden alle Hosts mitsamtder Standardhosts angezeigt. Aktivieren Siedie Auswahlkästchen, um den oder die Hostsauszuwählen. Ein einzelner Host kann Mitgliedmehrerer Hostgruppen sein. Eine Gruppe kannnicht IPv4- und IPv6-Hosts enthalten.
3. Klicken Sie auf Speichern.
Die IP-Hostgruppe wurde erstellt und erscheint auf der Seite IP-Hostgruppe.
22.3 MAC-HostDie Appliance ermöglicht es Ihnen, einen Hostnamen an eine oder mehrere MAC-Adressen zuvergeben.
22.3.1 MAC-Host hinzufügen
Auf der Seite MAC-Host hinzufügen können Sie einen MAC-Host entweder über eine einzige MAC-Adresse oder mehrere MAC-Adressen manuell erstellen.
1. Gehen Sie zu Hosts und Dienste > MAC-Host und klicken Sie auf Hinzufügen.
2. Geben Sie die Daten des MAC-Host ein.
Name Geben Sie einen Namen ein, um den MAC-Hostzu identifizieren.
Typ Wählen Sie den Typ des MAC-Hosts.
Verfügbare Optionen:MAC-Adressen – Eineeinzelne MAC-Adresse hinzufügen.MAC-Liste– Mehrere MAC-Adressen hinzufügen.
MAC-Adresse (nur anwendbar, wenn der Typ„MAC-Adresse“ ausgewählt ist)
Geben Sie eine MAC-Adresse auf Basisdes gewählten Host-Typs in der Form
500 Copyright © 2018 Sophos Limited
XG Firewall
00:16:76:49:33:CE oder 00-16-76-49-33-CEein.
Liste der MAC-Adressen (nur anwendbar,wenn der Typ „MAC-Liste“ ausgewählt ist)
Geben Sie eine MAC-Adresse auf Basisdes gewählten Host-Typs in der Form00:16:76:49:33:CE oder 00-16-76-49-33-CEein.
Trennen Sie mehrere MAC-Adressen durchKomma.
3. Klicken Sie auf Speichern.
Der MAC-Host wird erstellt und erscheint auf der Seite MAC-Host.
22.4 FQDN-HostAuf der Seite FQDN-Host wird eine Liste aller verfügbaren FQDN-Hosts angezeigt.
Mit FQDN-(Fully Qualified Domain Name)-Hosts können Objekte einmalig definiert und währendder Konfiguration mehrfach referenziert werden. www.example.com z.B. hat die IP-Adresse192.168.1.15. Anstatt sich die IP-Adresse der gewünschten Website merken zu müssen, können Sieeinfach www.example.com im Browser eingeben. Der FQDN www.example.com wird jetzt seinerIP-Adresse zugeordnet und die betreffende Website öffnet sich.
Auf dieser Seite haben Sie außerdem die Möglichkeit, einen neuen FQDN-Host hinzuzufügen, denbestehenden Host zu aktualisieren oder einen Host zu löschen.
Zugehörige AufgabenWebserver hinzufügen (Seite 270)
22.4.1 FQDN-Host hinzufügen
Auf der Seite FQDN-Host hinzufügen können Sie einen neuen FQDN-Host erstellen.
Auf der Seite FQDN-Host hinzufügen können Sie manuell einen neuen FQDN-Host konfigurieren.
1. Gehen Sie zu Hosts und Dienste > FQDN-Host und klicken Sie auf Hinzufügen.
2. Geben Sie die Daten des FQDN-Host ein.
Name Geben Sie einen Namen für den FQDN-Hostein.
vollständiger Domänenname (FQDN) Geben Sie die FQDN-Adresse an.
FQDN-Hostgruppe Wählen Sie eine FQDN-Hostgruppe aus oderfügen Sie eine neue hinzu. Ein einzelner FQDN-Host kann mehreren Hostgruppen angehören.Sie können eine neue FQDN-Hostgruppe direktauf dieser Seite oder auf der Seite Hosts undDienste > FQDN-Hostgruppe erstellen.
3. Klicken Sie auf Speichern.
Copyright © 2018 Sophos Limited 501
XG Firewall
22.5 FQDN-HostgruppeFQDN-Hostgruppe ermöglicht es Ihnen, individuelle FQDN-Hosts zu einer oder mehreren Hostgruppenhinzuzufügen.
22.5.1 FQDN-Hostgruppe hinzufügen
Auf der Seite FQDN-Hostgruppe hinzufügen können Sie eine neue FQDN-Hostgruppekonfigurieren.
1. Gehen Sie zu Hosts und Dienste > FQDN-Hostgruppe und wählen Sie Hinzufügen.
2. Geben Sie die Daten für die FQDN-Hostgruppe ein.
Name Geben Sie einen Namen für die FQDN-Hostgruppe ein.
Beschreibung Geben Sie eine Beschreibung der FQDN-Hostgruppe ein.
Host auswählen In der Host-Liste werden alle Hosts mitsamtden Standardhosts angezeigt. AktivierenSie die Auswahlkästchen, um den oder dieHosts auszuwählen. Ein einzelner Host kannmehreren Hostgruppen angehören.
3. Klicken Sie auf Speichern.
22.6 Ländergruppe
Die Appliance bietet vordefinierte Landesgruppen basierend auf deren Kontinent an. Sie bietetaußerdem eine Liste an Ländern an, die erscheint, wenn Sie eine Firewallregel anlegen. Sie könneneigene Landesgruppen definieren.
HinweisBei einer Werksrücksetzung werden die Landesgruppen auf die vordefinierten Landesgruppenzurückgesetzt.
HinweisSie können vordefinierte und eigene Landesgruppen bearbeiten oder löschen.
22.6.1 Landesgruppe hinzufügen
Auf der Seite Landesgruppe hinzufügen können Sie manuell Parameter eingeben, um eine neueLandesgruppe hinzuzufügen.
1. Gehen Sie zu Hosts und Dienste > Landesgruppe und klicken Sie auf Hinzufügen.
2. Geben Sie die Daten für die Landesgruppe ein.
502 Copyright © 2018 Sophos Limited
XG Firewall
Name Geben Sie einen Namen für die Landesgruppeein.
Beschreibung Beschreibung der Landesgruppe.
Land auswählen Klicken Sie auf Neues Element hinzufügenum Länder auszuwählen und der Gruppehinzuzufügen.
Eine Land kann zu mehreren Ländergruppengehören.
3. Klicken Sie auf Speichern.
22.7 DiensteAuf der Seite Dienste wird eine Liste aller Standard- und der eigenen Dienste angezeigt.
Als Dienste versteht man bestimmte Arten von Netzwerkverkehr. Sie geben Auskunft über dieArt des Protokolls wie TCP, ICMP oder UDP sowie über protokollbezogene Informationen wiePortnummern. Über Dienste können Sie bestimmen, welcher Datenverkehrstyp von der Firewallzugelassen oder abgewiesen wird.
In den Diensten sind bestimmte bekannte Datenverkehrstypen vordefiniert. Diese vordefiniertenDienste sind Standardwerte, die nicht aktualisiert oder gelöscht werden können. Wenn SieDienstdefinitionen benötigen, die sich von den vordefinierten Dienst unterscheiden, können Sie dieseals benutzerdefinierte Dienste hinzufügen.
Auf der Seite finden Sie zudem die Option, einen neuen Dienst hinzuzufügen, die Parameter desbestehenden Dienstes zu aktualisieren oder einen Dienst zu löschen.
Hinweis• Dienste, die von Sicherheitsrichtlinien verwendet werden, können nicht gelöscht werden.
• Standarddienste können weder aktualisiert noch gelöscht werden.
22.7.1 Dienst hinzufügen
Auf der Seite Dienst hinzufügen können Sie manuell die Parameter konfigurieren, um einen neuenDienst hinzuzufügen.
1. Gehen Sie zu Hosts und Dienste > Dienste und klicken Sie auf Hinzufügen.
2. Geben Sie die Dienstparameter ein.
Name Geben Sie einen Namen für den Dienst ein.
Typ Wählen Sie ein Protokoll für den Dienst.
Verfügbare Optionen:TCP/UDP – GebenSie den Quell- und Ziel-Port an. Sie könnenfür einen Dienst mehrere Ports angeben.IP– Geben Sie die Protokollnummer für denDienst an. Sie können für einen Dienstmehrere Ports angeben.ICMP – Legen Sieden ICMP-Typ und -Code fest. Sie könnenfür einen Dienst mehrere Typen und Codesangeben. Mit den Symbolen „Hinzufügen“
Copyright © 2018 Sophos Limited 503
XG Firewall
und „Entfernen“
können die Parameter hinzugefügt oder entferntwerden.ICMPv6 – Legen Sie den ICMPv6-Typund -Code fest. Sie können für einen Dienstmehrere Typen und Codes angeben.
Mit „Hinzufügen“
und „Entfernen“
können die Parameter hinzugefügt oder entferntwerden.
3. Klicken Sie auf Speichern.
22.8 DienstgruppeAuf der Seite Dienstgruppe wird eine Liste aller Standard- und eigenen Dienstgruppen angezeigt.
Eine Dienstgruppe ist eine Zusammenfassung von Diensten. Benutzerdefinierte Dienste undStandarddienste können in derselben Dienstgruppe zusammengefasst werden.
Konfigurieren Sie Sicherheitsrichtlinien, um:
• Dienstgruppen für eine bestimmte Zone zu blockieren
• Den Zugriff von einigen oder allen Benutzern auf eine Dienstgruppe zu begrenzen
• Nur bestimmten Benutzern zu erlauben, über eine Dienstgruppe zu kommunizieren
Dienstgruppen zu erstellen und eine Firewall hinzuzufügen, um den Zugriff auf alle Dienste in derGruppe zu erlauben oder zu blockieren. In einer Dienstgruppe können sowohl Standarddienste alsauch benutzerdefinierte Dienste in jeglicher Kombination enthalten sein. Ein einzelner Dienst kannzu mehreren Dienstgruppen gehören.
Die Seite bietet außerdem die Option, eine neue Gruppe hinzuzufügen, die Parameter derbestehenden Gruppe zu aktualisieren, Dienste zu bestehenden Gruppen hinzuzufügen oder eineGruppe zu löschen.
Hinweis• Standarddienstgruppen können weder aktualisiert noch gelöscht werden.
• Dienstgruppen, die von Sicherheitsrichtlinien verwendet werden, können nicht gelöschtwerden.
22.8.1 Dienstgruppe hinzufügen
Verwenden Sie die Seite Dienstgruppe hinzufügen, um eine neue selbstdefinierte Dienstgruppehinzuzufügen.
Auf der Seite Dienstgruppe hinzufügen können Sie manuell die Daten eingeben und eine neueDienstgruppe konfigurieren.
1. Gehen Sie zu Hosts und Dienste > Dienstgruppe und klicken Sie auf Hinzufügen.
504 Copyright © 2018 Sophos Limited
XG Firewall
2. Geben Sie die Daten der Dienstgruppe ein.
Name Geben Sie einen Namen für die Dienstgruppeein.
Beschreibung Beschreibung der Dienstgruppe.
Dienst auswählen In der Dienstliste werden alle Dienste inklusiveder Standarddienste angezeigt.
Klicken Sie auf das Auswahlkästchen, umeinen Dienst auszuwählen. Alle ausgewähltenDienste werden zur ausgewählten Dienstlisteverschoben.
Ein Dienst kann Mitglied von mehreren Gruppensein.
Über die Suche können Sie nach einem Dienstin der Liste suchen.
Sie können eine Gruppe mit IPv4- und IPv6-Diensten erstellen.
3. Klicken Sie auf Speichern.
Copyright © 2018 Sophos Limited 505
XG Firewall
Kapitel 23
23 VerwaltungVerwaltung ermöglicht Ihnen die Verwaltung von Lizenzen auf der Appliance, der Zeit der Appliance,des Administratorzugriffs, von zentralisierten Aktualisierungen, der Benutzerbenachrichtigungen undder Überwachung der Netzwerkbandbreite und der Appliance selbst.
23.1 LizenzenAbonnements aller Module bleiben abgemeldet, wenn Sie die Appliance zum ersten Mal installieren.Die Seite „Lizenzen“ zeigt Informationen zur Appliance-Registrierung und dem Abonnement-Status.Sie können Abonnement-Module aktivieren oder evaluieren.
Kunden von Cyberoam und UTM 9 können Ihre Lizenzen nach SFOS migrieren.
Basisinformationen
Die Appliance bietet zwei Modultypen:
• Basismodul: Firewall, VPN, Wireless.
• Abonnement-Module:
— Basis-Firewall – Mit Firewall, VPN, Wireless
— Network Protection – Mit Intrusion Prevention System, RED, Advanced Threat Protection
— Web Protection – Mit Web-Kategorisierung, Antivirus, Anwendungsüberwachung
— Email Protection – Mit Antispam, Antivirus, E-Mail-Verschlüsselung, DLP
— Webserver Protection – Mit WAF, Antivirus, Reverse-Proxy
— Sandstorm – Enthält den Sandstorm-Dienst und alle zugehörigen Einstellungen
— Erweiterter Support - 8 x 5
— Erweiterter Plus Support - 24 x 7
Nach der Anmeldung kann die Appliance für unbegrenzte Zeit verwendet werden.
Sie können die Abonnement-Module auf folgende Weise abonnieren:
• ohne Schlüssel für eine kostenlose Testversion von 30 Tagen
• mit Schlüssel
XG Firewall Registrierungsinformationen
Modell Modellnummer der registrierten XG Firewall undihr Appliance-Schlüssel.
Firmenname Name des Unternehmens, für welches dieAppliance registriert ist.
Kontaktperson Name der Kontaktperson im Unternehmen.
506 Copyright © 2018 Sophos Limited
XG Firewall
Registrierte E-Mail-Adresse E-Mail-Adresse, die zur Registrierung derAppliance verwendet wurde.
Abonnement aktivieren Einzelne Module können mit demLizenzschlüssel abonniert werden.
HinweisAbonnement aktivieren wird verfügbar,nachdem die Originallizenz mithilfe vonLizenz migrieren im Bereich Lizenz-Upgrade von CyberoamOS oder UTM 9nach SFOS migriert wurde.
Modul-Abonnementinformationen
Synchronisieren Anklicken, um die Lizenzen mit Ihrem Konto zusynchronisieren.
Evaluationen aktivieren Einzelne Module können für die Dauer von 30Tagen evaluiert werden.
HinweisEvaluationen aktivieren wird verfügbar,nachdem die Originallizenz mithilfe vonLizenz migrieren im Bereich Lizenz-Upgrade von CyberoamOS oder UTM 9nach SFOS migriert wurde.
Modul Name des Moduls.
Status Anzeige des Modulstatus.
Ein Modul kann die folgenden Stati haben
• Abonniert - Modul ist abonniert.
• Auswertend - Modul ist mit Auswertungenabonniert.
• Nicht abonniert - Modul ist nicht abonniert.
• Abgelaufen - Das Abonnement abgelaufen.
Ablaufdatum Ablaufdatum des Modulabonnements
Lizenz-Upgrade
Lizenzen können im Zuge der Migration von CyberoamOS oder UTM 9 nach Sophos Firewall OS(SFOS) migriert werden.
UTM 9 Lizenzen migrieren Überträgt Ihre aktuelle UTM 9 Lizenz auf eineentsprechende SFOS Installation. Die Migrationist unumkehrbar und Sie können diese Lizenznicht länger auf UTM 9 verwenden.
Copyright © 2018 Sophos Limited 507
XG Firewall
HinweisUTM 9 Lizenz migrieren ist nur verfügbar,wenn Sie von UTM 9 auf SFOS migrierthaben.
Cyberoam-Lizenz migrieren Diese Option stellt Ihnen eine Sophos FirewallOS-Lizenz zur Verfügung, die vom Wert her IhrerCyberoam-Lizenz entspricht. Alle Lizenzen, diein Cyberoam existieren, werden nach SFOSmigriert.
HinweisCyberoam-Lizenz migrieren ist nurverfügbar, wenn Sie von Cyberoam aufSFOS migriert haben.
HinweisNur verfügbar, wenn die Registrierung der Appliance abgeschlossen ist.
23.1.1 Abonnement aktivieren
1. Gehen Sie zu Verwaltung > Lizenzen und klicken Sie auf Abonnement aktivieren innerhalb vonXG Firewall-Registrierungsinformationen.
2. Geben Sie den Lizenzschlüssel ein.
3. Klicken Sie auf Schlüssel verifizieren. Das Abonnement wird aktiviert, wenn der Lizenzschlüsselals gültig erklärt wurde.
23.2 Appliance-ZugriffAppliance-Zugriff ermöglicht es Ihnen, den administrativen Zugriff zu bestimmten Diensten vonselbstdefinierten oder Standard-Zonen (LAN, WAN, DMZ, VPN, WLAN) zu beschränken.
1. Zugriffssteuerungsliste (ZSL) für lokale Dienste Die Appliance enthält eine Standard-ZSL(Zugriffskontrollliste), wenn sie zum ersten Mal verbunden und angeschaltet wird. Details derStandarddienste und Ports finden Sie unten. Klicken Sie hier, um den Zugriff zu den Diensten vonbestimmten Zonen aus zu aktivieren oder zu deaktivieren.
Admin-Dienste LAN- und WLAN-Zonen: HTTPS (TCP-Port4444), Telnet (TCP-Port 23) und SSH (TCP-Port 22)
WAN-Zone: HTTPS (TCP-Port 443), Telnet(TCP-Port 23) und SSH (TCP-Port 22)
Authentifizierungsdienste LAN- und WLAN-Zonen: Client-Authentifizierung (UDP-Port 6060), Captive-Portal-Authentifizierung (TCP-Port 8090) undRADIUS SSO.
508 Copyright © 2018 Sophos Limited
XG Firewall
Netzwerkdienste LAN-, WAN und WLAN-Zonen: Ping/Ping6 undDNS
Andere Dienste LAN- und WLAN-Zonen: Wireless Protection,Web-Proxy und SMTP-Relay
LAN-, WAN-, DMZ- und WLAN-Zonen: SSL-VPN (TCP-Port 8443)
LAN- und WAN-Zonen: Benutzerportal unddynamisches Routing
LAN-, DMZ-, VPN- und WLAN-Zonen: SNMP
HinweisBenutzerauthentifizierungsdienste sind für erforderlich, um Beschränkungen auf Basis vonBenutzern bei Internetnutzung, Bandbreite und Datenübertragung zu ermöglichen. Diese sindnicht für administrative Funktionen erforderlich.
2. ZSL-Ausnahmeregel für lokale Dienste: Sie können den Zugriff auf administrative Diensteder Appliance von bestimmten Netzwerken/Hosts aus erlauben. Eine Liste mit allen Regeln wirdangezeigt.
HinweisWenn Sie ein Upgrade von SFOS v15 nach v16 durchführen:
• Wenn HTTP in SFOS v15 aktiviert wurde, werden alle HTTP-Anfragen nach HTTPSumgeleitet.
• HTTP-Regeln, in denen die Maßnahme auf Verwerfen eingestellt ist, werden gelöscht.
3. Standard-Admin-Kennworteinstellungen:
a) Ändern Sie das Standard-Kennwort sobald Sie die Appliance in Betrieb nehmen.
HinweisDie Appliance wird mit einem Standard-Super-Admin mit dem Wort admin alsBenutzername und Kennwort ausgeliefert. Mit diesen Zugangsdaten können Sie auf dieWeb-Admin-Oberfläche und CLI zugreifen. Dieser Administrator wird lokal authentifiziert,also über die Appliance.
b) Klicken Sie auf Auf Standard zurücksetzen um das Standard-Kennwort wiederherzustellen.
4. Administrator-Authentifizierung mit öffentlichem Schlüssel
a) Aktivieren Sie Authentifizierung mit öffentlichem Schlüssel für Administrator um Zugriffzur Kommandozeile (CLI) mit dem SSH-Schlüssel zu erlauben.
HinweisNur Administratoren und der Support können einen SSH-Anmeldeschlüssel ohneAuthentifizierung hinzufügen. Alle Benutzer müssen ein Kennwort bei der Authentifizierungvorweisen, bevor sie einen SSH-Schlüssel hinzufügen können.
b) Fügen Sie die Liste Autorisierte Schlüssel für den Administrator hinzu. Erzeugen Sie dieseSSH-Schlüssel mithilfe von SSH-Client-Werkzeugen (z.B.: PuTTY).
Copyright © 2018 Sophos Limited 509
XG Firewall
23.2.1 Ausnahmeregel für ZSL für lokale Dienste hinzufügen
Verwenden Sie ZSL-Ausnahmeregel für lokale Dienste, um den Zugriff auf die Admin-Dienste derAppliance über ein bestimmtes Netzwerk oder einen Host zuzulassen.
1. Gehen Sie zu Verwaltung > Appliance-Zugriff und klicken Sie auf Richtlinie hinzufügen unterZSL-Ausnahmeregel für lokale Dienste.
2. Geben Sie einen Namen ein.
3. Wählen Sie den Position der Regel aus.
4. Geben Sie eine Beschreibung ein.
5. Wählen Sie die IP-Version aus den folgenden Optionen aus:
Verfügbare Optionen:
• IPv4
• IPv6
6. Wählen Sie die Quellzone, für welche die Richtlinie gilt.
7. Klicken Sie auf Neues Element hinzufügen, um Quellhosts auszuwählen (basierend auf einemNetzwerk, IP-Adresse, IP-Bereich oder IP-Liste), auf die die Regel angewendet werden soll.Klicken Sie auf Neu erstellen, um ein neues Quellnetzwerk/-host zu erstellen.
8. Klicken Sie auf Neues Element hinzufügen, um IP-Adressen oder schnittstellenbasierte Zielhosts(z.B. Benutzerportal) auszuwählen, für welche die Regel gilt. Klicken Sie auf Neu erstellen, um einneues Zielnetzwerk/-host zu erstellen.
HinweisIndem Sie einen Zielhost angeben, kontrollieren Sie den Zugang zu einem Dienst (Beispiel:Benutzerportal) mit einer begrenzten Menge von Ziel-IP-Adressen.
9. Klicken Sie auf Neues Element hinzufügen, um Admin-Dienste auszuwählen, auf welche dieRegel zutrifft.
Verfügbare Optionen:
• HTTPS
• Telnet
• SSH
• Web-Proxy
• DNS
• Ping/Ping6
• SSL-VPN
• Benutzerportal
• Dynamisches Routing
10. Wählen Sie eine Maßnahme aus:
Verfügbare Optionen:
• Annehmen
• Verwerfen
11. Klicken Sie auf Speichern.
510 Copyright © 2018 Sophos Limited
XG Firewall
23.3 Admin-EinstellungenAdmin-Einstellungen ermöglichen es Ihnen, Admin-Port-Einstellungen und Anmeldeparameter zubearbeiten. Passen Sie die Anmeldeparameter an, um den Zugriff durch lokale und entfernte Benutzerbasierend zeitgesteuert zu beschränken.
1. Geben Sie Hostdaten ein
a) Geben Sie einen Namen in Form eines vollständigen Domänennamens (FQDN) ein.
Zulässiger Bereich: 0 bis 256 Zeichen
Beispiel: security.sophos.com
HinweisWenn die Appliance zum ersten Mal eingesetzt wird, wird die Seriennummer der Applianceals Hostname gespeichert.
b) Geben Sie eine Beschreibung ein.
2. Admin-Port-Einstellungen konfigurieren
a) Zeigt den in SFOS v15 konfigurierten HTTP-Port an, wenn Sie ein Upgrade von SFOS v15gemacht haben und der HTTP-Dienst aktiviert ist.
Standard: 80
HinweisAb v16 unterstützt die Appliance keinen Zugriff mehr auf die Admin-Oberfläche aufdiesem Port. Datenverkehr auf einem HTTP-Port wird automatisch auf einen HTTPS-Portumgeleitet.
b) Geben Sie die Portnummer ein, um den HTTPS-Port für den sicheren Zugriff auf die Admin-Oberfläche zu konfigurieren.
Standard: 4444
c) Geben Sie die Portnummer ein, um den HTTPS-Port für den sicheren Zugriff auf dasBenutzerportal zu konfigurieren. Sie können den gleichen Port (z.B. 443) für sichereVerbindungen zum Benutzerportal und SSL-VPN-Verbindungen verwenden, die TCPverwenden.
Standard: 443
d) Wählen Sie das Zertifikat aus, das von Benutzerportal, Captive-Portal, SPX-Registrierungsportal und SPX-Reply-Portal verwendet werden soll.
e) Wählen Sie eine Option aus, die verwendet werden soll, wenn Benutzer zum Captive-Portaloder anderen interaktiven Seiten umgeleitet werden.
Sie können den konfigurierten Hostnamen der Firewall verwenden, die IP-Adresse der ersteninternen Schnittstelle oder einen anderen Hostnamen angeben. Klicken Sie auf Einstellungenüberprüfen, um Ihre Konfiguration zu testen.
3. Legen Sie die Anmeldesicherheit für Administratoren fest
a) Aktivieren Sie das Auswahlkästchen und konfigurieren Sie die Dauer (in Minuten) derInaktivität für die Administratorsitzung, nach der die Appliance automatisch gesperrt wird.
Copyright © 2018 Sophos Limited 511
XG Firewall
Diese Konfiguration gilt für Admin- und CLI-Konsole, den IPsec-Verbindungsassistent, denNetzwerkassistent und den Gruppen-Import-Assistent.
Standard: 3 Minuten
b) Aktivieren Sie das Auswahlkästchen und konfigurieren Sie den Zeitraum (in Minuten) derInaktivität, nach der der Administrator automatisch abgemeldet wird.
Standard: 10 Minuten
HinweisDer Admin-Sitzung abmelden nach-Wert muss größer sein als der Admin-Sitzungsperren nach-Wert.
c) Aktivieren Sie das Kontrollkästchen, um die Anmeldung an die Web-Admin-Oberfläche undCLI zu blockieren. Geben Sie die maximale Anzahl an Fehlversuchen und die Dauer (inSekunden) ein, innerhalb derer die Versuche von einer IP-Adresse aus erfolgen können.Wenn die fehlgeschlagenen Versuche die Anzahl überschreiten, wird der Administratorgesperrt. Geben Sie an, für wie viele Minuten sich der Administrator nicht anmelden darf. DasAdministratorkonto wird für die Dauer der konfigurierten Minuten gesperrt, wenn die Anzahl derzulässigen fehlgeschlagenen Anmeldeversuche überschritten wird.
4. Aktivieren Sie das Auswahlkästchen um Kennwort-Komplexitätseinstellungen für Administratorenzuzulassen und die erforderlichen Einschränkungen zu erzwingen.
5. Wählen Sie Nutzungsbedingungen bei Anmeldung einschalten aus, um Nachrichten fürAuthentifizierung, SMTP, Administration und SMS-Anpassung festzulegen, denen Administratorenzustimmen müssen, bevor sie sich an Web-Admin-Oberfläche und CLI anmelden können. Siekönnen Nachrichten auch anpassen und ansehen.
6. Wählen Sie Sophos Adaptive Learning aus, um folgende Anwendungsnutzungs- undBedrohungsdaten an Sophos zu senden: Nicht klassifizierte Anwendungen (zur Verbesserungund Erweiterung der Anwendungsüberwachungsbibliothek), Daten im Zusammenhang mit IPS-Warnungen, erkannten Viren (auch URLs), Spam, ATP-Bedrohungen (wie Name der Bedrohung),Bedrohungs-URL/IP, Quell-IP und verwendete Anwendungen.
Die Appliance sendet Informationen periodisch über HTTPS an Sophos um die Stabilität zuverbessern, um Funktionen gezielt zu verfeinern und um effektiveren Schutz zu gewährleisten.Es werden keine benutzerspezifischen oder personalisierten Daten erfasst. Die Appliance sendetstandardmäßig Konfigurations- und Nutzungsdaten. Dies beinhaltet Informationen zur Appliance(z.B. Modell, Hardwareversion, Hersteller), Firmware-Version und Lizenzinformationen (keineEigentümerinformationen), genutzte Funktionen (Status, ein/aus, Anzahl, HA-Status, Status derzentralen Verwaltung), konfigurierte Objekte (z.B. Anzahl der Hosts, Richtlinien), Produktfehlerund CPU, Speicher- und Festplattennutzung (in Prozent).
23.4 Zentrale VerwaltungSophos Firewall Manager (SFM), Sophos Central Firewall Manager (CFM) oder Sophos Centralverwaltet Ihre Sophos XG Firewall (Appliance) oder zentral. Die zentrale Verwaltung ermöglicht Ihnen,Keep-Alive-Anfragen zu konfigurieren und Konfigurations- und Signaturaktualisierungen der Applianceüber den Firewall Manager zu ermöglichen.
1. Gehen Sie zu System > Verwaltung > Zentrale Verwaltung.
2. Schalten Sie Verwalten Sie Ihre Firewall über ein, um die zentrale Verwaltung zu aktivieren.
3. Wählen Sie Sophos Firewall Manager (SFM), Sophos Central Firewall Manager (CFM) oderSophos Central, um Ihre Firewall zu verwalten.
512 Copyright © 2018 Sophos Limited
XG Firewall
23.4.1 Sophos Firewall Manager
Es gibt Einschränkungen, wenn Sie SFOS v16 Appliances von SFM v15 aus verwalten. WeitereInformationen hierzu finden Sie im Anhang E – Kompatibilität mit SFMOS 15.01.0
1. Wählen Sie Appliance-Verwaltung, um Keep-Alive-Anfragen zu aktivieren und nachKonfigurationsaktualisierungen zu suchen.
2. Klicken Sie auf Erweiterte Einstellungen und wählen Sie die Kommunikationseinstellungen ausden Optionen aus.
• Der Firewall Manager sendet Konfigurationsänderungen auf die Firewall
• Die Firewall holt sich Konfigurationsänderungen vom Firewall Manager
3. Geben Sie den HTTPS-Port auf Firewall Manager ein, über den Konfigurationsänderungengeschickt werden sollen.
4. Wählen Sie das Kommunikation Heartbeat-Protokoll, um anzugeben, wie Keep-Alive-Informationen zur Firewall gesendet werden.
HinweisWir empfehlen Syslog als Heartbeat-Protokoll einzustellen.
5. Wählen Sie Aktualisierungsverwaltung, um Signaturaktualisierungen vom Firewall Manager zuerhalten.
6. Klicken Sie auf Erweiterte Einstellungen. Geben Sie bei Firewall-Manager-Port die Portnummeran, die Sie unter den Administrator-Einstellungen des Firewall Managers angegeben haben.
Der Firewall Manager wird Signaturaktualisierungen über diesen Port senden.
23.4.2 Sophos Central Firewall Manager
Es gibt Einschränkungen, wenn Sie SFOS v16 Appliances von SFM v15 aus verwalten. WeitereInformationen hierzu finden Sie im Anhang E – Kompatibilität mit SFMOS 15.01.0
Copyright © 2018 Sophos Limited 513
XG Firewall
1. Klicken Sie unter Appliance-Verwaltung auf Erweiterte Einstellungen und wählen Sie dieKommunikationseinstellungen aus den Optionen aus.
• Der Firewall Manager sendet Konfigurationsänderungen auf die Firewall
• Die Firewall holt sich Konfigurationsänderungen vom Firewall Manager
2. Geben Sie den HTTPS-Port auf Firewall Manager ein, über den Konfigurationsänderungengeschickt werden sollen.
3. Wählen Sie das Kommunikation Heartbeat-Protokoll, um anzugeben, wie Keep-Alive-Informationen zur Firewall gesendet werden.
HinweisWir empfehlen Syslog als Heartbeat-Protokoll einzustellen.
23.5 ZeitSie können Datum und Zeit entsprechend der Uhr der Appliance einstellen oder die Appliance miteinem NTP-Server (Network Time Protocol) synchronisieren.
1. Gehen Sie zu Verwaltung > Zeit.
2. Aktuelle Zeit zeigt Zeit und Datum der Appliance.
3. Wählen Sie die Zeitzone abhängig von dem Standort, an dem sich die Appliance befindet.
4. Wählen Sie aus den folgenden Optionen, wie Sie Zeit und Datum einstellen wollen:
• Vordefinierten NTP-Server verwenden (pool.ntp.org). Die Appliance benutzt NTP Version3 (RFC 1305). Klicken Sie auf Jetzt synchronisieren.
• Eigenen NTP-Server verwenden. Geben Sie die IPv4- oder IPv6-Adresse oder denDomänennamen ein. Sie können bis zu 10 NTP-Server konfigurieren. Zum Zeitpunkt derSynchronisierung schickt die Appliance nacheinander eine Anfrage an die konfiguriertenNTP-Server, bis sie eine gültige Antwort von einem Server erhält. Klicken Sie auf Jetztsynchronisieren.
• Wählen Sie Keinen NTP-Server verwenden, um Zeit und Datum anhand der Uhr derAppliance zu konfigurieren. Stellen Sie Datum und Zeit ein.
23.6 Benachrichtigungs-einstellungen
Benachrichtigungseinstellungen ermöglicht es Ihnen, die IP-Adresse des Mailservers, Port und E-Mail-Adresse zum Senden und Empfangen von Warn-E-Mails zu konfigurieren.
514 Copyright © 2018 Sophos Limited
XG Firewall
Die Appliance erlaubt es Ihnen, E-Mail-Benachrichtigungen für vom System erzeugte Ereignisse undBerichte zu konfigurieren, um den Administrator zu informieren über:
• Änderung des Gateway-Status
• Änderung des HA-Linkstatus (wenn ein HA-Cluster konfiguriert ist)
• In den Status des IPsec-Tunnels ändern
1. Mailserver-Einstellungen
Klicken Sie auf Benachrichtigungen senden über:
Integrierter Mailserver
Wählen Sie die Option, wenn Sie den integrierten Mailserver von XG Firewall verwendenmöchten, um vom System erzeugte E-Mails zu versenden.
Externer Mailserver
Wählen Sie die Option, um einen externen Mailserver zu konfigurieren, der vom Systemerzeugte E-Mails sendet.
a) Geben Sie IPv4-Adresse/FQDN des Mailservers und die Portnummer ein. Standardport: 25
b) Wählen Sie Authentifizierung erforderlich, um den Benutzer zu authentifizieren, bevoreine E-Mail gesendet wird. Legen Sie Benutzername und Kennwort fest.
c) Wählen Sie den Modus Verbindungssicherheit, der für den Aufbau einer gesichertenVerbindung zwischen einem SMTP-Client und dem SMTP-Server für SMTP-E-Mailsverwendet werden soll. Verfügbare Optionen:
• Keine
• STARTTLS
• SSL/TLS
Standard: Keine
d) Wählen Sie, welches Zertifikat für die Authentifizierung durch den SMTP-Client und denSMTP-Server verwendet werden soll.
Standard: Appliance-Zertifikat
2. E-Mail-Einstellungen
Geben Sie die E-Mail-Adresse des Absenders und Empfängers an.
3. E-Mail-Benachrichtigung
Wählen Sie IPsec-Tunnel aufgebaut/unterbrochen, um den Empfang von E-Mail-Benachrichtigungen zu ermöglichen, wenn die IPsec-VPN-Tunnelverbindung unterbrochen ist.
Die E-Mail-Nachrichten werden an die konfigurierte E-Mail-Adresse gesendet.
Eine E-Mail wird nur im Fall von Host-to-Host- und Site-to-Site-Tunnelverbindungen versendet,die aus einem der folgenden Gründen getrennt sind:
• Eine Gegenstelle wurde als tot eingestuft (Dead Peer Detection, DPD)
• Nach Dead Peer Detection (DPD) konnte die Verbindung nicht erneut hergestellt werden
• IPsec Security Association (SA) ist abgelaufen und muss wiederhergestellt werden.
• IPsec-Tunnel wird ohne Eingreifen durch den Administrator nach Verlust der Verbindungwiederhergestellt.
Copyright © 2018 Sophos Limited 515
XG Firewall
Hinweis• Bei Site-to-Site-Verbindungen mit mehreren lokalen und entfernten Netzwerken wird
eine E-Mail für jedes Subnetzpaar gesendet.
• Eine Beschreibung der IPsec-Tunnelverbindung befindet sich nur in der E-Mail, wenndiese Informationen vom Administrator zur Verfügung gestellt wurden.
• E-Mails werden bei einem Abstand von 60 Sekunden versendet, um die Anzahl der E-Mails gering zu halten. Ereignisse, die innerhalb dieses Intervalls geschehen, werden alseine E-Mail gesendet.
4. Test-E-Mail
Klicken Sie hier, um eine Vorschau zu sehen und die Details der E-Mail-Adresse zu bearbeiten.
Klicken Sie auf Senden.
HinweisDie Mailserver-Konfiguration ändert sich automatisch, wenn sie über den Netzwerk-Konfigurationsassistenten geändert wird, und andersherum.
23.7 NetflowNetflow erlaubt Ihnen, Netflow-Server hinzuzufügen, zu aktualisieren oder zu löschen. Die Appliancebietet Netflow, ein Netzwerk-Protokoll, um Netzwerkbandbreitennutzung und -verkehrsfluss zuüberwachen. Netflow-Aufzeichnungen von Quelle, Ziel und Volumen des Verkehrs werden anden Netflow-Server exportiert. Die Aufzeichnungen helfen Ihnen dabei, die Protokolle, Richtlinien,Schnittstellen und Benutzer zu identifizieren, die viel Bandbreite verbrauchen. Werkzeuge, die Datenanalysieren, wie Open Source Data Analyzer und PRTG Software, können Berichte aus den Netflow-Aufzeichnungen erzeugen.
Netflow-Konfiguration
1. Geben Sie den Netflow Servernamen ein.
2. Geben Sie die Netflow Server-IP/Domäne ein. Sie können IPv4- oder IPv6-Adressen eingeben.
3. Geben Sie die Netflow Server-Port-Nummer ein (UDP-Port). Aufzeichnungen werden über denangegebenen Port an den Netflow-Server gesendet.
Standard: 2055
HinweisEs wird nur Verkehr von Firewallregeln an den Netflow-Server gesendet, welche Firewallverkehrprotokollieren aktiviert haben.
HinweisSie können bis zu fünf Netflow-Server konfigurieren.
516 Copyright © 2018 Sophos Limited
XG Firewall
HinweisSophos unterstützt Netflow Version 5. Sie können alle Parameter von Version 5 exportieren.
23.8 Meldungen
Verwenden Sie Meldungen, um Benutzer zu benachrichtigen und über Warnungen zu informieren.
Sie können Meldungen von bis zu 256 Zeichen an einzelne oder mehrere Benutzer gleichzeitigversenden.
Sie können die Meldung bearbeiten
( ),Änderungen speichern
oder auf die Standardmeldung zurücksetzen
.
Sie können Benachrichtigungen zu folgenden Ereignissen versenden:
• Authentifizierung: An- und Abmeldebestätigung, Anmeldefehlversuch undVerbindungsunterbrechung
• SMTP: Blockierte und empfangene E-Mails
• Verwaltung: Nutzungsbedingungen für die Anmeldung des Administrators
• SMS-Anpassung: Anmeldeinformationen zu Gastbenutzern
23.9 SNMPSNMP (Simple Network Management Protocol) ermöglicht es Ihnen, Sophos XG Firewall alsSNMP-Agent zu konfigurieren. Die Appliance antwortet auf mehrere SNMP-Manager innerhalbder vordefinierten Communities. Sie können mehrere Firewall-Appliances in IP-Netzwerken aufGeräteverfügbarkeit, CPU, Speicher- und Festplattennutzung, Verfügbarkeit von kritischen Diensten,etc. überwachen. Die Appliance speichert die Informationen in einer Management Information Base(MIB) und antwortet auf SNMP GET-Befehle an die MIB. Klicken Sie hier um die Sophos MIB-Dateiherunterzuladen. Sie sendet auch SNMP-Traps (Warnungen) an den SNMP-Manager.
SNMP sammelt Informationen auf zwei Arten:
• SNMP fragt bei den Agents nach.
• Agents senden Traps an den SNMP-Manager.
SNMP-Community besteht aus einem Manager und einer Gruppe von Agents. Agents können zumehreren SNMP-Communities gehören. Die Community legt fest, wohin Daten gesendet werden.Ein Agent reagiert nicht auf Anfragen von Management-Stationen, die nicht zu seinen Communitiesgehören. Sie müssen für jede Community eine Trap-Version angeben. Jede Community kannSNMPv1 und SNMPv2c unterstützen. Sophos XG Firewall unterstützt IPv4- und IPv6-Adressen.
Agent-Konfiguration ermöglicht Ihnen, die Details zum Agent zu konfigurieren.
Community zeigt eine Liste aller Communities an. Sie können hier Communities hinzufügen,aktualisieren oder löschen.
Copyright © 2018 Sophos Limited 517
XG Firewall
SNMP MIB Unterstützung (siehe RFC 1210)
Tabelle 35: OIDs (Object Identifiers)
OID-Wert OID-Name Beschreibung
1.3.6.1.2.1.1.1 sysDescr Agent-Beschreibung
1.3.6.1.2.1.1.2 sysObjectID Sophos Unternehmens-OID für Firewall
1.3.6.1.2.1.1.3 sysUpTime Zeit seit Inbetriebnahme derNetzwerkverwaltungseinheit
1.3.6.1.2.1.1.4 sysContact Administrator-Kontaktdaten
1.3.6.1.2.1.1.5 sysName Administratorname
1.3.6.1.2.1.1.6 sysLocation Ort der Firewall
1.3.6.1.2.1.1.7 sysServices Dienste, die von der Firewallbereitgestellt werden. Standardwert: 0
1.3.6.1.2.1.2.1 ifNumber Anzahl der auf der Firewall befindlichenSchnittstellen
1.3.6.1.2.1.2.2 ifTable Liste der Schnittstelleneinträge
1.3.6.1.2.1.2.2.1 ifEntry Objekte auf Subnetzebene der Firewalloder darunter
1.3.6.1.2.1.2.2.1.1 ifIndex Eindeutiger Wert der Schnittstelle
1.3.6.1.2.1.2.2.1.2 ifDescr Schnittstellenname
1.3.6.1.2.1.2.2.1.3 ifType Schnittstellen-Typ
1.3.6.1.2.1.2.2.1.4 ifMtu MTU-Größe
1.3.6.1.2.1.2.2.1.5 ifSpeed Schnittstellengeschwindigkeit
1.3.6.1.2.1.2.2.1.6 ifPhysAddress Schnittstellenadresse
1.3.6.1.2.1.2.2.1.7 ifAdminStatus Gewünschter Zustand der Schnittstelle
1.3.6.1.2.1.2.2.1.8 ifOperStatus Betriebszustand der Schnittstelle
1.3.6.1.2.1.2.2.1.9 ifLastChange sysUpTime zu der die Schnittstelleihren aktuellen Betriebszustand erreichthat
1.3.6.1.2.1.2.2.1.10 ifInOctets Anzahl an Bytes, die auf derSchnittstelle ankamen, einschließlichFramingzeichen
1.3.6.1.2.1.2.2.1.11 ifInUcastPkts Anzahl an Subnetzwerk-Unicastpaketen
1.3.6.1.2.1.2.2.1.12 ifInNUcastPkts Anzahl an Subnetzwerk-Nicht-Unicastpaketen
1.3.6.1.2.1.2.2.1.13 ifInDiscards Anzahl an verworfenen eingehendenPaketen
1.3.6.1.2.1.2.2.1.14 ifInErrors Anzahl an eingehenden Paketen mitFehlern
518 Copyright © 2018 Sophos Limited
XG Firewall
OID-Wert OID-Name Beschreibung
1.3.6.1.2.1.2.2.1.15 ifInUnkownProtos Anzahl an verworfenen Paketenaufgrund von unbekanntem oder nichtunterstütztem Protokoll
1.3.6.1.2.1.2.2.1.16 ifOutOctets Anzahl an Bytes, die von derSchnittstelle versendet wurden,einschließlich Framingzeichen
1.3.6.1.2.1.2.2.1.17 ifOutUcastPkts Anzahl an Paketen, die an eineSubnetzwerk-Unicastadresseübertragen wurden
1.3.6.1.2.1.2.2.1.18 ifOutNUcastPkts Anzahl an Paketen, die an eineSubnetzwerk-Nicht-Unicastadresseübertragen wurden
1.3.6.1.2.1.2.2.1.19 ifOutDiscards Anzahl an ausgehenden, verworfenenPaketen
1.3.6.1.2.1.2.2.1.20 ifOutErrors Anzahl an Paketen, die aufgrundvon Fehlern nicht übertragen werdenkonnten
1.3.6.1.2.1.2.2.1.21 ifOutQLen Länge der Schlange der zu sendendenPakete
1.3.6.1.2.1.2.2.1.22 ifSpecific Dokument, in dem Ethernet-spezifischeObjekte definiert sind
23.9.1 Konfiguration des SNMP-Agents
SNMP-Agent-Konfiguration ermöglicht Ihnen, die Appliance als SNMP-Agent zu konfigurieren.
1. Gehen Sie zu Verwaltung > SNMP.
2. Auswählen, um den SNMP-Agent einzuschalten.
3. Geben Sie einen Namen ein.
4. Geben Sie eine Beschreibung ein.
5. Geben Sie den physikalischen Standort der Appliance ein.
6. Geben Sie die Kontaktdaten der Person an, die für die Verwaltung der Appliance verantwortlich ist.
7. Der Agent-Port verwendet den UDP-Port 161. Dieser Port erhält GET-Anfragen von den SNMP-Managern.
8. Legen Sie den Manager-Port fest, über den der SNMP-Manager Warnungen/Traps vom SNMP-Agent erhält.
Standard: 162
23.9.2 Community hinzufügen
1. Gehen Sie zu Verwaltung > SNMP und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Geben Sie eine Beschreibung ein.
4. Geben Sie die IP-Adresse (IPv4-/IPv6) des SNMP-Managers ein.
Copyright © 2018 Sophos Limited 519
5. Wählen Sie die SNMP-Protokollversion. SNMP v1- und v2c-konforme SNMP-Manager verfügenüber einen schreibgeschützten Zugriff auf die Systemdaten der Appliance und können Traps vonder Appliance empfangen.
6. Wählen Sie, welche Trap-Version unterstützt wird. Traps werden nur an SNMP-Manager gesendet,welche die angegebenen Versionen unterstützen.
7. Klicken Sie auf Speichern.
Kapitel 24
24 Sicherung & Firmware
24.1 Sicherung & Firmware
Sicherungen sind wesentlich für den Schutz von Daten. Ganz gleich, wie gut Ihr System verwaltetund gewartet wird, Sie können sich nie darauf verlassen, dass Ihre Daten sicher sind, vor allem dannnicht, wenn sie nur an einem einzigen Ort gespeichert werden.
Sicherungen sind notwendig, um Daten nach einem Festplattenausfall, versehentlicher Löschungoder Dateibeschädigung wiederherzustellen. Es gibt viele Möglichkeiten, Sicherungen zu machen,und genauso viele Medien, die sich dafür eignen.
Eine Sicherung beinhaltet alle Richtlinien und alle sonstigen benutzerbezogenen Informationen.Es ist ratsam, regelmäßig Sicherungen der Gerätekonfiguration zu erstellen, insbesonderebevor und nachdem Sie bedeutende Änderungen vornehmen und vor einem Firmware-Upgrade.Gerätebackups enthalten vertrauliche Informationen und sind wichtig. Stellen Sie sicher, dass Sieentsprechend mit ihnen umgehen.
Die Appliance macht es einfach, Sicherungen ausschließlich von Systemdaten zu machen, entwederdurch geplante automatische Sicherungen oder durch eine manuelle Sicherung.
Nachdem eine Sicherung erstellt wurde, muss die Datei für die Wiederherstellung der Sicherunghochgeladen werden, um die Konfiguration wiederherzustellen.
Im Folgenden sind die Bildschirmelemente mit Beschreibung aufgeführt:
Sicherung
Sicherungsmodus Hier wählen Sie aus, wie und wohinSicherungsdateien gesendet werden sollen.
Verfügbare Optionen:
Lokal – Es wird eine Sicherung gemacht undauf XG Firewall selbst gespeichert. FTP –Konfigurieren Sie die IP-Adresse des FTP-Servers (IPv4/IPv6), Anmeldedaten und denFTP-Pfad. E-Mail – Konfigurieren Sie die E-Mail-Adresse, an die die Sicherung gesendet werdensoll. Sie können mehrere E-Mail-Adressenkonfigurieren.
Sicherungspräfix Legen Sie ein Präfix für denSicherungsdateinamen fest. Das Formatfür den Namen der Sicherungsdatei siehtfolgendermaßen aus:
• Mit Präfix: <Prefix>_Backup_<DeviceKey>_<timestamp>
Zum Beispiel:
Dallas_Backup_ABCDEY190_26Nov2014_12.09.24
XG Firewall
NY_Backup_ABCDEY190_26Nov2014_12.09.24
• Ohne Präfix (Standard): Backup_<DeviceKey>_<timestamp>
Zum Beispiel:
Backup_ABCDEY190_26Nov2014_12.09.24
Wird kein Präfix angegeben, wird für dieSicherungsdatei das Standardformat verwendet.
Das Sicherungspräfix ist nützlich, wenn SieSicherungen von mehreren Appliances machen.
Frequenz Legen Sie die Häufigkeit fürSystemdatensicherungen fest.
Im Allgemeinen empfiehlt es sich, Sicherungenmithilfe eines Zeitplans regelmäßigdurchzuführen. Der Zeitplan kann sich danachrichten, wie viele Informationen hinzukommenoder geändert werden.
Verfügbare Optionen:
Nie – Es wird überhaupt keine Sicherunggemacht Täglich – Sicherung wird jeden Taggemacht Wöchentlich – Sicherung wird jedeWoche gemacht Monatlich – Sicherung wirdjeden Monat gemacht
Zeitplan: Legen Sie Tag/Datum und Uhrzeitfür tägliche, wöchentliche und monatlicheSicherungen fest.
Jetzt Daten sichern Klicken Sie hier, um die Systemdaten bis heute zusichern.
Herunterladen (Nur für lokalenSicherungsmodus)
Anklicken, um die neueste Sicherungherunterzuladen, die zum Hochladen zurVerfügung steht.
Sicherung wiederherstellen
Konfiguration wiederherstellen Um den kompletten Pfad der Sicherungsdateiauszuwählen, die wiederhergestellt werden soll,klicken Sie auf das Symbol für die Dateiauswahl.
Hochladen und Wiederherstellen Klicken Sie hier, um die Konfigurationhochzuladen und wiederherzustellen.
HinweisDie Wiederherstellung von Daten, die ältersind als die aktuellen Daten, führt zu einemVerlust der aktuellen Daten.
522 Copyright © 2018 Sophos Limited
XG Firewall
24.2 API
Die Schnittstelle zur Anwendungsprogrammierung (API) ist eine Schnittstelle, über dieFremdanwendungen mit der Appliance kommunizieren können. Auf dieser Seite kann derAdministrator Benutzer anmelden und abmelden.
API-Konfiguration
API-Konfiguration Ist diese Funktion aktiviert, dürfen nur autorisierteFremdlösungsanbieter wie Internetdienstanbieteroder Systemintegratoren die API für denAnmeldungs-/Abmeldungsvorgang nutzen.
Standard: Deaktiviert
Zugelassene IP-Adresse Fügen Sie die IP-Adressen hinzu, die XMLAnmeldungs- und Abmeldungsanfragen stellendürfen.
Sie können IP-Adressen nur hinzufügen, wenn„API-Konfiguration“ aktiviert ist.
API Explore
XML-String anfordern Geben Sie den XML-Inhalt an, der dieKonfigurationen zum An- und Abmelden derBenutzer enthält.
Parsen und anwenden Klicken Sie hier, um den XML-Inhalt zu parsenund die Konfigurationen anzuwenden.
Beispiel für XML-Anfragecode
Bei allen Anfragen wird die XML-Antwort in einem Popup-Fenster angezeigt.
<Request><LiveUserLogin><UserName>sophos</UserName><Password>sophos</Password><IPAddress>10.21.18.15</IPAddress><MacAddress>00:0C:29:2D:D3:AC</MacAddress> </LiveUserLogin></Request>
<Request><LiveUserLogout><Admin><UserName>admin</UserName><Password>admin</Password></Admin><UserName>sophos</UserName><IPAddress>10.21.18.15</IPAddress></LiveUserLogout></Request>
Bei Versionen vor 10.6.1 MR-1
<Request><LiveUserLogout><UserName>sophos</UserName><IPAddress>10.21.18.15</IPAddress></LiveUserLogout></Request>
Copyright © 2018 Sophos Limited 523
XG Firewall
Klicken Sie auf den nachfolgenden Link, um die API zu verwenden:
https://<Sophos IP>:<port>/webconsole/APIController?reqxml=<Add the XML request here>
HinweisDer Port, den Sie in der URL angeben, sollte derselbe sein wie der Port, den Sie als Web-Admin-Oberfläche HTTPS-Port unter Verwaltung > Admin-Einstellungen angegeben haben.
Zum Beispiel:
https://<Sophos IP>:4444/webconsole/APIController?reqxml=<Request><LiveUserLogin><UserName>sophos</UserName><Password>sophos</Password><IPAddress>10.21.18.15</IPAddress><MacAddress>00:0C:29:2D:D3:AC</MacAddress></LiveUserLogin></Request>
HinweisWenn sich der Benutzer mit der API anmeldet, wird als Clienttyp des Benutzers API-Client aufder Seite Live-Benutzer angezeigt.
24.3 Import/Export
Sie können die Gerätekonfiguration ganz oder teilweise zwischen kompatiblen Geräten gleichenoder unterschiedlichen Modells exportieren und importieren. Die Gerätekonfiguration wird in eineTextdatei im menschenlesbaren Format XML exportiert. Bei Bedarf können Sie sie auch offlineaktualisieren.
Import
Zu importierende Datei Um den kompletten Pfad der tar-Dateiauszuwählen, die importiert werden soll, klickenSie auf das Symbol für die Dateiauswahl.
Importieren Klicken Sie hier, um die Konfiguration auf dieAppliance zu importieren.
Die vorhandene Konfiguration der Appliancewird beibehalten. Objekte mit demselbenNamen in der vorhandenen Konfigurationwerden mit der importierten Objektkonfigurationaktualisiert und neue Objekte werdenhinzugefügt.
Zum Beispiel:
Wenn Sie eine Netzwerkdatenkontingent-Richtlinie mit dem Namen „Täglich 10 MB“in der vorhandenen und in der importiertenKonfiguration haben, wird die vorhandeneRichtlinienkonfiguration mit der importierten
524 Copyright © 2018 Sophos Limited
XG Firewall
Konfiguration aktualisiert. Alle neuen Richtlinienin der importierten Konfiguration werdenebenfalls hinzugefügt.
Export
Vollständige Konfiguration exportieren Hier exportieren Sie die Konfiguration allerObjekte in eine Textdatei.
Ausgewählte Konfiguration exportieren Hier exportieren Sie nur die Konfigurationausgewählter Objekte. Klicken Sie auf NeuesElement hinzufügen, um Objekte auszuwählenund die ausgewählten Objekte hinzuzufügen.
Zugehörige Objekte des ausgewählten Objektswerden ebenfalls exportiert, wenn ZugehörigesObjekt einschließen ausgewählt wird.
Exportieren Klicken Sie hier, um die Konfiguration von derAppliance zu exportieren.
24.4 Firmware
HinweisDiese Funktion ist nicht verfügbar in Sophos Firewall Manager.
Auf der Seite Firmware können Sie die Firmware-Versionen Ihrer Appliance verwalten. Dieseermöglicht es auch, Hotfixes zu installieren und die Standardkonfigurationssprache der Applianceauszuwählen.
Der Bereich Firmware zeigt eine Liste der Firmware-Versionen an, die heruntergeladen wurden. Esstehen immer maximal zwei Firmware-Versionen gleichzeitig zur Verfügung, wobei eine der beidenaktiv ist.
Firmware hochladen Klicken Sie auf
,um die neue Firmware hochzuladen. Klicken Sieim Dialogfenster auf Durchsuchen. Klicken Sieauf Firmware hochladen, um die Image-Dateider Firmware hochzuladen. Die hochgeladeneFirmware wird nach dem nächsten Neustart aktiv.
Klicken Sie auf Hochladen & Neustart um dasFirmware-Image hochzuladen und die Applianceneu zu starten. Die Maßnahme führt ein Upgradeder Appliance auf die neue Version durch,schließt alle Sitzungen, startet die Appliance neuund zeigt die Anmeldeseite an. Der Vorgang kanneinige Minuten dauern, da er die Migration dergesamten Konfiguration beinhaltet.
Copyright © 2018 Sophos Limited 525
XG Firewall
Zum Zeitpunkt des Hochladens der neuenFirmware könnte der Fehler „Neue Firmwarekonnte nicht hochgeladen werden“ auftreten.Dies kann folgende Gründe haben:
1. Falsche Upgrade-Datei – Sie versuchen diefalsche Upgrade-Datei hochzuladen, z.B.eine vorherige Firmware-Version.
2. Falsches Firmware-Image - Sie versuchendas falsche Firmware-Image für IhrAppliance-Modell hochzuladen. AlleFirmwares sind modellspezifisch und nichtaustauschbar. Das bedeutet, dass dieFirmware eines Modells nicht auf einemanderen Modell anwendbar ist. Ein Fehlerwird beispielsweise angezeigt, wenn einUpgrade für das Appliance-Modell XG125mit der Firmware für das Modell XG750durchgeführt werden soll.
3. Inkompatible Firmware - Sie versuchen eineinkompatible Firmware hochzuladen.
4. Änderungen an der Appliance-Hardware –Ihre Appliance-Hardware-Konfiguration istnicht die Standard-Hardware-Konfiguration.Kontaktieren Sie den Support fürUnterstützung.
5. Beschädigte Firmware – Die von Ihnenheruntergeladene Firmware ist beschädigt.
Firmware-Image neu starten Klicken Sie auf
,um das Upgrade der Appliance auf dashochgeladene Firmware-Image auszuführen.Die Maßnahme führt ein Upgrade der Applianceauf die neue Version durch, schließt alleSitzungen, startet die Appliance neu und zeigt dieAnmeldeseite an.
Appliance mit Werkseinstellung neu starten Klicken Sie auf
,um die Appliance neu zu starten und dieStandardkonfiguration zu aktivieren.
HinweisWenn Sie mit der Werkseinstellung neustarten, geht die aktuelle Konfigurationverloren. Erstellen Sie eine Sicherung, bevorSie auf diese Option klicken.
Aktiv Das Aktiv-Symbol
bei einer Firmware-Version zeigt an, dass dieAppliance momentan diese Firmware verwendet.
526 Copyright © 2018 Sophos Limited
XG Firewall
Neueste verfügbare Firmware (nicht verfügbar in Sophos Firewall Manager)
Nach neuer Firmware suchen Anklicken, um die neue Firmware zu sehen, fallsverfügbar.
Firmware-Version Zeigt die Liste der Firmware-Versionen an, diezum Herunterladen bereit stehen.
Typ Zeigt den Typ jeder Firmware an.
Verfügbare Optionen:BetaGA
Maßnahmen Klicken Sie auf Herunterladen, um die Firmwareherunterzuladen. Klicken Sie nach dem Downloadauf Installieren.
Sophos XG Firewall Hotfix
Automatische Installation von wichtigenSicherheitsaktualisierungen zulassen
Hotfixes werden automatisch installiert, wennsie verfügbar sind. Deaktivieren Sie dasAuswahlkästchen, wenn Sie sie nicht automatischanwenden möchten.
Klicken Sie auf Übernehmen, um Ihre Auswahlzu speichern.
Standard: Aktiviert
Auf Werkseinstellungen zurücksetzen mit der Standardkonfigurationssprache
Standardkonfigurationssprache Wählen Sie die Standardsprache für dieKonfiguration aus. Wenn Sie eine andere Spracheauswählen, startet sich die Appliance neu undkehrt zu den Werkseinstellungen zurück. AlleAnpassungen werden entfernt.
Die Sprache der Web-Admin-Oberfläche kannsich von der Standard-Konfigurationsspracheunterscheiden. Wenn Sie eine andere Web-Admin-Oberflächensprache auswählen,werden Menüs und Bezeichnungen inder ausgewählten Sprache angezeigt,während durch das Auswählen einer anderenStandardkonfigurationssprache Menüs,Bezeichnungen, Standardrichtlinien und derenBeschreibungen in der ausgewählten Spracheangezeigt werden.
Standard: Englisch
Verfügbare Optionen:
• Englisch
• Hindi
• Chinesisch – Traditionell
• Chinesisch – Vereinfacht
• Französisch
• Japanisch
Copyright © 2018 Sophos Limited 527
XG Firewall
HinweisErstellen Sie eine Sicherung, bevor Sie eineandere Sprache auswählen, da die gesamteKonfiguration verloren geht. Die Appliancestellt die Sicherung in der Sprache wiederher, die zum Zeitpunkt der Sicherung aktivwar.
24.5 Pattern-Updates
Auf dieser Seite wird der Status der Patterns angezeigt, die von den die verschiedenen ModulenIhrer Appliance wie Sophos AV, IPS und Anwendungssignaturen oder WAF verwendet werden. Aufder Seite können Sie zudem die Patterns aktualisieren oder ein Zeitintervall für das automatischeUpdate einstellen. Patterns werden standardmäßig automatisch aktualisiert.
Status der Updates
Pattern Name des Pattern.
Aktuelle Version Version des verwendeten Pattern.
Verfügbare Version Upgrade-Version, falls verfügbar.
Letzte erfolgreiche Aktualisierung Zeigt Datum und Uhrzeit des letzten erfolgreichenUpdates an.
Status Zeigt den Status des Pattern an.
• Bereit zur Installation
• Erfolgreich
• Download läuft
• Fehlgeschlagen
Pattern jetzt aktualisieren Klicken, um die Pattern-Definitionen zuaktualisieren.
Pattern-Download/-Installation
Autom. Aktualisierung Um die Pattern-Definitionen automatisch zuaktualisieren, klicken Sie auf Auto-Update.
Firmware-Updates für RED und Access Pointswerden automatisch heruntergeladen und eineBenachrichtigung wird angezeigt. Sie müssendiese Updates manuell installieren. Gewöhnlichstartet RED oder der AP nach der Installationneu. Verbindungen zu REDs oder APs werdenwährenddessen unterbrochen und im Anschlusswiederhergestellt.
Intervall (nur verfügbar, wenn Auto-Update anist)
Zeitrahmen, innerhalb welchem SieAktualisierungen erhalten möchten.
Verfügbare Optionen:
528 Copyright © 2018 Sophos Limited
XG Firewall
• Jede Stunde
• Alle 2 Stunden
• Alle 4 Stunden
• Alle 12 Stunden
• täglich
• Alle 2 Tage
Copyright © 2018 Sophos Limited 529
XG Firewall
Kapitel 25
25 ZertifikateSie können Zertifikate, CAs und Zertifikatsperrlisten hinzufügen.
25.1 Zertifikate
Digitale Zertifikate verifizieren die Eigentümerschaft eines Benutzers oder Computers (Beispiel:VPN) oder einer Organisation (Beispiel: Websites) über das Internet. Sie werden über eineZertifizierungsstelle (CA) ausgegeben. Zertifikatsignierungsanforderungen (CSR) ermöglichenes Ihnen, die benötigten Informationen für eine CA zur Verfügung zu stellen, um ein Zertifikatauszustellen. CAs stellen Zertifikate aus, die den öffentlichen Schlüssel des Eigentümers, dieGültigkeitsdauer des Zertifikats, Eigentümerinformationen und den privaten Schlüssel enthaltenkönnen. Die Verifizierung wird durch den privaten Schlüssel komplettiert, der dem Eigentümergehört.
Zertifikate werden zurückgezogen, wenn der private Schlüssel verloren gegangen ist, gestohlenoder aktualisiert wurde. CAs führen eine Liste der gültigen und zurückgezogenen Zertifikate.Selbstsignierte Zertifikate, die zurückgezogen wurden, werden automatisch der Zertifikatsperrliste(CRL) hinzugefügt.
Die Appliance ermöglicht Ihnen:
• selbstsignierte Zertifikate zu erzeugen, Zertifikate von Drittanbietern hochzuladen oder eine CSRzu erzeugen.
• die Appliance als CA zu verwenden oder eine externe CA hinzuzufügen.
• selbstsignierte Zertifikate zurückzuziehen oder externe Zertifikatsperrlisten hochzuladen.
25.1.1 Zertifikat hinzufügen
Zertifikat hinzufügen ermöglicht es Ihnen, ein Zertifikat hochzuladen, ein selbstsigniertes Zertifikat zuerzeugen oder eine Zertifikatsignierungsanforderung (CSR) zu erzeugen.
1. Gehen Sie zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.
2. Wählen Sie aus den folgenden Optionen.
• Zertifikat hochladen
• Selbstsigniertes Zertifikat erzeugen
• Zertifikatsignierungsanforderung (CSR) erzeugen
Zertifikat hochladen
1. Geben Sie den Zertifikatnamen ein.
2. Wählen Sie das Format der Zertifikatdatei.
PEM (.pem): Base64-codierte Form der DER-Zertifikate. Zertifikat und privater Schlüssel werdenin unterschiedlichen Dateien gespeichert.
530 Copyright © 2018 Sophos Limited
XG Firewall
DER (.der): Binäre Form des PEM-Zertifikats das auf der Java Plattform verwendet wird.Zertifikat und privater Schlüssel werden in unterschiedlichen Dateien gespeichert.
PEM (.pem): Base64-codierte Form der DER-Zertifikate. Zertifikat und privater Schlüssel werdenin unterschiedlichen Dateien gespeichert.
DER (.der): Binäre Form des PEM-Zertifikats das auf der Java Plattform verwendet wird.Zertifikat und privater Schlüssel werden in unterschiedlichen Dateien gespeichert.
CER (.cer): Binäre Form. Beinhaltet Informationen über den Zertifikateigentümer und öffentlicheund private Schlüssel.
PKCS7 (.p7b): ASCII-Code. Enthält das Zertifikat aber nicht den privaten Schlüssel.
PKCS12 (.pfx oder .p12): Binäre Form, die auf Windows-Plattformen verwendet wird. Speichertden privaten Schlüssel mit dem öffentlichen Schlüssel.
3. Laden Sie das Zertifikat und den privaten Schlüssel hoch.
4. Geben Sie das CA-Kennwort ein und nochmals zur Bestätigung.
5. Klicken Sie auf Speichern.
Selbstsigniertes Zertifikat erzeugen
1. Gehen Sie zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.
2. Legen Sie als Maßnahme Selbstsigniertes Zertifikat erzeugen fest.
3. Zertifikatdetails
a) Geben Sie den Zertifikatnamen ein.
b) Legen Sie die Gültigkeitsdauer des Zertifikats fest.
Standard: 1 Tag
c) Wählen Sie die Anzahl der Bits, aus denen der Schlüssel besteht.
HinweisLängere Schlüssel bieten mehr Sicherheit, aber benötigen länger um Daten zu ver- oderentschlüsseln.
Standard: 2048
d) Auswählen, um den Schlüssel zu verschlüsseln. Geben Sie das Kennwort oder den verteiltenSchlüssel an und bestätigen Sie es
e) Legen Sie die Zertifikat-ID für eine der folgenden Optionen fest:
• DNS
• IP-Adresse (IPv4-/IPv6-Adresse)
• DER ASN1 DN (X.509)
4. Identifizierungseigenschaften
a) Wählen Sie das Land, in dem die Appliance eingesetzt wird.
b) Geben Sie das Bundesland/die Provinz ein.
c) Geben Sie den Ort an, in dem das Zertifikat verwendet werden soll.
d) Geben Sie den Namen des Zertifikateigentümers an (Beispiel: Sophos Group).
Copyright © 2018 Sophos Limited 531
XG Firewall
e) Geben Sie den Namen der Abteilung an, der das Zertifikat zugeordnet werden soll (Beispiel:Marketing).
f) Geben Sie den allgemeinen Namen oder vollständigen Domänenname (FQDN) ein (Beispiel:marketing.sophos.com).
g) Geben Sie die E-Mail-Adresse der Kontaktperson an.
5.
Zertifikatsignierungsanforderung (CSR) erzeugen
Die Appliance ermöglicht es Ihnen, Zertifikatsignierungsanforderungen zu erzeugen, die an eine CAgesendet werden können.
1. Gehen Sie zu Zertifikate und klicken Sie auf Hinzufügen.
2. Legen Sie als Maßnahme Zertifikatsignierungsanforderung (CSR) erzeugen fest.
3. Zertifikatdetails
a) Geben Sie den Zertifikatnamen ein.
b) Legen Sie die Gültigkeitsdauer des Zertifikats fest.
Standard: 1 Tag
c) Wählen Sie die Anzahl der Bits, aus denen der Schlüssel besteht.
HinweisLängere Schlüssel bieten mehr Sicherheit, aber benötigen länger um Daten zu ver- oderentschlüsseln.
Standard: 2048
d) Auswählen, um den Schlüssel zu verschlüsseln. Geben Sie das Kennwort oder den verteiltenSchlüssel an und bestätigen Sie es
e) Legen Sie die Zertifikat-ID für eine der folgenden Optionen fest:
• DNS
• IP-Adresse (IPv4-/IPv6-Adresse)
• DER ASN1 DN (X.509)
4. Identifizierungseigenschaften
a) Wählen Sie das Land, in dem die Appliance eingesetzt wird.
b) Geben Sie das Bundesland/die Provinz ein.
c) Geben Sie den Ort an, in dem das Zertifikat verwendet werden soll.
d) Geben Sie den Namen des Zertifikateigentümers an (Beispiel: Sophos Group).
e) Geben Sie den Namen der Abteilung an, der das Zertifikat zugeordnet werden soll (Beispiel:Marketing).
f) Geben Sie den allgemeinen Namen oder vollständigen Domänenname (FQDN) ein (Beispiel:marketing.sophos.com).
g) Geben Sie die E-Mail-Adresse der Kontaktperson an.
5. Klicken Sie auf Speichern.
532 Copyright © 2018 Sophos Limited
XG Firewall
Nachdem das Zertifikat erstellt wurde, müssen Sie es herunterladen und an die entfernteGegenstelle übermitteln, zu der die Verbindung aufgebaut werden soll.
25.1.2 Zertifikat herunterladen
Die Appliance ermöglicht es Ihnen, selbstsignierte Zertifikate und Zertifikatsignierungsanforderungenherunterzuladen.
1. Gehen Sie zu Zertifikate > Zertifikate.
2. Gehen Sie zur Spalte Verwalten und klicken Sie beim Zertifikat auf
.Das Zertifikat wird als .tar.gz-Datei heruntergeladen.
25.1.3 Zertifikat zurückziehen
1. Gehen Sie zu Zertifikate > Zertifikate.
2. Gehen Sie zur Spalte Verwalten und klicken Sie beim Zertifikat auf
.Sie können verloren gegangene, gestohlene oder aktualisierte selbstsignierte Zertifikatezurückziehen.
Zurückgezogene Zertifikate werden automatisch zur Zertifikatsperrliste (CRL) hinzugefügt.
25.2 Zertifizierungsstelle (CA)CAs sind vertrauenswürdige Stellen, die digitale Zertifikate ausgeben, welche Benutzer, Hosts oderOrganisationen als Eigentümer ausweisen. Die Eigentümerschaft wird durch einen öffentlichenSchlüssel, Informationen über den Eigentümer und einen privaten Schlüssel nachgewiesen.
Die Appliance ermöglicht es Ihnen, ein lokales CA zu erzeugen oder externe CAs zu importieren. Alsexterne CAs stehen Verisign, Entrust und Microsoft zur Auswahl.
Die Standardzertifizierungsstelle wird automatisch neu erzeugt, wenn sie aktualisiert wird.
25.2.1 Zertifizierungsstelle hinzufügen
1. Gehen Sie zu Zertifikate > Zertifizierungsstellen (CA) und klicken Sie auf Hinzufügen.
2. Geben Sie den Namen der CA ein.
3. Wählen Sie das Format des Stammzertifikats aus. Das Zertifikat und der private Schlüssel werdenin unterschiedlichen Dateien gespeichert.
4. Laden Sie das Zertifikat und den privaten Schlüssel hoch.
5. Geben Sie das CA-Kennwort ein und nochmals zur Bestätigung.
6. Klicken Sie auf Speichern.
Copyright © 2018 Sophos Limited 533
XG Firewall
25.2.2 CAs herunterladen
Sie können lokale CAs herunterladen, um diese an die entfernte Gegenstelle für denVerifizierungsprozess weiterzuleiten.
1. Gehen Sie zu Zertifikate > Zertifizierungsstellen (CA).
2. Klicken Sie auf
,um die zip-Datei herunterzuladen.
25.2.3 Standard-CA aktualisieren
Auf der Seite Standard-CA-Parameter bearbeiten können Sie die Daten für die Zertifizierungsstellebearbeiten.
1. Gehen Sie zu Zertifikate > Zertifizierungsstellen (CA).
2. Gehen Sie zur Spalte Verwalten und klicken Sie beim Standardzertifikat auf
.
3. Der Name der CA kann für die Standard-CA nicht geändert werden.
4. Wählen Sie das Land, in dem die Appliance eingesetzt wird.
5. Geben Sie das Bundesland/die Provinz ein.
6. Geben Sie den Ort an, in dem das Zertifikat verwendet werden soll.
7. Geben Sie den Namen des Zertifikateigentümers an (Beispiel: Sophos Group).
8. Geben Sie den Namen der Abteilung an, der das Zertifikat zugeordnet werden soll (Beispiel:Marketing).
9. Geben Sie den allgemeinen Namen oder vollständigen Domänenname (FQDN) ein (Beispiel:marketing.sophos.com).
10. Geben Sie die E-Mail-Adresse der Kontaktperson an.
11. Geben Sie das CA-Kennwort ein und nochmals zur Bestätigung.
12. Klicken Sie auf Speichern.
25.2.4 Zertifizierungsstelle (CA) neu erzeugen
1. Gehen Sie zu Zertifikate > Zertifizierungsstellen (CA).
2. Um das Standardzertifikat wiederherzustellen, gehen Sie zur Spalte Verwalten und klicken Sie auf
.
HinweisWenn Sie die Standard-CA aktualisieren, wird sie automatisch neu erzeugt.
534 Copyright © 2018 Sophos Limited
XG Firewall
25.3 ZertifikatsperrlistenZertifikate können zurückgezogen werden, wenn der Schlüssel oder die CA kompromittiert wurde oderdas Zertifikat nicht länger für den eigentlichen Zweck gilt. CAs führen eine Liste zurückgezogenerZertifikate.
Sie können eine Zertifikatsperrliste (CRL) einer externen CA hochladen. Selbstsignierte Zertifikate,die zurückgezogen wurden, werden automatisch der Zertifikatsperrliste (CRL) hinzugefügt.
25.3.1 CRL hinzufügen
Mit CRL hinzufügen können Sie die Zertifikatsperrliste einer externen CA hochladen.
1. Gehen Sie zu Zertifikate > Zertifikatsperrlisten und klicken Sie auf Hinzufügen.
2. Geben Sie den CRL Namen ein und laden Sie die CRL-Datei hoch.
3. Klicken Sie auf Speichern.
25.3.2 CRL herunterladen
Wenn Sie eine CA hinzufügen, wird eine Standard-CRL-Datei namens default.tar.gz erzeugt.
1. Gehen Sie zu Zertifikate > Zertifikatsperrlisten.
2. Klicken Sie bei der CRL auf Download, um die zip-Datei herunterzuladen.
Copyright © 2018 Sophos Limited 535
XG Firewall
Anhang A
A ProtokolleDie Firewall bietet umfassende Protokollfunktionen für Datenverkehr, Systemaktivitäten-und Netzwerkschutz. Protokolle beinhalten Analysen der Netzwerkaktivität, mit denen SieSicherheitsprobleme identifizieren und die gefährdende Nutzung Ihres Netzwerk verringern können.Sie können Protokolle an einen Syslog-Server senden oder sie mithilfe der Protokollansicht einsehen.
Beispielprotokolle
6/12/2015 1:46 PM,Info,10.20.22.173,timezone=""IST"" device_name=""SG135"" device_id=SFDemo1234567890 log_id=062009617501 log_type=""Event"" log_component=""GUI"" log_subtype=""Admin"" status=""Successful"" priority=Information user_name=""admin"" src_ip=10.20.20.15 SSL_VPN_POLICY_NAME='RA' message=""SSL VPN Policy 'RA' was added by 'admin' from '10.20.20.15' using 'GUI'""
6/9/2015 1:29 PM,Info,10.20.22.172,timezone=""IST"" device_name=""SG135"" device_id=SFDemo1234567890 log_id=010302602002 log_type=""Security Policy"" log_component=""Appliance Access"" log_subtype=""Denied"" status=""Deny"" priority=Information duration=0 fw_rule_id=0 policy_type=0 user_name="""" user_gp="""" iap=0 ips_policy_id=0 appfilter_policy_id=0 application="""" application_risk=0 application_technology="""" application_category="""" in_interface=""eth0"" out_interface="""" src_mac=00:90:fb:37:6e:0e src_ip=10.20.21.89 src_country_code= dst_ip=10.20.23.255 dst_country_code= protocol=""UDP"" src_port=137 dst_port=137 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srczonetype="""" srczone="""" dstzonetype="""" dstzone="""" dir_disp="""" connid="""" vconnid="""" hb_health=""No Heartbeat""
Zugehörige KonzepteDatenanonymisierung (Seite 487)Mit Datenanonymisierung können Sie Identitäten in Protokollen und Berichten verschlüsseln.Identitäten umfassen Benutzernamen, IP-Adressen, MAC-Adressen und E-Mail-Adressen. Wenn SieDatenanonymisierung aktivieren, geben Sie einen oder mehrere Administratoren an, welche autorisiertsind, die Daten zu entanonymisieren. Sie können die Anonymisierung mithilfe von Ausnahmenumgehen.
A.1 Protokoll-IDProtokolle werden über eine Protokoll-ID identifiziert.
Die Protokoll-ID ist ein 12-Zeichen-Code mit dem folgenden Format:
c1c2c3c4c5c6c7c8c9c10c11c12
536 Copyright © 2018 Sophos Limited
XG Firewall
Hierbei gilt:
c1c2: ID des Protokolltyps
c3c4: ID der Protokollkomponente
c5c6: ID des Protokoll-Untertyps
c7: Priorität
c8c9c10c11c12: Nachrichten-ID
Zum Beispiel, wenn das die Protokoll-ID ist:
010101600001
c1c2: 01 (Sicherheitsrichtlinie)
c3c4: 01 (Firewallregel)
c5c6: 01 (Zugelassen)
c7: 6 (Information)
c8c9c10c11c12: 00001 (Firewalldatenverkehr zugelassen)
Tabelle 36: Protokolltyp
ID Wert
01 Sicherheitsrichtlinie
02 IPS
03 Antivirus
04 Antispam
05 Inhaltsfilterung
06 Ereignis
07 WAF
08 ATP
09 EATP
10 Wireless Protection
11 Heartbeat
12 Systemstatus
13 Sandbox
Tabelle 37: Protokollkomponente
ID Wert
01 Firewallregel
02 Ungültiger Datenverkehr
03 Appliance-Zugriff
04 DoS-Angriffe
05 ICMP-Umleitung
06 Source-Routing
Copyright © 2018 Sophos Limited 537
XG Firewall
ID Wert
07 Anomalie
08 Signaturen
09 HTTP
10 FTP
11 SMTP
12 POP3
13 IMAP4
14 Fragmentierter Verkehr
15 Ungültiger fragmentierter Verkehr
16 HA
17 Fremder Host
18 IPMAC-Filter
19 IP-Spoofing
20 GUI
21 CLI
22 LCD
23 CCC
24 IM (Sofortnachrichten)
25 IPsec
26 L2TP
27 PPTP
28 SSL-VPN
29 Firewallauthentifizierung
30 VPN-Authentifizierung
31 SSL-VPN-Authentifizierung
32 Mein Konto-Authentifizierung
33 Appliance
34 DHCP-Server
35 Schnittstelle
36 Gateway
37 DDNS
38 WebKat
39 IPS
40 AV
41 Einwahl-Authentifizierung
42 Einwahl
43 Quarantäne
44 Anwendungsfilter
538 Copyright © 2018 Sophos Limited
XG Firewall
ID Wert
45 Zielseite
46 WLAN
47 ARP-Flood
48 HTTPS
49 Gastbenutzer
50 WAF
51 Virtueller Host
52 CTA
53 NTLM
54 Appliances deaktiviert
55 PPPoE
56 Externe Authentifizierung
57 API
58 ICAP
59 SMTPS
60 WLAN-Controller
61 POPS
62 IMAPS
63 Firewall
64 DNS
65 Web-Proxy
66 Heartbeat
67 Endpoint
68 RED
69 ATP
70 SSL-VPN-Client
71 IPsec-Client
72 Authentifizierungsclient
73 RED-Firmware
74 AP-Firmware
75 up2date
76 CPU
77 Speicher
78 Festplatte
79 Live-Benutzer
80 Fehlender Heartbeat
81 Synchronized Application Control
82 Pakete, die zu ICMP gehören
Copyright © 2018 Sophos Limited 539
XG Firewall
ID Wert
83 E-Mail-Proxy
Tabelle 38: Protokoll-Untertyp
ID Wert
01 Zugelassen
02 Abgelehnt
03 Erkennen
04 Verwerfen
05 Sauber
06 Viren
07 Spam
08 Wahrscheinlicher Spam
09 Admin
10 Authentifizierung
11 System
12 OB sauber
13 OB Spam
14 OB möglicher Spam
15 Keine Änderung
16 Geänderte Header
17 Geänderter Textkörper
18 4xx-Fehler
19 5xx-Fehler
20 Alarm
21 DLP
22 SPX
23 DOS
24 Überschreiben
25 Information
26 Nutzung
27 Mit Warnung
28 Ausstehend
Tabelle 39: Priorität
ID Wert
0 Notfall
1 Alarm
2 Kritisch
540 Copyright © 2018 Sophos Limited
XG Firewall
ID Wert
3 Fehler
4 Warnung
5 Benachrichtigung
6 Information
7 Fehlersuche
A.2 ProtokollfelderTabelle 40: Admin
Name Typ Beschreibung
additional_information Zeichenfolge Zusätzliche Informationen zumEreignis
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Angezeigte Nachricht
message_id Ganzzahl Nachrichten-ID
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs
status Zeichenfolge Gesamtzustand des Verkehrs
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
user Zeichenfolge Benutzername
Tabelle 41: Advanced Threat Protection
Name Typ Beschreibung
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
domain Zeichenfolge Domänenname des Absenders
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse desDatenverkehrs
dst_port Ganzzahl Ursprünglicher Zielport des TCP-und UDP-Verkehrs
endpoint_id Ganzzahl Endpoint-ID
event_id Ganzzahl Ereignis-ID
execution_path Zeichenfolge Pfad der ausführbaren Datei
host_login_user Zeichenfolge Protokollierter Benutzername aufdem Endpoint
Copyright © 2018 Sophos Limited 541
XG Firewall
Name Typ Beschreibung
host_process_user Zeichenfolge Laufender Prozess auf demEndpoint.
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
protocol Ganzzahl Protokollnummer desDatenverkehrs
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP-und UDP-Verkehrs
app_risk Ganzzahl Risikostufe, die der Anwendungzugewiesen ist
status Zeichenfolge Gesamtzustand des Verkehrs
threat Zeichenfolge Erkannte Bedrohung
type Zeichenfolge Art des Ereignisses
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
user Zeichenfolge Benutzername
url Zeichenfolge URL der besuchten Webseite
Tabelle 42: Anwendungsfilter
Name Typ Beschreibung
app_category Zeichenfolge Name der Kategorie, zu der dieAnwendung gehört
app_name Zeichenfolge Anwendungsname
app_risk Ganzzahl Risikostufe, die der Anwendungzugewiesen ist
app_technology Zeichenfolge Technologie der Anwendung
appfilter_policy_id Ganzzahl ID der Anwendungsfilter-Richtlinie,die auf den Datenverkehrangewendet wird
appresolvedby Zeichenfolge Die Anwendung wird über dieSignatur oder die synchronisierteAnwendung aufgelöst
bytes_received Ganzzahl Gesamtanzahl der empfangenenBytes
bytes_sent Ganzzahl Gesamtanzahl der gesendetenBytes
category Zeichenfolge Name der Kategorie, der dieWebseite zugeordnet ist
542 Copyright © 2018 Sophos Limited
XG Firewall
Name Typ Beschreibung
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
dst_country Ganzzahl Ländercode für Ziel-IP-Adressen
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse desDatenverkehrs
dst_port Ganzzahl Ursprünglicher Zielport des TCP-und UDP-Verkehrs
fw_rule_id Ganzzahl Firewallregel-ID die auf denDatenverkehr angewendet wird
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Angezeigte Nachricht
message_id Ganzzahl Nachrichten-ID
protocol Ganzzahl Protokollnummer desDatenverkehrs
src_country Zeichenfolge Ländercode für Quell-IP-Adressen
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP-und UDP-Verkehrs
status Zeichenfolge Gesamtzustand des Verkehrs
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
user_group Zeichenfolge Gruppe, zu welcher der Benutzergehört
user Zeichenfolge Benutzername
Tabelle 43: Authentifizierung
Name Typ Beschreibung
additional_information Zeichenfolge Zusätzliche Informationen zumEreignis
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Angezeigte Nachricht
message_id Ganzzahl Nachrichten-ID
Copyright © 2018 Sophos Limited 543
XG Firewall
Tabelle 44: E-Mail
Name Typ Beschreibung
action Zeichenfolge Maßnahme, die für die Nachrichtdurchgeführt wird
bytes_received Ganzzahl Gesamtanzahl der empfangenenBytes
bytes_sent Ganzzahl Gesamtanzahl der gesendetenBytes
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
domain Zeichenfolge Domänenname des Absenders
dst_country Ganzzahl Ländercode für Ziel-IP-Adressen
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse desDatenverkehrs
dst_port Ganzzahl Ursprünglicher Zielport des TCP-und UDP-Verkehrs
email_size Ganzzahl E-Mail-Größe in Bytes
fw_rule_id Ganzzahl Firewallregel-ID die auf denDatenverkehr angewendet wird
host Zeichenfolge Host, von dem der Datenverkehrstammt
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
policy_name Zeichenfolge Name der mit dem Ereignisverknüpften Richtlinie
protocol Ganzzahl Protokollnummer desDatenverkehrs
quarantine_reason Zeichenfolge Grund, warum der Eintrag alsSpam/bösartig erkannt wurde
recipient Zeichenfolge Empfänger-E-Mail-Adresse
sender Zeichenfolge E-Mail-Adresse des Absenders
src_country Zeichenfolge Ländercode für Quell-IP-Adressen
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP-und UDP-Verkehrs
status Zeichenfolge Gesamtzustand des Verkehrs
subject Zeichenfolge E-Mail-Betreff
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
user Zeichenfolge Benutzername
544 Copyright © 2018 Sophos Limited
XG Firewall
Tabelle 45: Firewall
Name Typ Beschreibung
app_category Zeichenfolge Name der Kategorie, zu der dieAnwendung gehört
app_name Zeichenfolge Anwendungsname
app_risk Ganzzahl Risikostufe, die der Anwendungzugewiesen ist
app_technology Zeichenfolge Technologie der Anwendung
appfilter_policy_id Ganzzahl ID der Anwendungsfilter-Richtlinie,die auf den Datenverkehrangewendet wird
appresolvedby Zeichenfolge Die Anwendung wird über dieSignatur oder die synchronisierteAnwendung aufgelöst
bytes_received Ganzzahl Gesamtanzahl der empfangenenBytes
bytes_sent Ganzzahl Gesamtanzahl der gesendetenBytes
con_direction Zeichenfolge Paketrichtung
con_duration Zeichenfolge Lebensdauer des Datenverkehrs(Sekunden)
con_id Ganzzahl Eindeutige Kennung der Verbindung
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
dst_country Ganzzahl Ländercode für Ziel-IP-Adressen
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse desDatenverkehrs
dst_port Ganzzahl Ursprünglicher Zielport des TCP-und UDP-Verkehrs
dst_trans_ip Zeichenfolge Übersetzte Ziel-IP-Adresse fürausgehenden Datenverkehr (nur imRouting-Modus anwendbar)
dst_trans_port Ganzzahl Übersetzter Zielport fürausgehenden Datenverkehr (nur imRouting-Modus anwendbar)
dst_zone Zeichenfolge Name der Zielzone
dst_zone_type Zeichenfolge Art der Zielzone
fw_rule_id Ganzzahl Firewallregel-ID die auf denDatenverkehr angewendet wird
hb_status Zeichenfolge Heartbeat-Status
in_interface Zeichenfolge Schnittstelle für eingehendenDatenverkehr
ips_policy_id Ganzzahl ID der auf den Datenverkehrangewendeten IPS-Richtlinie
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
Copyright © 2018 Sophos Limited 545
XG Firewall
Name Typ Beschreibung
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Angezeigte Nachricht
message_id Ganzzahl Nachrichten-ID
out_interface Zeichenfolge Schnittstelle für ausgehendenDatenverkehr
packets_received Ganzzahl Gesamtanzahl der empfangenenPakete
packets_sent Ganzzahl Gesamtanzahl der gesendetenPakete
policy_type Zeichenfolge Richtlinientyp, der auf denDatenverkehr angewendet wurde
protocol Ganzzahl Protokollnummer desDatenverkehrs
src_country Zeichenfolge Ländercode für Quell-IP-Adressen
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs
src_mac Ganzzahl Ursprüngliche Quell-MAC-Adressedes Datenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP-und UDP-Verkehrs
src_trans_ip Zeichenfolge Übersetzte Quell-IP-Adresse fürausgehenden Datenverkehr (nur imRouting-Modus anwendbar)
src_trans_port Ganzzahl Übersetzter Quellport fürausgehenden Datenverkehr
src_zone Zeichenfolge Name der Quellzone
src_zone_type Zeichenfolge Art der Quellzone
status Zeichenfolge Gesamtzustand des Verkehrs
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
user_group Zeichenfolge Gruppe, zu welcher der Benutzergehört
user Zeichenfolge Benutzername
virt_con_id Ganzzahl Verbindungs-ID der Master-Verbindung
web_policy_id Zeichenfolge Internetrichtlinien-ID
Tabelle 46: IPS
Name Typ Beschreibung
category Zeichenfolge Kategorie der IPS-Signatur
classification Zeichenfolge Signaturklassifizierung
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
546 Copyright © 2018 Sophos Limited
XG Firewall
Name Typ Beschreibung
dst_country Ganzzahl Ländercode für Ziel-IP-Adressen
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse desDatenverkehrs
fw_rule_id Ganzzahl Firewallregel-ID die auf denDatenverkehr angewendet wird
icmp_code Ganzzahl ICMP-Code des ICMP-Verkehrs
icmp_type Ganzzahl ICMP-Typ des ICMP-Verkehrs
ips_policy Ganzzahl Name der IPS-Richtlinie, die aufden Datenverkehr angewendet wird
ips_policy_id Ganzzahl ID der auf den Datenverkehrangewendeten IPS-Richtlinie
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Signaturnachricht
message_id Ganzzahl Nachrichten-ID
OS Zeichenfolge Betriebssystem zu dem der Verkehrgehört
protocol Ganzzahl Protokollnummer desDatenverkehrs
rule_priority Zeichenfolge Priorität der IPS-Richtlinie
sig_id Zeichenfolge Signatur-ID
src_country Zeichenfolge Ländercode für Quell-IP-Adressen
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
user Zeichenfolge Benutzername
victim Zeichenfolge Ziel des Verkehrs
Tabelle 47: Schadprogramme
Name Typ Beschreibung
bytes_sent Ganzzahl Gesamtanzahl der gesendetenBytes
bytes_received Ganzzahl Gesamtanzahl der empfangenenBytes
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
domain Zeichenfolge Domänenname des Absenders
dst_country Ganzzahl Ländercode für Ziel-IP-Adressen
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse desDatenverkehrs
Copyright © 2018 Sophos Limited 547
XG Firewall
Name Typ Beschreibung
dst_port Ganzzahl Ursprünglicher Zielport des TCP-und UDP-Verkehrs
fw_rule_id Ganzzahl Firewallregel-ID die auf denDatenverkehr angewendet wird
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
policy_name Zeichenfolge Name der mit dem Ereignisverknüpften Richtlinie
protocol Ganzzahl Protokollnummer desDatenverkehrs
src_country Zeichenfolge Ländercode für Quell-IP-Adressen
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP-und UDP-Verkehrs
status Zeichenfolge Gesamtzustand des Verkehrs
status_code Ganzzahl Status-Code
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
url Zeichenfolge URL der besuchten Webseite
user Zeichenfolge Benutzername
user_agent Zeichenfolge Benutzer-Agent
virus Zeichenfolge Name des Schadprogramms, dasvon der Suchmaschine identifiziertwurde
web_policy_id Zeichenfolge Internetrichtlinien-ID
Tabelle 48: Sandstorm
Name Typ Beschreibung
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
domain Zeichenfolge Domäne, die mit dem Ereignisverbunden ist
file_name Zeichenfolge Dateiname, der mit dem Ereignisverbunden ist
file_size Ganzzahl Größe der Datei, die mit demEreignis verbunden ist
file_type Zeichenfolge Dateityp, der mit dem Ereignisverbunden ist
host Zeichenfolge Host, von dem der Datenverkehrstammt
548 Copyright © 2018 Sophos Limited
XG Firewall
Name Typ Beschreibung
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
reason Zeichenfolge Grund, warum der Eintrag alsSpam/bösartig erkannt wurde
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs
sha1sum Hexadezimal SHA1-Prüfsumme des Objekts, dasanalysiert wurde
subject Zeichenfolge Signaturnachricht
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
user Zeichenfolge Benutzername
Tabelle 49: Security Heartbeat
Name Typ Beschreibung
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
endpoint_id Ganzzahl Endpoint-ID
endpoint_ip Zeichenfolge Endpoint-IP
event_time Zeit Zeitpunkt des Ereignisses
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
name Zeichenfolge Name, der mit dem Ereignisverbunden ist
status Zeichenfolge Gesamtzustand des Verkehrs
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
Tabelle 50: System
Name Typ Beschreibung
additional_information Zeichenfolge Zusätzliche Informationen zumEreignis
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
Copyright © 2018 Sophos Limited 549
XG Firewall
Name Typ Beschreibung
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Angezeigte Nachricht
message_id Ganzzahl Nachrichten-ID
oldversion Zeichenfolge Alte Version derSystemkomponente, die mit demEreignis verbunden ist
newversion Zeichenfolge Neue Version derSystemkomponente, die mit demEreignis verbunden ist
status Zeichenfolge Gesamtzustand des Verkehrs
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
Tabelle 51: Internetinhaltsrichtlinie
Name Typ Beschreibung
action Zeichenfolge Maßnahme, die für den Inhaltdurchgeführt wurde, entsprechendder Internetrichtlinienregel
category Zeichenfolge Name der Kategorie, der dieWebseite zugeordnet ist
content_filter_key Zeichenfolge Inhaltsfilterschlüssel
context_match Zeichenfolge Zeichenfolge (Kontext) der Datei,die die Worte betrifft, die imInhaltsfilter definiert sind
context_prefix Zeichenfolge Zeichenfolge (Kontext) der Datei,die dem gefundenen Inhaltvorausgeht
context_suffix Zeichenfolge Zeichenfolge (Kontext) der Datei,die dem gefundenen Inhalt folgt
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
direction Zeichenfolge Richtung des Inhalts, der gescanntwurde.
file_name Zeichenfolge Der Name der Datei, dieheruntergeladen oder hochgeladenwurde
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
site_category Zeichenfolge Webkategorie der Website, auf diezugegriffen wurde
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs
550 Copyright © 2018 Sophos Limited
XG Firewall
Name Typ Beschreibung
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
transaction_id Zeichenfolge Übertragungs-ID des AV-Scans.
user Zeichenfolge Benutzername
website Zeichenfolge Aufgerufene Website
Tabelle 52: Webfilter
Name Typ Beschreibung
activity_name Zeichenfolge Internetrichtlinienaktivität, dieeine Übereinstimmung ergebenund das Richtlinienergebnishervorgerufen hat. (Wenn dieDatenübertragung auf mehrereAktivitäten zutrifft, wird nur die erste,die die Richtlinienentscheidungverursacht, aufgezeichnet.)
app_name Zeichenfolge Anwendungsname
bytes_received Ganzzahl Gesamtanzahl der empfangenenBytes
bytes_sent Ganzzahl Gesamtanzahl der gesendetenBytes
category Zeichenfolge Name der Kategorie, der dieWebseite zugeordnet ist
category_type Zeichenfolge Typ der Kategorie, der die Webseitezugeordnet ist
con_duration Zeichenfolge Lebensdauer des Datenverkehrs(Sekunden)
con_id Ganzzahl Eindeutige Kennung der Verbindung
content_type Zeichenfolge Art der Inhalte
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
domain Zeichenfolge Domänenname des Absenders
download_file_name Zeichenfolge Dateiname des Downloads
download_file_type Zeichenfolge Dateityp des Downloads
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse desDatenverkehrs
dst_port Ganzzahl Ursprünglicher Zielport des TCP-und UDP-Verkehrs
exception Zeichenfolge Liste der Prüfungen, die durchWeb-Ausnahmen ausgeschlossenwurden.
fw_rule_id Ganzzahl Firewallregel-ID die auf denDatenverkehr angewendet wird
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
Copyright © 2018 Sophos Limited 551
XG Firewall
Name Typ Beschreibung
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
override_token Zeichenfolge Umgehungs-Token
protocol Ganzzahl Protokollnummer desDatenverkehrs
reason Zeichenfolge Grund, warum der Eintrag alsSpam/bösartig erkannt wurde
referer Zeichenfolge Referrer
response_code Ganzzahl Antwort-Code
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP-und UDP-Verkehrs
status Zeichenfolge Gesamtzustand des Verkehrs
status_code Ganzzahl Status-Code
transaction_id Zeichenfolge Übertragungs-ID des AV-Scans.
upload_file_name Zeichenfolge Dateiname des Uploads
upload_file_type Zeichenfolge Dateityp des Uploads
url Zeichenfolge URL der besuchten Webseite
user Zeichenfolge Benutzername
user_group Zeichenfolge Gruppe, zu welcher der Benutzergehört
web_policy Zeichenfolge Name der mit dem Ereignisverbundenen Richtlinie
web_policy_id Zeichenfolge Internetrichtlinien-ID
Tabelle 53: Webserver Protection
Name Typ Beschreibung
bytes_received Ganzzahl Gesamtanzahl der empfangenenBytes
bytes_sent Ganzzahl Gesamtanzahl der gesendetenBytes
content_type Zeichenfolge Art der Inhalte
cookie Zeichenfolge Name des Cookies
date Datum Datum, wann das Ereignis auftrat(JJJJ-MM-TT)
extra Zeichenfolge Mehr Informationen zu Antivirus
fw_rule_id Ganzzahl Firewallregel-ID die auf denDatenverkehr angewendet wird
host Zeichenfolge Host, von dem der Datenverkehrstammt
log_component Zeichenfolge Komponente, die für dieProtokollierung verantwortlich ist
552 Copyright © 2018 Sophos Limited
XG Firewall
Name Typ Beschreibung
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
method Zeichenfolge Name der HTTP-Anfragemethode.
policy_name Zeichenfolge Name der mit dem Ereignisverknüpften Richtlinie
protocol Ganzzahl Protokollnummer desDatenverkehrs
query_string Zeichenfolge Suchanfrage
reason Zeichenfolge Grund, warum der Eintrag alsSpam/bösartig erkannt wurde
referer Zeichenfolge Referrer
response_code Ganzzahl Antwort-Code
response_time Ganzzahl Zeit für die Verarbeitung derAnfrage
server Zeichenfolge Server-Name
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse desDatenverkehrs
time Zeit Zeitpunkt des Ereignisses(SS:MM:SS)
url Zeichenfolge URL der besuchten Webseite
user Zeichenfolge Benutzername
user_agent Zeichenfolge Benutzer-Agent
A.3 BenachrichtigungenTabelle 54: System
ID Nachricht
60012 Appliance wird zum Standalone-Gerät
60013 Appliance befindet sich im Fehlerzustand
60014 Appliance wird sekundäre Appliance
60015 Appliance wird primäre Appliance
60016 Appliance wird beim Start zum Standalone-Gerät
60017 Appliance wechselt beim Start in den Fehlerzustand
60018 Appliance wird beim Start zur sekundären Appliance
60019 Appliance wird beim Start zur primären Appliance
17838 HA wurde deaktiviert
60020 DHCP-Lease erneuern
60021 DHCP-Lease freigeben
60022 DHCP-Lease abgelaufen
Copyright © 2018 Sophos Limited 553
XG Firewall
ID Nachricht
17807 CPU-Nutzung liegt über dem Schwellenwert
17808 Physikalische Speichernutzung liegt über demSchwellenwert
17809 SWAP-Speichernutzung liegt über dem Schwellenwert
17810 Konfig-Festplattennutzung liegt über demSchwellenwert
17811 Signatur-Festplattennutzung liegt über demSchwellenwert
17812 Festplattennutzung der Berichte hat oberenSchwellenwert erreicht
17816 Appliance wurde erfolgreich gestartet
17904 Reserviert für OPCODE SNMP-Failure-Trap (Protokollewerden später hinzugefügt)
17905 Reserviert für Service SNMP-Trap (Protokolle werdenspäter hinzugefügt)
17923 Geplante Sicherung war erfolgreich (Information)
17924 Geplante Sicherung konnte nicht gesendet werden
17931 Lüftergeschwindigkeit ist unter die gewünschte Stufegesunken
17932 Temperatur ist über die gewünschte Stufe gestiegen
17933 Festplattennutzung der Berichte hat unterenSchwellenwert erreicht
17934 Festplattennutzung der Berichte hat unterenSchwellenwert überschritten
17941 Das Audit-Subsystem ist erfolgreich heruntergefahren
17942 Senden des Zertifikatskennworts ist fehlgeschlagen
17943 Die Verbindung zum ConnectWise-Server ist verlorengegangen
17944 Test-E-Mail konnte nicht gesendet werden: <Ursache>
17813 Schnittstelle aktiviert/Schnittstelle deaktiviert
17814 Gateway erreichbar/Gateway nicht erreichbar
18036 Info zu Gateway aktiviert/deaktiviert an SFM
17815 DDNS-Aktualisierung erfolgreich/fehlgeschlagen
17817 Web-Kategorisierungsdatenbank aktualisiert von <alterVersion> auf <neue Version>
17920 Upgrade der Web-Kategorisierungsdatenbankfehlgeschlagen
17819 Antiviren-Definitionen aktualisiert von <alter Version>auf <neue Version>
17922 Aktualisierung der Antiviren-Definitionenfehlgeschlagen
17921 Aktualisierung der IPS-Signaturen fehlgeschlagen
554 Copyright © 2018 Sophos Limited
XG Firewall
ID Nachricht
17820 Primärer Link aktiviert/deaktiviert und Link-Failover/-Failback zum Backup-/primären Link
17821 Einwahl-Client verbunden
17822 Einwahl-Client getrennt
17823 Isolierte E-Mail konnte nicht freigegeben werden, da<Ursache>
17824 SSL-VPN-Verbindung (Tunnelzugriff) aufgebaut
17825 SSL-VPN-Verbindung (Tunnelzugriff) beendet
17826 SSL-VPN-Verbindung (Internetzugriff) aufgebaut
17827 SSL-VPN-Verbindung (Internetzugriff) beendet
17828 SSL-VPN-Verbindung (Anwendungs-Zugriff) aufgebaut
17829 SSL-VPN-Verbindung (Anwendungs-Zugriff) beendet
17830 SSL-VPN-Ressource-Zugriff erlaubt
17831 SSL-VPN-Ressource-Zugriff verweigert
17936 Benutzerzertifikat <Zertifikatname> wurde für Benutzer<Benutzername> erstellt
17937 Alle Benutzerzertifikate gelöscht
17803 L2TP-Verbindung hergestellt
17804 L2TP-Verbindung beendet
17805 PPTP-Verbindung hergestellt
17806 PPTP-Verbindung beendet
17801 IPsec-Verbindung hergestellt
17802 IPsec-Verbindung beendet
17832 Aktivierung der Failover-Gruppe erfolgreich. Einebestimmte Verbindung wurde hergestellt/KeineVerbindung konnte hergestellt werden
17833 Failover erfolgreich
17834 Failover fehlgeschlagen. Verbindung wird beimnächsten Failback-Ereignis hergestellt
17835 Failback erfolgreich
17836 Failback fehlgeschlagen, Rückkehr zur momentanbestehenden Verbindung erfolgreich
17837 Failback fehlgeschlagen, Rückkehr zur momentanbestehenden Verbindung ebenfalls fehlgeschlagenVerbindung wird beim nächsten Failback-Ereignishergestellt
17839 <Verbindungsname>, Aktivierung: Verbindungerfolgreich aktiviert
17840 <Verbindungsname>, Aktivierung: Diese Verbindungkonnte nicht aktiviert werden. Ursache: <Ursache>.
17841 <Verbindungsname>, Aktivierung: Versuch, eineinaktive Verbindung zu deaktivieren/initiieren/beenden.Wahrscheinlich DB-Sync-Problem.
Copyright © 2018 Sophos Limited 555
XG Firewall
ID Nachricht
17842 <Verbindungsname>, EST-P1-MM: Antwort aufVerbindungsanfrage von <peeris> Gegenstelle<peerrequesterip> erfolgreich
17843 <Verbindungsname>, EST-P1-MM: Antwort aufVerbindungsanfrage von <peerrequesterip>fehlgeschlagen, da <Ursache>
17844 <Verbindungsname>, EST-P1-AM: Antwort aufVerbindungsanfrage von <peerrequesterip>, Status #<Status>
17845 <Verbindungsname>, EST-P1-AM: Antwort aufVerbindungsanfrage von <peerrequesterip>fehlgeschlagen, da <Ursache>
17846 <Verbindungsname>, EST-P1-MM: Verbindung wirdauf Anfrage initiiert
17847 <Verbindungsname>, EST-P1-AM: Verbindung mitStatus <Status> wird auf Anfrage initiiert
17848 <Verbindungsname>, EST-P1-MM: Die Gegenstellen-ID lautet <peerid>
17849 <Verbindungsname>, EST-P1-AM: Die Gegenstellen-ID lautet <peerid>
17850 <Verbindungsname>, EST-P1: Keine Übereinstimmungmit Phase-1 ID. Die konfigurierte Gegenstellen-ID ist<remoteid> und die empfangene Gegenstellen-IDist <peerid>. Das System ist der Initiator. Stellen Siesicher, dass die ID-Konfiguration an beiden Endensynchronisiert wird.
17851 <Verbindungsname>, EST-P1: Keine Übereinstimmungmit Phase-1 ID. Keine geeignete Verbindung fürGegenstellen-ID <peerid>. Das System ist derAntwortsender. Stellen Sie sicher, dass die ID-Konfiguration an beiden Enden synchronisiert wird.
17852 <Verbindungsname2>, EST-P1: Umschaltungder Verbindung von <Verbindungsname> auf<Verbindungsname2>, weil eine Konfiguration von<Verbindungsname2> der Anfrage besser entspricht.
17853 <Verbindungsname>, EST-P1: Gegenstelle hatkeinen der gesendeten Vorschläge akzeptiert.Neukonfigurierung der Verbindung an einem derEnden.
17854 <Verbindungsname>, EST-P1: System hat keines derempfangenen Proposals akzeptiert. Die Verbindungmuss an einem der Enden neu konfiguriert werden.
17855 <Verbindungsname>, EST-P1: Ein Fehler (meistin Verbindung mit dem Netzwerk) ist während desVersendens eines Pakets zur Erweiterung der IKE-Zustandsmaschine von Zustand <Status> aufgetreten.
17856 <Verbindungsname>, EST-P1: Die maximaleAnzahl an erneuten Übertragungen <count> hatSTATE_MAIN_I1 erreicht. Keine Antwort (oder keineakzeptable Antwort) auf die erste IKE-Nachricht.
556 Copyright © 2018 Sophos Limited
XG Firewall
ID Nachricht
17857 <Verbindungsname>, EST-P1: Die maximaleAnzahl an erneuten Übertragungen <count>hat STATE_MAIN_I3 erreicht. MöglicherAuthentifizierungsfehler oder NAT dazwischen: keineakzeptable Antwort auf die erste verschlüsselteNachricht.
17858 <Verbindungsname>, EST-P1: Fehlerhaftes Payloadim Paket. Wahrscheinlicher Authentifizierungsfehler(fehlende Übereinstimmung mit zuvor vereinbartemSchlüssel). Überprüfen Sie, ob die zuvor vereinbartenSchlüssel an beiden Enden dieselben sind.
17859 <Verbindungsname>, EST-P1: Unerwartete Nachrichterhalten im Zustand <Status>. Der von der Gegenstelleerhaltene Payload führt nicht dazu, dass das System inden nächsten erwarteten IKE-Zustand versetzt wird
17860 <Verbindungsname>, EST-P1: Die Nachricht zumInformationsaustausch ist ungültig, da sie eine bereitsverwendete ID <Nachrichten-ID> nutzt
17861 <Verbindungsname>, EST-P1-MM: Von Gegenstelleinitiierte Phase-1 SA aufgebaut
17865 <Verbindungsname>, EST-P2: Phase-2 (geschütztvon Phase-1 SA mit <Status>) wird auf Anfrage mitRichtlinie <policybits> initiiert
17866 <Verbindungsname>, EST-P2: Schlüsselerneuerungwird für Phase-2 SA mit Phase-1 SA <Status> initiiert
17867 <Verbindungsname>, EST-P2: Antwort auf einePhase-2-Verbindungsanfrage mit der ID <Nachrichten-ID>
17868 <Verbindungsname>, EST-P2: Die maximaleAnzahl an erneuten Übertragungen <count> hatSTATE_QUICK_I1 erreicht. Keine akzeptable Antwortauf unsere erste Schnellmodus-Nachricht: eventuellmag Gegenstelle keinen der Vorschläge.
17869 <Verbindungsname>, EST-P2: System erfordertPerfect Forward Secrecy (PFS), Gegenstelle schlugjedoch vor, kein PFS zu verwenden
17870 <Verbindungsname>, EST-P2: Die Konfigurationdes lokalen und entfernten Subnetzes der initiiertenVerbindung steht im Konflikt mit der bereits erstelltenVerbindung <establishedconnectionname>. Verbindung<Name bestehender Verbindung> vor Initiierungbeenden.
17871 <Verbindungsname>, EST-P2: System hat einePhase-2-Verbindungsanfrage erhalten, derenKonfiguration des lokalen und entfernten Subnetzesim Konflikt mit der bereits bestehenden Verbindung<Name bestehender Verbindung> steht. Systembeendet die Verbindung <Name bestehenderVerbindung> zur Anerkennung der eingehendenAnfrage.
17872 <Verbindungsname>, EST-P2: Eine vom Systeminitiierte Phase-2 SA wurde aufgebaut.
Copyright © 2018 Sophos Limited 557
XG Firewall
ID Nachricht
17873 <Verbindungsname>, EST-P2: Eine von derGegenstelle initiierte Phase-2 SA wurde aufgebaut.
17874 <Verbindungsname>, NAT-T: Kein NAT-Gerätzwischen lokalem Server und entfernten Server erkannt
17875 <Verbindungsname>, NAT-T: Der lokale Serverbefindet sich hinter einem NAT-Gerät
17876 <Verbindungsname>, NAT-T: Der entfernte Serverbefindet sich hinter einem NAT-Gerät
17877 <Verbindungsname>, NAT-T: Sowohl der lokale alsauch der entfernte Server befinden sich hinter NAT-Geräten
17878 <Verbindungsname>, SA-MGT: Gegenstelle fordertLöschen von Phase-1 SA an. ISAKMP-Status <Status>wird gelöscht
17879 <Verbindungsname>, SA-MGT: Gegenstelle fordertLöschen von Phase-2 SA an. IPsec-Status <Status>wird gelöscht.
17880 <Verbindungsname>, SA-MGT: Gegenstelle fordertLöschen von Phase-2 SA an. Bestehende SA wirdgelöscht und eine neue erneut initiiert. IPsec-Status#<Status> wird ersetzt.
17881 <Verbindungsname>, SA-MGT:Fernzugriffsverbindungsinstanz mit Gegenstelle<IP entfernter Schnittstelle> wird gelöscht,isakmp=#<isakmp>, ipsec=#<ipsec>
17882 <Verbindungsname>, SA-MGT: Verbindung wirdgelöscht
17883 <Verbindungsname>, SA-MGT: Bei Löschen derVerbindung wird auch die dazugehörige SA <Status>gelöscht
17884 <Verbindungsname>, SA-MGT: Schlüsselerneuerungfür Phase-1 (Hauptmodus) SA <Status> derVerbindung wird initiiert
17885 <Verbindungsname>, SA-MGT: Schlüsselerneuerungfür Phase-1 (aggressiver Modus) der Verbindung vonStatus <Status> auf Status <Status> wird initiiert
17886 <Verbindungsname>, SA-MGT: Schlüssel für Phase 1SA wird erneuert
17887 <Verbindungsname>, SA-MGT: Schlüssel für Phase 2SA wird erneuert
17888 <Verbindungsname>, SA-MGT: Phase 1 SA istabgelaufen
17889 <Verbindungsname>, SA-MGT: Phase 1 SA istabgelaufen. Verbindung ist so konfiguriert, dass keineSchlüsselerneuerung stattfindet.
17890 <Verbindungsname>, SA-MGT: Phase 2 SA istabgelaufen
558 Copyright © 2018 Sophos Limited
XG Firewall
ID Nachricht
17891 <Verbindungsname>, SA-MGT: Phase 2 SA istabgelaufen. Verbindung ist so konfiguriert, dass keineSchlüsselerneuerung stattfindet.
17892 <Verbindungsname>, DPD: Dead Peer Detectionaktiviert
17893 <Verbindungsname>, DPD: Gegenstelle war nichterreichbar und wurde für diese Verbindung als totmarkiert
17894 <Verbindungsname>, DPD: Die Verbindung wurde<actiononpeerdead>, da die Gegenstelle tot war
17895 <Verbindungsname>, DPD: Für die Verbindung wurdeeine erneute Schlüsselzuweisung geplant, da dieGegenstelle unerreichbar war, und die Verbindungwurde neu initiiert
17896 <Verbindungsname>, XAUTH: Benutzername-/Kennwortanfrage wird gesendet
17897 <Verbindungsname>, XAUTH: Benutzer <user>versucht sich anzumelden
17898 <Verbindungsname>, XAUTH: Benutzer <user> wurdeerfolgreich identifiziert
17899 <Verbindungsname>, XAUTH: Authentifizierung vonBenutzer <user> fehlgeschlagen, da <Ursache>
17900 <Verbindungsname>, XAUTH: MODECFG-Nachrichterhalten, als er sich im Zustand <STATE NAME>befand, und Appliance ist kein XAUTH-Client
17901 <Verbindungsname>, XAUTH: Der angeforderteBenutzername bzw. das Kennwort wurden angefordert,der als XAUTH-Client konfigurierte Verbindung kannjedoch kein neuer Schlüssel zugewiesen werden.Schlüsselerneuerung für die Verbindung abschalten.
17902 <Verbindungsname>, XAUTH: XAUTH: Auf XAUTH-Challenge mit Benutzer <user> antworten
17903 <Verbindungsname>, XAUTH: Authentifizierungerfolgreich. Appliance ist ein XAUTH-Client.
17939 Senden der Benachrichtigung für IPsec-Tunnelaufgebaut/abgebrochen fehlgeschlagen
17938 Benachrichtigung für IPsec-Tunnel aufgebaut/abgebrochen erfolgreich versendet
17906 Zielseite akzeptiert
17907 Zielseite abgewiesen
17908 Suche nach unautorisierten APs erfolgreichabgeschlossen
17909 Suche nach unautorisierten APs fehlgeschlagen
17911 Durch das System ausgelöster Suche nachunautorisierten APs wurde initiiert
17910 Senden des Heartbeat-Signals von der Appliance anCCC fehlgeschlagen (reserviert für die Verwendung mitCCC, es wird kein Protokoll erzeugt)
Copyright © 2018 Sophos Limited 559
XG Firewall
ID Nachricht
17912 Heartbeat von der Appliance an CCC versendet(reserviert für die Verwendung mit CCC, es wird keinProtokoll erzeugt)
17918 Senden des Keep-Alive-Signals von der Appliance anCCC fehlgeschlagen (reserviert für die Verwendung mitCCC, es wird kein Protokoll erzeugt)
17919 Keep-Alive-Signal von der Appliance an CCCversendet (reserviert für die Verwendung mit CCC, eswird kein Protokoll erzeugt)
17913 Das System hat das Administratorkonto für den Logingesperrt, da es zu viele falsche Anmeldeversuche gab
17914 Das System hat das Administratorkonto entsperrt
17915 Das System hat die Administratorsitzung gesperrt
17916 Unbekannter Protokoll-Datenverkehr wurde verweigert
17917 Ungültiges Zertifikat wurde blockiert
17925 Ein Gastbenutzer wurde im System hinzugefügt
17926 Die SMS mit Zugangsdaten wurde an den SMS-Gateway zur Weiterleitung an den Gastbenutzergesendet
17927 Einer oder mehrere Gastbenutzer sind abgelaufen undwurden erfolgreich automatisch bereinigt
17928 Einer oder mehrere Gastbenutzer sind abgelaufen unddie automatische Bereinigung ist fehlgeschlagen
17929 Einer oder mehrere Gastbenutzer sind abgelaufenund die automatische Bereinigung ist teilweisefehlgeschlagen
17930 Senden der SMS mit Zugangsdaten fehlgeschlagen
17935 Der zugeordnete Server <Server-IP-Adresse> isterreichbar/Der zugeordnete Server <Server-IP-Adresse> ist nicht erreichbar
17940 STA mit aktiven Kollektoren gestartet
17953 <Schnittstellenname>: Zeitüberschreitung PADO-Paket, keine Antwort vom Server
17954 <Schnittstellenname>: Sitzung wird beendet, erneuterVersuch in <Sekunden> Sek.
17955 <Schnittstellenname>: Erkennungsprozessabgeschlossen
17956 <Schnittstellenname>: LCP-Link aufgebaut
17957 <Schnittstellenname>: ISP unterstützt kein LCP
17958 <Schnittstellenname>: Authentifizierung erfolgreich
17959 <Schnittstellenname>: Authentifizierungfehlgeschlagen. Bitte überprüfen Sie denBenutzernamen und das Kennwort.
17960 <Schnittstellenname>: Schnittstellen-IP <lokale IP>einrichten
560 Copyright © 2018 Sophos Limited
XG Firewall
ID Nachricht
17961 <Schnittstellenname>: Gateway-IP <entfernte IP>einrichten
17962 <Schnittstellenname>: Primärer DNS <DNS-IP wennaktiviert> einrichten
17963 <Schnittstellenname>: Sekundärer DNS <DNS-IP>einrichten
17964 <Schnittstellenname>: PPPoE-Link aktiviert
17965 <Schnittstellenname>: PPPoE-Link deaktiviert
17966 <Schnittstellenname>: PPPoE-Verbindung aufgrundvon LCP-Zeitüberschreitung trennen
17967 <Schnittstellenname>: PPPoE-Verbindung aufgrundvon Leerlauf-Zeitabschaltung trennen
17969 <Schnittstellenname>: Bei Zeitplan-Ereignis erneutverbunden
17972 LCP: Aushandlung wird eröffnet für <Client-IP>
17973 LCP: Link aufgebaut für <Client-IP>
17974 <PAP/CHAP/MS-CHAPv2>: Authentifizierung wirdgestartet
17975 <PAP/CHAP/MS-CHAPv2>: Authentifizierungerfolgreich für Benutzer <Benutzername>
17976 <PAP/CHAP/MS-CHAPv2>: Authentifizierungfehlgeschlagen für Benutzer <Benutzername>
17977 IPCP: Zugewiesene IP: <Zugewiesene IP>, IPCP: DNSeinrichten: <Primärer/sekundärer WINS-Server>, IPCP:WINS einrichten: <Primärer/sekundärer WINS-Server>
17978 LCP: Verbindung aufgrund von LCP-Zeitüberschreitungtrennen
17979 STATS: Verbindungszeit: <Verbindungszeit>, STATS:<Anzahl Bytes> Bytes gesendet, <Anzahl Bytes> Bytesempfangen
17980 IPCP: IPCP entfernen für <Client-IP>: <Ursache>,LCP: Aushandlung wird geschlossen für <Client-IP>: <Ursache>, LCP: Aushandlung geschlossen für<Client-IP>
17981 IPCP: IPCP entfernen für <Client-IP>: <Ursache>,LCP: Aushandlung wird geschlossen für <Client-IP>: <Ursache>, LCP: Aushandlung geschlossen für<Client-IP>
17982 LCP: Aushandlung wird eröffnet für <Client-IP>
17983 LCP: Link aufgebaut für <Client-IP>
17984 <PAP/CHAP/MS-CHAP>: Authentifizierung wirdgestartet
17985 <PAP/CHAP/MS-CHAP>: Authentifizierung erfolgreichfür Benutzer <Benutzername>
17986 <PAP/CHAP/MS-CHAP>: Authentifizierungfehlgeschlagen für Benutzer <Benutzername>
Copyright © 2018 Sophos Limited 561
XG Firewall
ID Nachricht
17987 IPCP: Zugewiesene IP: <Zugewiesene IP>, IPCP: DNSeinrichten: <Primärer/sekundärer WINS-Server>, IPCP:WINS einrichten: <Primärer/sekundärer WINS-Server>
17988 LCP: Verbindung aufgrund von LCP-Zeitüberschreitungtrennen
17989 STATS: Verbindungszeit: <Verbindungszeit>, STATS:<Anzahl Bytes> Bytes gesendet, <Anzahl Bytes> Bytesempfangen
17990 IPCP: IPCP entfernen für <Client-IP>: <Ursache>,LCP: Aushandlung wird geschlossen für <Client-IP>: <Ursache>, LCP: Aushandlung geschlossen für<Client-IP>
17991 IPCP: IPCP entfernen für <Client-IP>: <Ursache>,LCP: Aushandlung wird geschlossen für <Client-IP>: <Ursache>, LCP: Aushandlung geschlossen für<Client-IP>
18000 Ereignis
17998 Neue Firmware erkannt für <type>: <version>
17999 [ <AP-ID>] unbekanntes AP-Modell erkannt: <Typ>,wird verworfen
18001 [<AP-ID>] keine Firmware verfügbar für AP-Typ'<Typ>', wird verworfen
18002 [<AP-ID>] Appliance noch nicht autorisiert, wirdverworfen
18003 [ <AP-ID> ] beschädigte Payload. XG Firewall hateventuell den falschen Schlüssel. Appliance löschen,um sie neu zu registrieren.
18004 [<AP-ID>] Firmware <firmware> an Appliance senden,die Verbindung wird freigegeben
18005 [<AP-ID>] Senden von <firmware> an Appliancefehlgeschlagen, wird verworfen
18006 [MASTER] Mitteilung senden zu offline AP <AP>
18007 Konfig wurde erfolgreich an AP [ <AP-ID> ] gesendet
18008 Senden von Konfig an AP [ <AP-ID> ] fehlgeschlagen
18014 RED ist verbunden
18015 RED ist getrennt
18016 RED-Übergangsereignis
18032 RED-Geräte: Deaktiviert: 5 Aktiviert: 15 Verbunden: 12Getrennt: 3
18017 ATP-Definitionen aktualisiert von <alter Version> auf<neue Version>
18018 Aktualisierung der ATP-Definitionen fehlgeschlagen
18019 SSL-VPN-Clients aktualisiert von der <alten Version>auf die <neue Version>
18020 Aktualisieren der SSL-VPN-Clients fehlgeschlagen
562 Copyright © 2018 Sophos Limited
XG Firewall
ID Nachricht
18021 IPsec-Clients aktualisiert von der <alte Version> auf die<neue Version>
18022 Aktualisieren der IPsec-Clients fehlgeschlagen
18023 Authentifizierungsclients aktualisiert von <alterVersion> auf <neue Version>
18024 Aktualisierung der Authentifizierungsclientsfehlgeschlagen
18025 RED-Firmware aktualisiert von <alter Version> auf<neue Version>
18026 Aktualisierung der RED-Firmware fehlgeschlagen
18027 AP-Firmware aktualisiert von <alter Version> auf <neueVersion>
18028 Aktualisierung der AP-Firmware fehlgeschlagen
18029 Überprüfung auf Aktualisierungen fehlgeschlagen
18030 Datei <MODULE> konnte nicht heruntergeladenwerden
18033 WAF-Regeln aktualisiert von <alter Version> auf <neueVersion>
18034 Aktualisierung der WAF-Regeln fehlgeschlagen
18096 ZeroTouch-Einrichtung abgeschlossen
18097 ZeroTouch-Einrichtung ist fehlgeschlagen
18098 Firewall-Einrichtung abgeschlossen
18099 Firewall-Einrichtung fehlgeschlagen
Tabelle 55: Webfilter
ID Nachricht
16001 Die Datenübertragung ist entsprechend derInternetrichtlinienregel zugelassen
16002 Die Datenübertragung wurde entsprechend derInternetrichtlinienregel abgelehnt/blockiert
16003 HTTP-Datei-Upload zugelassen
16004 Token überschreiben
16005 Die Datenübertragung ergab eine Warnungentsprechend der Internetrichtlinienregel
16006 Die Datenübertragung wurde zugelassen, nachdem derBenutzer nach einer Warnung fortfuhr
16007 HTTP-Datei-Upload mit Warnung zugelassen
16008 Datei zugelassen von Sandbox
16009 Datei abgelehnt von Sandbox
Copyright © 2018 Sophos Limited 563
XG Firewall
Tabelle 56: Anwendungsfilter
ID Nachricht
17051 Der Zugriff auf die Anwendung wurde aufgrund derAnwendungsfilter-Richtlinie verweigert.
Tabelle 57: Schadprogramme
ID Nachricht
08001 Die URL wurde blockiert, weil sie einen Virus enthielt
08002 Der Zugriff auf die URL ist zulässig, weil sie keinenVirus enthält
09001 FTP-Datentransfer wurde blockiert, weil er einen Virusenthielt
09002 FTP-Datentransfer enthielt keinen Virus und wurdeerfolgreich abgeschlossen
10001 Die E-Mail ist mit einem Virus infiziert, der von derFirewall erkannt wurde
10002 E-Mail enthält keinen Virus
11001 Die E-Mail ist mit einem Virus infiziert, der von derFirewall erkannt wurde
11002 E-Mail enthält keinen Virus
12001 Die E-Mail ist mit einem Virus infiziert, der von derFirewall erkannt wurde
12002 E-Mail enthält keinen Virus
Tabelle 58: E-Mail
ID Nachricht
13001 E-Mail, die als „Spam“ eingestuft wurde
13002 E-Mail, die als „wahrscheinlich Spam“ eingestuft wurde
13003 E-Mail, die nicht als „Spam“ oder „wahrscheinlichSpam“ eingestuft wurde
13004 IP-Adresse des Absenders steht auf der Blacklist
13005 E-Mail, die als ausgehender Spam eingestuft wurde
13006 E-Mail, die als ausgehender möglicher Spam eingestuftwurde
13007 Von IBS und OBS als sauber gekennzeichnet
13008 Nachricht bei Ausgang als sauber gekennzeichnet
13009 Datenleck in E-Mail erkannt und DLP-Regelangewendet
13010 SPX erfolgreich angewendet
13011 SPX fehlgeschlagen
13012 SMTP DOS
13013 Die E-Mail wurde von Sandstorm als sauber markiert
13014 Die E-Mail wurde von Sandstorm als bösartig markiert
564 Copyright © 2018 Sophos Limited
XG Firewall
ID Nachricht
14001 E-Mail, die als „Spam“ eingestuft wurde
14002 E-Mail, die als „wahrscheinlich Spam“ eingestuft wurde
14003 E-Mail, die nicht als „Spam“ oder „wahrscheinlichSpam“ eingestuft wurde
15001 E-Mail, die als „Spam“ eingestuft wurde
15002 E-Mail, die als „wahrscheinlich Spam“ eingestuft wurde
15003 E-Mail, die nicht als „Spam“ oder „wahrscheinlichSpam“ eingestuft wurde
Tabelle 59: Firewall
ID Nachricht
00001 Firewalldatenverkehr zugelassen
00002 Firewalldatenverkehr abgewiesen
00003 Firewalldatenverkehr von Security Heartbeat verworfen
00004 ICMP-zugehörige Pakete abgewiesen
00005 ICMP-zugehörige Pakete zugelassen
00007 Zugelassener Verkehr bei fehlendem Heartbeat im Fall,dass keine Einschränkung eingestellt ist
01001 Ungültiger Datenverkehr verworfen
01301 Fragmentierter Datenverkehr abgewiesen
01601 Ungültiger fragmentierter Datenverkehr abgewiesen
02001 Lokaler ZSL-Datenverkehr erlaubt
02002 Lokaler ZSL-Datenverkehr abgewiesen
03001 DoS-Angriff verworfen
04001 Per ICMP umgeleitetes Paket verworfen
05001 Von der Quelle geroutetes Paket verworfen
05051 Fremder Host abgewiesen
05101 IPMAC-Paar abgewiesen
05151 IP-Spoof abgewiesen
05201 SSL-VPN-Ressource-Zugriff verweigert
05301 ARP-Flood-Datenverkehr abgewiesen
05401 Datenverkehr für den virtuellen Host <Name desvirtuellen Hosts> wurde abgewiesen. Kein internerServer verfügbar, um den Datenverkehr zu verarbeiten.
010202100 Ungültiges Paket
010202101 IP-Paket mit ungültigem Header
010202102 IP-Paket mit ungültiger Header-Version
010202103 IP-Paket mit ungültigem Time-To-Live-Header
010202104 IP-Paket mit ungültigem Header-Protokoll
010202105 Abgeschnittenes/fehlerhaftes IP-Paket
Copyright © 2018 Sophos Limited 565
XG Firewall
ID Nachricht
010202106 Ungültige IP-Prüfsumme
010202107 IP-Paket mit ungültigen Adressen
010202108 Ungültiges IP-Fragment
010202109 Kurzes ICMP-Paket
010202110 Ungültige ICMP-Prüfsumme
010202111 ICMP-Pakete mit ungültigem ICMP-Typ/Code
010202112 Ungültiges Paket, kein ICMP-Eintrag gefunden
010202113 ICMP-Paketfehler
010202114 Kurzes UDP-Paket
010202115 Abgeschnittenes/fehlerhaftes UDP-Paket
010202116 Ungültige UDP-Prüfsumme
010202117 Ungültiges UDP-Ziel
010202118 Kurzes TCP-Paket
010202119 Abgeschnittenes/fehlerhaftes TCP-Paket
010202120 Ungültige TCP-Prüfsumme
010202121 TCP-Pakete mit ungültiger Flag-Kombination
010202122 Ungültiger TCP-Status
010202123 Ungültiges TCP RST
010202124 Ungültiger TCP-Quellport
010202125 Ungültiger TCP-Zielport
010202126 TCP LAND-Angriff
010202127 Ungültiges für TCP reserviertes Bit
010202128 TCP-WinNuke-Angriff
010202129 Paket konnte keiner Verbindung zugeordnet werden
010202130 FTP-Bounce-Angriff
010202131 Kurzes UDP-Lite-Paket
010202132 Ungültige UDP-Lite-Prüfsumme
010202133 UDP-Lite-Prüfsumme fehlt
010202134 Ungültiges DCCP-Paket
010202135 Ungültiger DCCP-Status
010202136 Kurzes DCCP-Paket
010202137 Abgeschnittenes/fehlerhaftes DCCP-Paket
010202138 Ungültige DCCP-Prüfsumme
010202139 Ungültiges für DCCP reserviertes Paket
010202140 Ungültiger Verbindungshelfer
010202141 Paket verworfen
566 Copyright © 2018 Sophos Limited
XG Firewall
Tabelle 60: IPS
ID Nachricht
06001 IPS-Anomalie erkannt
06002 IPS-Anomalie verworfen
07001 IPS-Signatur erkannt
07002 IPS-Signatur verworfen
Tabelle 61: Authentifizierung
ID Nachricht
17701 Benutzer erfolgreich bei Firewall angemeldet
17702 Benutzer konnte nicht bei Firewall angemeldet werden
17703 Benutzer von Firewall abgemeldet
17945 Challenge von <Auth Mech>-Server über <ClientType> empfangen
17704 Benutzer erfolgreich bei Mein Konto angemeldet
17705 Benutzer konnte nicht bei Mein Konto angemeldetwerden
17706 Benutzer von Konto abgemeldet
17947 Challenge von <Auth Mech>-Server über <ClientType> empfangen
17707 Benutzer erfolgreich am VPN angemeldet
17708 Benutzer konnte nicht am VPN angemeldet werden
17709 Benutzer von VPN abgemeldet
17710 Benutzer erfolgreich am SSL-VPN angemeldet
17711 Benutzer konnte nicht am SSL-VPN angemeldetwerden
17712 Benutzer von SSL-VPN abgemeldet
17946 Challenge von <Auth Mech>-Server über <ClientType> empfangen
17713 Benutzer per Einwahl angemeldet
17714 Benutzer konnte nicht per Einwahl angemeldet werden
17715 Benutzer von Einwahl abgemeldet
17948 NTLM aktiviert, aber AD-Server nicht konfiguriert
17949 NTLM-Authentifizierungskanal zu <server name> kannnicht aufgebaut werden
17950 NTLM-Authentifizierungskanal zu <server name>erfolgreich aufgebaut
17951 NTLM-Authentifizierungskanal zu <server name> kannnicht aufgebaut werden
17952 NTLM-Authentifizierung von Appliance-Zugriffdeaktiviert
17968 Verbindung zu ADS/LDAPS <server ip/fqdn>fehlgeschlagen – Grund: <reason>
Copyright © 2018 Sophos Limited 567
XG Firewall
Tabelle 62: Admin
ID Nachricht
17501 Vorgang hinzufügen
17502 Update
17503 Löschen
17504 Sonstige Verwaltungsmaßnahme
17505 System – Wartungsmaßnahmen
17506 Assistent
17507 Admin-Anmeldung/Abmeldung
17504 <Schnittstellenname>: PPPoE-Verbindung aufgrundvon Admin-Ereignis trennen
17970 HA-Aktivierungsereignis
17971 HA-Deaktivierungsereignis
17504 PPTP/L2TP-Dienst erfolgreich aktiviert/deaktiviert
Tabelle 63: Sandstorm
ID Nachricht
13013 Zugelassen von Sandbox
13014 Abgelehnt von Sandbox
18041 Datei zugelassen von Sandbox
18042 Datei abgelehnt von Sandbox
18043 Datei ausstehend von Sandbox
16005 Zugriff auf Websites/Dateien/Anwendungen ist gemäßder Internetzugriffsrichtlinie mit Warnung zugelassen
16006 Zugriff auf Websites/Dateien/Anwendungen ist gemäßder Internetzugriffsrichtlinie mit Warnung blockiert
16007 HTTP-Datei-Upload mit Warnung zugelassen
16008 Datei zugelassen von Sandbox
16009 Datei abgelehnt von Sandbox
18009 Warnung durch ATP
18010 Verworfen durch ATP
18012 Heartbeat-Status
18013 Endpoint-Status
Tabelle 64: Webserver Protection
ID Nachricht
17071 Eine Web-Anfrage wird von WAF zugelassen
17072 Eine Web-Anfrage wird von WAF blockiert
568 Copyright © 2018 Sophos Limited
XG Firewall
Tabelle 65: Modernster Schutz vor Bedrohungen
ID Nachricht
18009 Warnung durch ATP
18010 Verworfen durch ATP
Tabelle 66: Security Heartbeat
ID Nachricht
18012 Heartbeat-Status
18013 Endpoint-Status
Tabelle 67: Internetinhaltsrichtlinie
ID Nachricht
16010 Inhaltsfilter hat einen Treffer
A.4 ProtokollansichtVerwenden Sie die Protokollansicht, um Ereignisinformationen für Module wie System, Webschutz undSandstorm-Aktivität anzuzeigen.
• Um Ereignisse zu sehen, wählen Sie ein Modul aus.
• Um die Live-Ansicht zu pausieren, klicken Sie auf
.
• Um die Protokolle neu zu laden, klicken Sie auf
.
• Um Protokolle zu exportieren, klicken Sie auf
.
• Um Protokollinformationen zu sehen, klicken Sie auf
.
• Um Protokolle nach einem bestimmten Feld zu filtern, klicken Sie auf Filter hinzufügen. WählenSie danach ein Feld, eine Bedingung und einen Wert und klicken Sie auf Filter hinzufügen.
• Um Einträge nach Zeit zu filtern, klicken Sie auf
(Schnellfilter).
• Um einen Filter zu entfernen, klicken Sie auf Zurücksetzen.
Copyright © 2018 Sophos Limited 569
• Um Identitäten zu sehen, wenn Datenanonymisierung eingeschaltet ist, klicken Sie auf
und geben Sie die Authentifizierungsdaten ein.
• Um Paketdaten zu sehen, wenn Paketerfassung eingeschaltet ist, klicken Sie auf Open PCAP.
Zugehörige KonzepteDoS-& Täuschungsschutz (Seite 136)Um Täuschungsangriffe zu verhindern, können Sie Verkehr auf jenen beschränken, der mit erkanntenIP-Adressen, vertrauten MAC-Adressen und IP–MAC-Paaren übereinstimmt. Sie können auchVerkehrsbeschränkungen und Flags festlegen, um DoS-Angriffe zu verhindern, und Regeln erstellen,um DoS-Kontrollen zu umgehen. Die Firewall protokolliert verworfenen Verkehr.
Anhang B
B RichtlinientestMit dem Richtlinientest-Werkzeug können Sie sowohl Firewall- und Internetrichtlinien zuweisenund Fehlersuche bei diesen durchführen als auch daraus resultierende Sicherheitsentscheidungenansehen. Zum Beispiel können Sie eine Internetrichtlinie erstellen, die alle sozialen Netzwerke fürbestimmte Benutzer blockiert, und die Richtlinie testen, um zu sehen, ob die Inhalte nur für diebestimmten Benutzer blockiert werden. Die Ergebnisse geben die Informationen zur Maßnahme an,welche die Firewall vorgenommen hat, inklusive der relevanten Regeln und Inhaltsfilter.
HinweisWenn Verbindungen zum Ziel vom Richtlinienrouting betroffen sind und das Richtlinienroutingdazu führt, dass die Verbindung durch eine andere Zone geht, wird die Entscheidung desRichtlinientests diese geänderte Zone nicht wiedergeben.
HinweisDie Richtlinientest-Funktion geht davon aus, dass der gesamte Internetverkehr imTransparenzmodus interpretiert wird.
URL Zu testende URL. Zum Beispiel können Sieein soziales Netzwerk testen, das anhand desKategorien- und des Inhaltsfilters blockiert werdensoll, welcher in einer Internetrichtlinienregelfestgelegt ist.
Authentifizierter Benutzer Benutzer, der in den Test mit einbezogen werdensoll. Zum Beispiel können Sie einen Benutzerfestlegen, der einer Gruppe angehört, welche Siein einer Internetrichtlinienregel verwendet haben.
Zeit und Tag Zeit und Tag, die im Test berücksichtigtwerden sollen. Zum Beispiel können Sieeine Zeit festlegen, die in den Zeitplan einerInternetrichtlinienregel fällt.
Testmethode Firewallrichtlinie oder Internetrichtlinie, die Sietesten wollen.
Zugehörige KonzepteRichtlinien (Seite 142)Mit Internetrichtlinien können Sie Regeln erstellen, um die Aktivitäten von Endbenutzern im Internet zusteuern. Richtlinien treten in Kraft, wenn Sie sie zu Firewallregeln hinzufügen. Die Standardauswahl anRichtlinien umfasst einige der häufigen Einschränkungen. Sie können einer der Standardrichtlinien anIhre Erfordernisse anpassen oder neue Richtlinien erstellen.
XG Firewall
Anhang C
C IPS-Syntax für eigene Patterns
Stichwort Wert Nutzung
srcaddr/dstaddr <ipaddress>; Die Quell-/Ziel-IP-Adresse
srcport/dstport <Number>; Der Quell-/Ziel-Port
content „<content string>;“
Eine Zeichenfolgein doppeltenAnführungszeichen.
In einer Regel können mehrereInhalte stehen. Der Wert kann ausText und Binärdaten bestehen.Binärdaten stehen im Allgemeinenzwischen senkrechten Strichen (|).
nocase
Kann nur mit dem Stichwort„content“ verwendet werden
NULL Groß-/Kleinschreibung im content-Wert wird ignoriert
rawbytes
Kann nur mit dem Stichwort„content“ verwendet werden
NULL Dekodierung wird ignoriert. Suchtin den Raw-Paketdaten
depth
Kann nur mit dem Stichwort„content“ verwendet werden
<number>;
zum Beispiel depth:5;
Sucht nach Inhalten innerhalb derangegebenen Anzahl der Bytesder Nutzlast. Wenn der Wert desdepth-Stichworts kleiner ist alsdie Länge des Werts des content-Stichworts, wird die Signatur nichtgefunden.
offset
Kann nur mit dem Stichwort„content“ verwendet werden
<number>;
zum Beispiel content:cgi-bin/phf;offset:4;depth:20;
Sucht nach Inhalten nach derangegebenen Anzahl der Bytesder Nutzlast. Dieser Tag ist einabsoluter Wert in der Nutzlast.Dem offset-Tag kann ein depth-Tag folgen, um so die Suche nacheinem Match zu beenden, sobaldder im depth-Tag aufgeführte Werterreicht wurde. Ist kein Wert für„depth“ angegeben, wird bis zumEnde der Nutzlast weiter nacheinem Match gesucht.
distance
Kann nur mit dem Stichwort„content“ verwendet werden
<number>;
zum Beispielcontent:„ABC“;content:„DEF“;distance:1;
Sucht nach dem Inhalt derangegebenen Anzahl der Bytesrelativ zum Ende der vorherigengefundenen Inhalte. Nach demdistance-Tag kann ein within-Tagfolgen. Wenn kein Wert für denwithin-Tag angegeben ist, wirdbis zum Ende der Nutzlast nacheinem Match gesucht.
572 Copyright © 2018 Sophos Limited
XG Firewall
Stichwort Wert Nutzung
within
Kann nur mit dem Stichwort„content“ verwendet werden
<number>;
Zum Beispiel content: „ABC“;content: „DEF“; within:10;
Sucht nach Inhalten innerhalb derangegebenen Anzahl der Bytesder Nutzlast. Gemeinsam mit demdistance-Tag verwenden.
uricontent uricontent:<content string>;
zum Beispiel,uricontent:„%3F“;
Es wird nach dem normalisiertenRequest-URI-Feld gesucht.Binärdaten können als URI-Wertdefiniert werden.
isdataat <value> [,relative];
zum Beispiel content:„PASS“; isdataat: 50, relative;
Prüft, ob die Nutzlast an einerbestimmten Stelle über Datenverfügt. Optional wird nach Datenab dem Ende des vorherigenInhalt-Match gesucht.
Copyright © 2018 Sophos Limited 573
XG Firewall
Stichwort Wert Nutzung
pcre pcre:[!]„(/<regex>/|m/<regex>/)[ismxAEGRUB]“;
zum Beispiel pcre:„/BLAH/i“;
Das pcre Stichwort lässtes zu, dass Regeln mitperl-kompatiblen regulärenAusdrücken geschrieben werden.
i – schreibungsunabhängig
s – Newlines im dotMetazeichen einschließen
m – Standardmäßig wird dieZeichenkette als eine großeZeile mit Zeichen behandelt;^ und $ entsprechen demBeginn und Ende derZeichenkette. Wenn mgesetzt ist, entsprechen ^und $ sofort nach oder vorjeder Newline im Buffer,ebenso wie am Anfang undam Ende des Buffers.
x – Leerzeichen-Datenzeichen im Patternwerden ignoriert, außer wennes ein Maskierungszeichenist oder innerhalb einerZeichenklasse.
A – Das Pattern muss nurdem Beginn des Buffersentsprechen (das gleiche wie^)
E – $ kennzeichnet das Endeder Zeichenkette. Ohne Eentspricht $ auch direkt vordem letzten Zeichen, wennes eine Newline ist (abernicht vor anderen Newlines)
G – Kehrt die „Gier“ derGewichtungen um, sodasssie nicht standardmäßiggierig sind, sondern erstwenn ein „?“ folgt.
R – Sucht nachÜbereinstimmungenam Ende des letztenübereinstimmenden Patterns(ähnlich wie distance:0;) U –Sucht nach dekodierten URI-Puffern (ähnlich wie uri)
B – Dekodierte Pufferwerden nicht verwendet(ähnlich wie raw keyword).
574 Copyright © 2018 Sophos Limited
XG Firewall
Stichwort Wert Nutzung
byte_test <bytes to convert>, [!]<operator>,<value>, <offset> [,relative][,<endian>] [,<number type>,string]; oct,dec,hex nur mitZeichenfolge verwendet
zum Beispiel msg: „AMDprocedure 7 plog overflow“;content:„|00 04 93 F3|“;content:„|00 00 00 07|“;distance: 4.within:4;byte_test:4,>,1000,20,relative;
Prüft ein Byte-Feld auf einenbestimmten Wert (mit Operator).Fähig, binäre Werte zu testenund repräsentative Byte-Stringsin ihr binäres Gegenüber zukonvertieren und zu testen.bytes_to_convert – Die Anzahlan Bytes, die aus dem Paketaufgenommen werden – Mit dieserOperation wird der Wert (<,>,=,!,&)geprüft
value – Der Wert, mitwelchem der konvertierteWert verglichen wird
offset – Die Anzahl derBytes, nach welcher dieNutzlast die Verarbeitungstartet
relative – Verwendung einesoffset ab dem letzten Pattern-Match
big – Verarbeitung der Datenals Big
Endian (Standard) little –Verarbeitung der Daten alsLittle Endian
string – Die Daten im Paketwerden im String-Formatgespeichert
hex – Die konvertiertenString-Daten werdenhexadezimal dargestellt
dec – Die konvertiertenString-Daten werden dezimaldargestellt
oct – Die konvertiertenString-Daten werden oktaldargestellt
Copyright © 2018 Sophos Limited 575
XG Firewall
Stichwort Wert Nutzung
byte_jump <bytes_to_convert>, <offset>[,relative] [,multiplier <multipliervalue>] [,big] [,little][,string][,hex] [,dec] [,oct] [,align][,from_beginning]; oct,dec,hexwird nur mit String verwendet
zum Beispiel, content:„|00 0000 01|“; distance: 4; within: 4;byte_jump: 4,12,relative,align
bytes_to_convert – Die Anzahlan Bytes, die aus dem Paketaufgenommen werden multipliervalue – Multipliziert die Anzahl dererrechneten Bytes mit dem Wertund springt die Anzahl an Bytesvor
operator – Mit dieserOperation wird der Wert(<,>,=,!,&) geprüft
value – Der Wert, mitwelchem der konvertierteWert verglichen wird
offset – Die Anzahl derBytes, nach welcher dieNutzlast die Verarbeitungstartet
relative – Verwendung einesoffset ab dem letzten Pattern-Match
big – Verarbeitung der Datenals Big
Endian (Standard) little –Verarbeitung der Daten alsLittle Endian
string – Die Daten im Paketwerden im String-Formatgespeichert
hex – Die konvertiertenString-Daten werdenhexadezimal dargestellt
dec – Die konvertiertenString-Daten werden dezimaldargestellt
oct – Die konvertiertenString-Daten werden oktaldargestellt
align – Die konvertiertenBytes werden auf dasnächste 32-Bit Formataufgerundet
from_beginning – Vorwärtsüberspringen vom Anfangder Paket-Payload, anstattvon der aktuellen Position imPaket
576 Copyright © 2018 Sophos Limited
XG Firewall
Stichwort Wert Nutzung
ttl <number>;><number>;<<number>; Vergleicht den Wert von IP Time-to-Live mit dem angegebenenWert
tos <number>; Vergleicht das Feld IP TOS mitdem angegebenen Wert
id <number>; Vergleicht das Feld IP ID mit demangegebenen Wert
ipopts {rr | eol | nop | ts | sec | lsrr |ssrr |satid | any}
rr – Prüft, ob die Option IPRR (record route) vorhandenist
eol – Prüft, ob die Option IPEOL (end of list) vorhandenist
nop – Prüft, ob die Option IPNOP (no op) vorhanden ist
ts – Prüft, ob die Option IPTS (time stamp) vorhandenist
sec – Prüft, ob die Option IPSEC (IP security) vorhandenist
lsrr – Prüft, ob die Option IPLSRR (loose source routing)vorhanden ist
ssrr – Prüft, ob die Option IPSSRR (strict source routing)vorhanden ist
satid – Prüft, ob die OptionIP SATID (stream identifier)vorhanden ist
any – Prüft, ob die Option IPany vorhanden ist
fragoffset <number>; Vergleicht das offset-Feld des IP-Fragments mit dem Dezimalwert
Copyright © 2018 Sophos Limited 577
XG Firewall
Stichwort Wert Nutzung
fragbits [+*!]<[MDR]>; Überprüft, ob IP-Fragmentierungund reservierte Bits im IP-Headervorhanden sind.
M – Das More-Fragments-Bit
D – Das „Don't-Fragment“-Bit
R – Das Reserved-Bit
+ – Die angegebenenBits suchen, plus jeglicheweiteren
* – Match, wenn eines derangegebenen Bits gefundenwird
! – Match, wenn dieangegebenen Bits nichtgesetzt sind
dsize [<|>]<number>[<>number];
zum Beispieldsize:300<>400;
Testet die Nutzlast des Pakets.Wenn data_size festgelegt ist,wird das Zusammenfügen desPakets automatisch abgeschaltet,sodass eine Signatur mit Wertenfür data_size und only_streamals falsch betrachtet wird. dsizescheitert an neu gebautenDatenpaketen, unabhängig vonder Größe der Nutzlast
578 Copyright © 2018 Sophos Limited
XG Firewall
Stichwort Wert Nutzung
flags [!|*|+]<FSRPAU120>[,<FSRPAU120>];
zum Beispiel, Flags:SF,12
TCP-Flags, mit welchen ein Paketabgeglichen werden soll.
S – Sucht nach dem SYN-Flag
A – Sucht nach dem ACK-Flag
F – Sucht nach dem FIN-Flag
R – Sucht nach dem RST-Flag
U – Sucht nach dem URG-Flag
P – Sucht nach dem PSH-Flag
1 – Sucht nach demreservierten Bit
1 2 – Sucht nach demreservierten Bit
2 0 – Sucht nach Bits ohneTCP-Flags
+ – Sucht nach denangegebenen Bits, plusweiteren
* – Match, wenn eines derangegebenen Bits gefundenwird
! – Match, wenn dieangegebenen Bits nichtgesetzt sind
flow to_client|to_server|from_client|from_server ];established;bi_direction;[no_stream|only_stream];
Nur TCP: Der Wert für to_serverentspricht dem Wert fürfrom_client. Der Wert fürto_client entspricht dem Wert fürfrom_server. Das Tag bi_directionführt die Suche nach passendenSignaturen in beiden Richtungendurch. Wenn zum Beispieleine Signatur mit „--dst_port80“ vorliegt und bi_direction istgesetzt, prüft die Signatur denDatenverkehr von und an Port 80.
seq <number>; Auf die festgelegte TCP-Sequenznummer prüfen
ack <number>; Auf die festgelegte TCP-Achknowledge-Nummer prüfen
Copyright © 2018 Sophos Limited 579
Stichwort Wert Nutzung
window <number>; Auf die festgelegte TCP-Fenstergröße prüfen
itype [<|>]<number>[<>number]; Gibt den ICMP-Typ für die Suchean
icode [<|>]<number>[<>number]; Gibt den ICMP-Code für dieSuche an
icmp_id <number>; Sucht nach dem angegebenenICMP-ID-Wert
icmp_seq <number>; Sucht nach dem angegebenenICMP-Sequenzwert
rpc <application number>,[<versionnumber>|*],[<procedure number>|*>;
Sucht nach den RPC-Anwendungs-, Versions-und Prozessnummern inSUNRPCCALL-Anfragen. DerPlatzhalter * kann für Versions-und Prozessnummern verwendetwerden.
ip_proto <number>;[!]<number>;><number>;<<number>;
Sucht nach der IP-Protokollkopfzeile
samip NULL Die Quelle und das Ziel habendieselbe IP-Adresse
Zugehörige KonzepteEigene IPS-Signaturen (Seite 135)Mit eigenen Signaturen können Sie Ihr Netzwerk vor Schwachstellen in Zusammenhang mitNetzwerkobjekten, wie Server, Protokolle und Anwendungen, schützen. Sie können eigene Signaturenerstellen und sie später zu IPS-Richtlinienregeln hinzufügen.
Anhang D
D Standard-Dateityp-Kategorien
Name der Dateityp-Kategorie Dateierweiterungen MIME-Header
Audiodateien gsm, sd2, qcp, kar, smf, midi, mid,ulw, snd, aifc, aif, aiff, m3url, m3u,wav, rm, au, ram, mp3, wmv
audio/x-gsm, audio/vnd.qcelp,audio/x-midi, application/x-midi,audio/midi, audio/x-mid, x-music/x-midi, audio/basic, audio/x-adpcm,audio/aiff, audio/x-aiff, audio/x-mpequrl, audio/wav, audio/x-wav,application/vnd.rn-realmedia,audio/x-au, audio/x-pn-realaudio,audio/mpeg3, audio/x-mpeg-3,audio/x-ms-wmv
Sicherungsdateien (Zur Kategorie„Sicherungsdateien“ gehöreneinzelne Dateisicherungenund Dateien, die zuSicherungsprogrammen gehören.Einzelne Sicherungsdateienwerden oftmals automatischvon Softwareprogrammenerstellt. Dateien vonSicherungsprogrammenbeinhalten inkrementelleSicherungen und Sicherungen desgesamten Systems.)
asd, bak, bkp, bup, dba, dbk, fbw,gho, nba, old, ori, sqb, tlg, tmp
application/octet-stream
Komprimierte Dateien(Komprimierte Dateien basierenauf der Dateikomprimierungund sparen Festplattenplatz.Es können auch Archivformateverwendet werden, um mehrereDateien zu einem Archiv zukomprimieren.)
7z, alz, deb, gz, pkg, pup, rar,rpm, sea, sfx, sit, sitx, tar.gz, tgz,war, zip, zipx
application/x-7z-compressed,application/x-alz, application/x-deb, application/x-gzip,application/x-newton-compatible-pkg, application/x-rar-compressed,application/sea, application/x-sea, application/x-sit, application/x-stuffit, application/gnutar,application/x-compressed,application/x-zip-compressed,application/zip, multipart/x-zip
XG Firewall
Name der Dateityp-Kategorie Dateierweiterungen MIME-Header
Konfigurationsdateien(In Einstellungsdateienwerden Einstellungen fürdas Betriebssystem undAnwendungen gespeichert.Diese Dateien sind nichtdafür gedacht, vom Benutzergeöffnet zu werden, sondernwerden von der entsprechendenAnwendung geändert, wenndie Programmeinstellungengeändert werden.Einstellungsdateien werdenauch als Konfigurationsdateienbezeichnet.)
cfg, clg, dbb, ini, keychain, prf,prx, psf, rdf, reg, thmx, vmx, wfc
application/pics-rules, application/octet-stream, application/vnd.ms-officetheme
Datenbankdateien (InDatenbankdateien werden Datenin einem strukturierten Format mitTabellen und Feldern gespeichert.Einzelne Einträge in einerDatenbank werden als Datensätzebezeichnet. Datenbanken werdenim Allgemeinen zum Speichernvon Daten verwendet, auf diedynamische Websites verweisen.)
accdb, db, dsn, mdb, mdf, pdb,sql, sqlite
application/msaccess, application/x-msaccess, application/vnd.msaccess, application/vnd.ms-access, application/mdb,application/x-mdb, chemical/x-pdb
Entwicklerdateien (DieKategorie „Entwicklerdateien“beinhaltet Dateien, die mitder Softwareentwicklungzusammenhängen. Hierzugehören Programmier-Projektdateien, Quellcode-Dateien, Code-Bibliotheken,Header-Dateien undKlassendateien. KompilierteObjekte und Komponentensind ebenfalls dieser Kategoriezuzuordnen.)
as, asc, c, cbl, cc, class, cp, cpp,cs, csproj, dev, dtd, f, fs, fsproj,fsx, ftl, gem, h, hpp, ise, ism, java,m, ocx, pas, pod, pro, py, r, rb, sh,src, tcl, trx, v, vbproj, vcproj, vtm,xcodeproj
text/plain, text/x-c, application/java, application/java-byte-code,application/x-java-class, text/xml, text/x-fortran, text/x-h, text/x-java-source, text/x-m, application/octet-stream, text/pascal, text/x-script.phyton, application/x-bsh,application/x-sh, application/x-shar, text/x-script.sh, application/x-wais-source, application/x-tcl, text/x-script.tcl
Festplatten-Imagedateien(Festplatten-Imagedateienenthalten eine exakte Kopieeiner Festplatte oder einessonstigen Mediums. Dazugehören alle Dateien sowiedie Dateisysteminformationen.Festplatten-Images könnensomit für die Duplizierungvon Festplatten, CDs undDVDs verwendet werden.Sie dienen oftmals auchSicherungszwecken.)
dmg, iso, mdf, nrg, nri, pvm, toast,vcd, vmdk
application/x-cdlink
582 Copyright © 2018 Sophos Limited
XG Firewall
Name der Dateityp-Kategorie Dateierweiterungen MIME-Header
Dokumentdateien (Das Format„Dokumentdatei“ lässt sich alsText- oder Binärdaten-Dateitypbeschreiben, das der Speicherungformatierter Dokumente (Texte,Bilder, Cliparts, Tabellen,Diagramme, mehrere Seiten,mehrere Dokumente usw.) dient.)
doc, docx, wbk, xls, xlsx, ppt, pptx,oft, pub, msg, one, xsf, xsn, grv,mpp, mpt, acl, pip, thmx, aw, bld,blg, bvp, cdd, cdf, contact, csv,dat, dif, dmsp, efx, epub, epw,exif, exp, fdb, fxp, gbr, gpi, hdf,id2, lib, mat, mcd, menc, mw,ndx, not, notebook, out, ovf, pdx,pfc, pps, ppsx, pptm, prj, qbw,sdf, svf, tar, tsv, vcf, vdb, vxml,windowslivecontact, wlmp, xfd,xml, xsl, xslt, lit, log, lst, odt, opml,pages, rtf, sig, tex, txt, wpd, wps,pdf
application/msword, application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/excel, application/vnd.ms-excel, application/x-excel, application/x-msexcel,application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,application/mspowerpoint,application/powerpoint,application/vnd.ms-powerpoint,application/x-mspowerpoint,application/vnd.openxmlformats-officedocument.presentationml.presentation,application/x-mspublisher,application/onenote, application/octet-stream, application/vnd.ms-project, application/x-project,application/vnd.ms-officetheme,application/cdf, application/x-cdf, application/x-netcdf, text/comma-separated-values, text/csv, application/csv, video/x-dv,application/x-hdf, application/mcad, application/x-mathcad,application/vnd.openxmlformats-officedocument.presentationml.slideshow,application/vnd.ms-powerpoint.presentation.macroEnabled.12,image/vnd.dwg, image/x-dwg, application/x-tar, text/tab-separated-values, text/x-vcard, application/xml, text/xml,application/x-ms-reader, text/plain, application/rtf, application/x-rtf, text/richtext, application/x-tex, application/wordperfect,application/x-wpwin, application/vnd.ms-works, application/pdf
Dynamische Dateien pl, jsp, asp, php, cgi, shtml text/x-script.perl, text/asp, text/x-server-parsed-html, text/html
Kodierte Dateien (KodierteDateien sind Dateien, die Datenin kodiertem Format speichern.Dazu gehören verschlüsselteDateien, nicht komprimierteArchive und binär kodierteTextdateien. Dateien werden oftaus Sicherheitsgründen kodiertund um zu verhindern, dass siebei Datentransfers beschädigtwerden.)
bin, enc, hex, hqx, mim, mime,uue
application/mac-binary,application/macbinary, application/octet-stream, application/x-binary, application/x-macbinary,application/binhex, application/binhex4, application/mac-binhex, application/mac-binhex40, application/x-binhex40,application/x-mac-binhex40,message/rfc822, www/mime, text/x-uuencode
Copyright © 2018 Sophos Limited 583
XG Firewall
Name der Dateityp-Kategorie Dateierweiterungen MIME-Header
Ausführbare Dateien exe, cmd, bat, com application/bat, application/x-bat,application/x-msdos-program,application/textedit, application/octet-stream, text/plain
Bilddateien bmp, gif, jpeg, jpg, pcx, png image/bmp, image/x-windows-bmp, image/gif, image/pjpeg,image/jpeg, image/x-pcx, image/png
Seitenlayout-Dateien(Seitenlayout-Dateien sindDokumente, die sowohl Text-als auch Bilddaten enthaltenkönnen. Sie können auchFormatierungsdaten fürSeitengröße, Ränder undAnordnung des Inhalts auf derSeite enthalten. Seitenlayout-Dokumente werden oftmals fürdie Erstellung von druckfähigenPublikationen wie Zeitungen,Zeitschriften und Broschürenverwendet.)
idml, indd, inx, isd, mdi, pct, pdf,pmd, ptx, pub, qxb, qxd, qxp, rels,xps
image/x-pict, application/pdf,application/x-mspublisher,application/octet-stream,application/vnd.ms-xpsdocument
Plugin-Dateien (Plugin-Dateienstellen zusätzliche Funktionenfür vorhandene Programmebereit. Sie werden im Allgemeinenvon Bild-, Video- und Audio-Bearbeitungsanwendungen sowievon Webbrowsern verwendet.Plugins werden auch als Add-onsund Erweiterungen bezeichnet.)
8bi, arx, crx, plugin, vst, xll application/x-visio, application/excel,application/vnd.ms-excel,application/x-excel
Systemdateien (Zur Kategorieder Systemdateien gehörenDateien, die Mac-, Windows- undLinux-Betriebssysteme betreffen.Beispiele: Systembibliotheken,Symbole, Designs undGerätetreiber. Vom Systemausgegebene Dateien gehörenebenfalls zu dieser Kategorie.)
bashrc, cab, cpl, cur, dll, dmp, drv,hlp, ico, key, lnk, msp, prf, profile,scf, scr, sys
application/vnd.ms-cab-compressed, application/octet-stream, application/x-msdownload,application/hlp, application/x-helpfile, application/x-winhelp,image/x-icon
Videodateien dat, mov, avi, qt, smi, sml, smil,flc, fli, vfw, mpeg, mpg, m15, m1u,m1a, m75, mls, mp2, mpm, mp,rm, wmv, flv, swf
application/octet-stream,application/x-troff-msvideo,video/avi, video/msvideo, video/x-msvideo, video/quicktime,application/smil, application/x-simile, video/flc, video/fli, video/x-fli, video/mpeg, video/x-mpeg,video/x-mpeq2a, application/vnd.rn-realmedia, video/flv,application/x-shockwave-flash
584 Copyright © 2018 Sophos Limited
XG Firewall
Name der Dateityp-Kategorie Dateierweiterungen MIME-Header
Webdateien (Zur Kategorie derWebdateien gehören Dateien,die Websites und Webserverbetreffen. Dazu zählen statischeund dynamische Webseiten,Webanwendungen und Dateien,auf die bestimmte Webseitenverweisen.)
alx, asax, asmx, aspx, atom, att,axd, chm, dwt
application/atom+xml
Copyright © 2018 Sophos Limited 585
XG Firewall
Anhang E
E USB-Kompatibilitätsliste
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Alcatel AL300 Dodo AU HSDPA 7.2HSUPA 2.0
1bbb:f000 1bbb:0000 Wahrscheinlich
Alcatel AL720 Dodo AU HSDPA 7.2HSUPA 5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchL100V
LTE CAT3 1bbb:f000 1bbb:011e Möglich
Alcatel OneTouchL100V
LTE CAT3 1bbb:f017 1bbb:011e Wahrscheinlich
Alcatel OneTouchL800
LTE CAT3 1bbb:f000 1bbb:0195 Möglich
Alcatel OneTouchL800MA
Smart PH LTE CAT3 1bbb:f017 1bbb:0203 Möglich
Alcatel OneTouchL850
LTE CAT3 1bbb:f000 1bbb:0195 Möglich
Alcatel OneTouchX060S
HSDPA3.6/0.38
1bbb:f000 1bbb:0000 Wahrscheinlich
Alcatel OneTouchX070S
HSDPA3.6/0.38
1bbb:f000 1bbb:0000 Wahrscheinlich
Alcatel OneTouchX080C
CDMA EV-DO Rev.A
1bbb:00ca 1bbb:00ca Wahrscheinlich
Alcatel OneTouchX080S
HSDPA3.6/0.38
1bbb:f000 1bbb:0000 Wahrscheinlich
Alcatel OneTouchX085C
CDMA EV-DO Rev.A
1bbb:0012 1bbb:0012 Möglich
Alcatel OneTouchX090S
HSDPA3.6/0.38
1bbb:f000 1bbb:0000 Wahrscheinlich
Alcatel OneTouchX200
HSDPA 7.2HSUPA 2.0
1bbb:f000 1bbb:0000 Wahrscheinlich
Alcatel OneTouchX210D
HSDPA 7.2HSUPA 5.76
1bbb:f017 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX220D
HSDPA 7.2HSUPA 5.76
1bbb:f017 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX220L
HSDPA 7.2HSUPA 5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX220L
HSDPA 7.2HSUPA 5.76
1bbb:f052 1bbb:0052 Wahrscheinlich
586 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Alcatel OneTouchX221L
HSDPA 7.2HSUPA 5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX225S
HSDPA 7.2HSUPA 5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX228L
HSDPA 7.2HSUPA 5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX230E
HSDPA 7.2HSUPA 5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX230L
HSDPA 7.2HSUPA 5.76
1bbb:f017 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX300D
HSPA+14.4/5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX310D
HSPA+14.4/5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX310E
HSPA+14.4/5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX500D
HSPA+21.6/5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX500E
HSPA+21.6/5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX500M
HSPA+21.6/5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX500U
HSPA+21.6/5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX515
DC-HSPA+28.8/5.76
1bbb:f000 1bbb:0017 Wahrscheinlich
Alcatel OneTouchX520
HSPA+21.6/5.76
1bbb: 1bbb:0000 Unbekannt
Alcatel OneTouchX600
HSPA+21.6/5.76
1bbb:f000 1bbb:00b7 Wahrscheinlich
Alcatel OneTouchX602D
HSPA+21.6/5.76
1bbb:022c 1bbb:022c Möglich
Alcatel OneTouchX715
DC-HSPA+28.8/5.76
1bbb:f000 1bbb:0191 Unbekannt
Alcatel OneTouchW800
Telekom DE LTE CAT3 1bbb:f000 1bbb:0195 Möglich
Alcatel SpeedstickLTE II
Telekom DE LTE CAT3 1bbb:f017 1bbb:011e Wahrscheinlich
Alcatel SpeedstickLTE IV
Telekom DE LTE CAT3 1bbb:f000 1bbb:0195 Möglich
Alcatel XSStickW100
4G Systems LTE CAT3 1bbb:f000 1bbb:011e Möglich
Copyright © 2018 Sophos Limited 587
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Anydata ADU-300A CDMA EV-DO
16d5:6501 16d5:6501 Unwahrscheinlich
Anydata ADU-310A CDMA EV-DO
16d5:6501 16d5:6501 Unwahrscheinlich
Anydata ADU-500A CDMA EV-DO
05c6:1000 16d5:6502 Wahrscheinlich
Anydata ADU-510A CDMA EV-DO
05c6:1000 16d5:6502 Wahrscheinlich
Anydata ADU-510L CDMA EV-DO
05c6:1000 16d5:6502 Wahrscheinlich
Anydata ADU-520A CDMA 1xEV-DO Rev.A
05c6:1000 16d5:6502 Wahrscheinlich
Anydata ADU-520C CDMA 1xEV-DO Rev.A
05c6:6503 16d5:6502 Wahrscheinlich
Anydata ADU-555C MTS CDMA 1xEV-DO Rev.A
16d5:6502 16d5:6502 Unwahrscheinlich
Anydata ADU-620UW HSDPA 7.2 16d5:6202 16d5:6202 Unwahrscheinlich
Anydata ADU-635WA CDMA EV-DO & HSDPA
16d5:6202 16d5:6202 Unwahrscheinlich
Anydata ADU-890WH CDMA EV-DO & HSDPA
16d5:f000 16d5:6603 Unwahrscheinlich
Axesstel MU130 HSDPA 7.2HSUPA 5.76
1726:f00e 1726:a000 Wahrscheinlich
Axesstel MV110H CDMA20001xEV-DO
1726:1000 1726:1000 Unwahrscheinlich
Bandrich C-100 HSDPA7.2/0.38
1a8d:1000 1a8d:1001 Möglich
Bandrich C-100 HSDPA7.2/0.38
1a8d:1000 1a8d:1002 Wahrscheinlich
Bandrich C-100 HSDPA7.2/0.38
1a8d:1000 1a8d:1003 Möglich
Bandrich C-120 HSDPA7.2/0.38
1a8d:1000 1a8d:1001 Möglich
Bandrich C-120 HSDPA7.2/0.38
1a8d:1000 1a8d:1002 Wahrscheinlich
Bandrich C-170 HSDPA3.6/0.38
1a8d:1000 1a8d:1009 Wahrscheinlich
Bandrich C-177 MovistarPER
HSDPA3.6/0.38
1a8d:1000 1a8d:1009 Wahrscheinlich
Bandrich C-178 Telsec BR HSDPA3.6/0.38
1a8d:1000 1a8d:1009 Wahrscheinlich
Bandrich C-179 Singtel HSDPA3.6/0.38
1a8d:1000 1a8d:1009 Wahrscheinlich
588 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Bandrich C-180 HSDPA3.6/0.38
1a8d:1000 1a8d:1009 Wahrscheinlich
Bandrich C-209 HSDPA7.2/0.38
1a8d:1000 1a8d:1002 Wahrscheinlich
Bandrich C-270 HSDPA 7.2HSUPA 5.76
1a8d:1000 1a8d:1007 Möglich
Bandrich C-278 Cellcom HSDPA3.6/0.38
1a8d:1000 1a8d:1009 Wahrscheinlich
Bandrich C-320 HSPA+21.6/5.76
1a8d:1000 1a8d:100c Möglich
Bandrich C-321 HSPA+21.6/5.76
1a8d:1000 1a8d:100d Wahrscheinlich
Bandrich C-330 HSPA+21.6/5.76
1a8d:2000 1a8d:2006 Möglich
Bandrich C-331 HSPA+21.6/5.76
1a8d:2000 1a8d:2006 Möglich
Bandrich C-339 HSPA+21.6/5.76
1a8d:2000 1a8d:2006 Möglich
Bandrich C-360 DC-HSPA+28.8/5.76
1a8d: 1a8d: Unbekannt
Bandrich C-370 DC-HSPA+28.8/5.76
1a8d: 1a8d: Unbekannt
Bandrich C-500 LTE CAT3 1a8d:1000 1a8d:100d Wahrscheinlich
Bandrich C-501 LTE CAT3 1a8d:1000 1a8d:100d Wahrscheinlich
Bandrich C-502 LTE CAT3 1a8d:1000 1a8d:100d Wahrscheinlich
Bandrich C-505 LTE CAT3 1a8d:1000 1a8d:100d Wahrscheinlich
Bandrich C-506 LTE CAT3 1a8d:1000 1a8d:100d Wahrscheinlich
Bandrich C-508 LTE CAT3 1a8d:1000 1a8d:100d Wahrscheinlich
Bandrich M150 HSDPA7.2/0.38
1a8d:1000 1a8d: Möglich
Bandrich M152 HSDPA7.2/0.38
1a8d:1000 1a8d: Möglich
Bandrich M250 HSDPA 7.2HSUPA 2.0
1a8d:1008 1a8d:1008 Unwahrscheinlich
Bandrich M280 HSDPA 7.2HSUPA 5.76
1a8d:1000 1a8d: Möglich
Bandrich M290 HSDPA 7.2HSUPA 5.76
1a8d:1000 1a8d: Möglich
Bandrich PHS101 Prolink HSDPA3.6/0.38
1a8d:1000 1a8d:1007 Möglich
ChangHong AC327U Netgear HSDPA 7.2HSUPA 5.76
2077:f000 2077:a003 Möglich
Copyright © 2018 Sophos Limited 589
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
ChangHong CH690 CDMA EV-DO
2077:1000 2077:7001 Wahrscheinlich
ChangHong DG-BA3370 Digisol HSDPA 7.2HSUPA 5.76
2077:f000 2077:a000 Möglich
ChangHong DWM-155 D-Link HSDPA 7.2HSUPA 5.76
2077:f000 2077:9062 Möglich
ChangHong DWM-163 D-Link CDMA EV-DO
05c6:1000 2077:7010 Möglich
ChangHong DWM-163 D-Link CDMA EV-DO
2077:1000 2077:7010 Möglich
ChangHong DWM-168 D-Link CDMA EV-DO
05c6:1000 2077:7011 Möglich
ChangHong DWM-168 D-Link CDMA EV-DO
2077:1000 2077:7011 Möglich
ChangHong MV242 AxessTel HSDPA 7.2HSUPA 5.76
2077:1000 2077:8000 Möglich
ChangHong W-160 Nucom HSDPA 7.2HSUPA 5.76
2077:f000 2077:9000 Wahrscheinlich
ChangHong W-260 Nucom HSDPA 7.2HSUPA 5.76
2077:f000 2077:a000 Möglich
Cmotech BP3-USB Maxon HSDPA7.2/0.38
16d8:6280 16d8:6280 Unwahrscheinlich
Cmotech BP3-EXT Maxon HSDPA7.2/0.38
16d8:6280 16d8:6280 Unwahrscheinlich
Cmotech CBU-450D SK Korea HSDPA 7.2HSUPA 5.76
16d8:700b 16d8:700b Wahrscheinlich
Cmotech CCM-650 CDMA 1xEV-DO
16d8: 16d8: Nichtkompatibel
Cmotech CCU-550 CDMA 1xEV-DO
16d8:5533 16d8:5533 Nichtkompatibel
Cmotech CCU-650 CDMA 1xEV-DO
16d8:6532 16d8:6532 Nichtkompatibel
Cmotech CCU-650U CDMA 1xEV-DO
16d8:6523 16d8:6523 Nichtkompatibel
Cmotech CCU-670 Viettel CDMA 1xEV-DO
16d8: 16d8: Unbekannt
Cmotech CCU-680 CAT TH CDMA 1xEV-DO Rev.A
16d8:6803 16d8:6803 Wahrscheinlich
Cmotech CCU-700 16d8:4000 16d8:4000 Unbekannt
Cmotech CDM-650 CDMA 1xEV-DO
16d8: 16d8: Nichtkompatibel
Cmotech CDU-550 CDMA 1xEV-DO
16d8:5553 16d8:5553 Nichtkompatibel
590 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Cmotech CDU-650 CDMA 1xEV-DO
16d8:6522 16d8:6522 Nichtkompatibel
Cmotech CDU-680 CDMA 1xEV-DO Rev.A
16d8:6803 16d8:6803 Wahrscheinlich
Cmotech CDU-685A CDMA 1xEV-DO Rev.A
16d8:6804 16d8:6804 Wahrscheinlich
Cmotech CGU-628 HSDPA7.2/0.38
16d8:6281 16d8:6281 Wahrscheinlich
Cmotech CGU-628A Franklin HSDPA7.2/0.38
16d8:f000 16d8:6006 Wahrscheinlich
Cmotech CGU-629 HSDPA 7.2HSUPA 5.76
16d8:7006 16d8:7006 Unwahrscheinlich
Cmotech CGU-629C HSDPA 7.2HSUPA 5.76
16d8:7006 16d8:7006 Unwahrscheinlich
Cmotech CGU-629S SK Korea HSDPA 7.2HSUPA 5.76
16d8: 16d8: Unbekannt
Cmotech CHE-628 HSDPA7.2/0.38
16d8: 16d8: Unbekannt
Cmotech CHE-628S HSDPA7.2/0.38
16d8:6007 16d8:6007 Unwahrscheinlich
Cmotech CHM-628 HSDPA7.2/0.38
16d8:6280 16d8:6280 Unwahrscheinlich
Cmotech CHS-628 HSDPA7.2/0.38
16d8:6280 16d8:6280 Unwahrscheinlich
Cmotech CHU-628 HSDPA7.2/0.38
16d8:6280 16d8:6280 Unwahrscheinlich
Cmotech CHU-628S SK Korea HSDPA7.2/0.38
16d8:6281 16d8:6281 Wahrscheinlich
Cmotech CHU-629K KT Korea HSDPA 7.2HSUPA 5.76
16d8:7003 16d8:7003 Unwahrscheinlich
Cmotech CHU-629S SK Korea HSDPA 7.2HSUPA 5.76
16d8:700a 16d8:700a Wahrscheinlich
Cmotech CHU-720S SK Korea HSDPA 7.2HSUPA 5.76
16d8:7001 16d8:7001 Unwahrscheinlich
Cmotech CHU-720I HSDPA 7.2HSUPA 5.76
16d8:7211 16d8:7211 Unwahrscheinlich
Cmotech CMU-300 Franklin CDMA 1xEV-DO Rev.A
16d8:6002 16d8:6002 Unwahrscheinlich
Cmotech CMU-301 Franklin CDMA 1xEV-DO Rev.A
16d8:6008 16d8:6008 Unwahrscheinlich
Cmotech CNM-650 CDMA 1xEV-DO
16d8:6533 16d8:6533 Nichtkompatibel
Copyright © 2018 Sophos Limited 591
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Cmotech CNM-680 CDMA 1xEV-DO Rev.A
16d8:6803 16d8:6803 Wahrscheinlich
Cmotech CNU-510 CDMA 1xEV-DO
16d8:5141 16d8:5141 Nichtkompatibel
Cmotech CNU-550 CDMA 1xEV-DO
16d8:5543 16d8:5543 Nichtkompatibel
Cmotech CNU-650 CDMA 1xEV-DO
16d8:6543 16d8:6543 Nichtkompatibel
Cmotech CNU-680 CDMA 1xEV-DO Rev.A
16d8:6803 16d8:680a Nichtkompatibel
Cmotech CNU-680E CDMA 1xEV-DO Rev.A
16d8:6002 16d8:6002 Unwahrscheinlich
Cmotech XSStick W12 4G Systems HSDPA7.2/0.38
16d8:f000 16d8:6006 Wahrscheinlich
Curitel(Pantech)
P4200 Beemo LTE CAT 3 106c:3b14 106c:3721 Möglich
Curitel(Pantech)
UM-150 Verizon EV-DORev.A
106c:3711 106c:3711 Möglich
Curitel(Pantech)
UM-175VW Verizon EV-DORev.A
106c:3714 106c:3714 Möglich
Curitel(Pantech)
UM-175AL AllTel EV-DORev.A
106c:3b03 106c:3715 Möglich
Curitel(Pantech)
UM-185C Cricket CDMA1xEV–DO
106c:3b06 106c:3717 Möglich
Curitel(Pantech)
UM-185E AllTel CDMA1xEV–DO
106c:3b06 106c:3717 Möglich
Curitel(Pantech)
UM-190VW Verizon CDMA1xEV–DO
106c:3b05 106c:3716 Möglich
Curitel(Pantech)
UML-290VW Verizon CDMA1xEV–DO
106c:3b11 106c:3718 Möglich
Curitel(Pantech)
UMW-190 Verizon CDMA1xEV–DO
106c:3b06 106c:3717 Möglich
Datang Aircard 901 HSDPA 1ab7:5700 1ab7:2000 Wahrscheinlich
Datang DTM5730 HSDPA 1ab7:5700 1ab7:5730 Möglich
Datang DTM5731 Hummer HSDPA 1ab7:5700 1ab7:5731 Wahrscheinlich
Dell 5500 HSDPA 1.8 413c:8115 Unwahrscheinlich
Dell 5505 HSDPA 1.8 413c:8116 Unwahrscheinlich
Dell 5510 HSDPA 7.2 413c:8118 Unwahrscheinlich
Dell 5520 Cingular HSDPA 7.2 413c:8136 Unwahrscheinlich
Dell 5520 Vodafone HSDPA 7.2 413c:8137 Unwahrscheinlich
Dell 5520 Vodafone HSDPA 7.2 413c:8138 Unwahrscheinlich
592 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Dell 5530 Vodafone HSDPA 7.2HSUPA 2.0
413c:8147 Unwahrscheinlich
Dell 5620 HSDPA 413c:8186 Unwahrscheinlich
Dell 5630 CDMA EV-DO & HSPA
413c:8194 Unwahrscheinlich
Dell 5700 CDMA EV-DO
413c:8114 Unwahrscheinlich
Dell 5700 CDMA EV-DO
413c:8117 Unwahrscheinlich
Dell 5700 Sprint CDMA EV-DO
413c:8128 Unwahrscheinlich
Dell 5700 Telus CDMA EV-DO
413c:8129 Unwahrscheinlich
Dell 5720 Verizon EV-DORev.A
413c:8133 Unwahrscheinlich
Dell 5720 Sprint EV-DORev.A
413c:8134 Unwahrscheinlich
Dell 5720 Telus EV-DORev.A
413c:8135 Unwahrscheinlich
Dell 5730 Sprint HSDPA 413c:8180 Unwahrscheinlich
Dell 5730 Telus HSDPA 413c:8181 Unwahrscheinlich
Dell 5730 Verizon HSDPA 413c:8182 Unwahrscheinlich
Dell 5800 Verizon LTE CAT3 413c:8195 Unwahrscheinlich
Dell 5800v2 Verizon LTE CAT3 413c:8196 Unwahrscheinlich
Dell 5804 Verizon LTE CAT3 413c:819b Unwahrscheinlich
D-Link DWM-151 A1 HSDPA3.6/0.38
07d1:f000 07d1:7e07 Unwahrscheinlich
D-Link DWM-152 A1 HSDPA3.6/0.38
07d1:a800 07d1:3e01 Möglich
D-Link DWM-152 A3 HSDPA 7.2HSUPA 5.76
07d1:a804 07d1:7e11 Wahrscheinlich
D-Link DWM-152 C1 HSDPA3.6/0.38
07d1:a800 07d1:3e01 Möglich
D-Link DWM-156 A1 HSDPA 7.2HSUPA 5.76
07d1:a800 07d1:3e02 Wahrscheinlich
D-Link DWM-156 A2 HSDPA 7.2HSUPA 5.76
07d1:a800 07d1:7e0c Möglich
D-Link DWM-156 A3 HSDPA 7.2HSUPA 5.76
07d1:a804 07d1:7e11 Wahrscheinlich
D-Link DWM-156 A5 HSDPA 7.2HSUPA 5.76
2001:a80b 2001:7d00 Wahrscheinlich
Copyright © 2018 Sophos Limited 593
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
D-Link DWM-156 A6 HSDPA 7.2HSUPA 5.76
2001:a80b 2001:7d00 Wahrscheinlich
D-Link DWM-156 A7 HSPA+14.4/5.76
2001:a706 2001:7d01 Möglich
D-Link DWM-156 A8 HSPA+14.4/5.76
2001:a403 2001:7d0b Nichtkompatibel
D-Link DWM-156 C1 HSPA+14.4/5.76
Unbekannt
D-Link DWM-157 A1 HSPA+21.6/5.76
2001:a809 2001:7901 Unwahrscheinlich
D-Link DWM-157 B1 HSPA+21.6/5.76
2001:00a6 2001:7d02 Nichtkompatibel
D-Link DWM-157 B1 HSPA+21.6/5.76
2001:a707 2001:7d02 Möglich
D-Link DWM-157 C1 HSPA+21.6/5.76
2001:a407 2001:7d0e Nichtkompatibel
D-Link DWM-158 B1 HSDPA 7.2HSUPA 5.76
07d1:a804 07d1:7e11 Wahrscheinlich
D-Link DWM-158 D1 DC-HSPA+42.2/11.5
2001:a708 2001:7d03 Möglich
D-Link DWM-167 A1 CDMA EV-DO
2001:a405 2001:7d0d Nichtkompatibel
D-Link DWM-221 A1 LTE CAT3 2001:98ff 2001:7e16 Unwahrscheinlich
D-Link DWM-221 B1 LTE CAT3 2001:a401 2001:7e19 Unwahrscheinlich
D-Link DWM-221 B1 Vivo BR LTE CAT3 2001:a406 2001:7e19 Unwahrscheinlich
D-Link DWP-156 B1 HSPA+14.4/5.76
2001:a403 2001:7d0b Nichtkompatibel
D-Link DWP-157 B1 HSPA+21.6/5.76
2001:a403 2001:7d0c Nichtkompatibel
D-Link DWR-510 HSDPA 7.2HSUPA 5.76
2001:a805 2001:7e12 Wahrscheinlich
D-Link DWR-710 HSPA+21.6/5.76
2001:7d09 2001:7d09 Unwahrscheinlich
D-Link DWR-730 HSPA+21.6/5.76
2001:7d05 2001:7d05 Unwahrscheinlich
D-Link DWR-830 DC-HSPA+42/11.5
2001:7d06 2001:7d06 Unwahrscheinlich
D-Link DWR-910 B1 LTE CAT3 2001:7e18 Unwahrscheinlich
D-Link DWR-910 LTE CAT3 2001:a40d 2001:7e38 Unwahrscheinlich
D-Link DWR-932 D1 LTE CAT3 2001: 2001:7e36 Unwahrscheinlich
Ericson F3307 HSDPA 7.2HSUPA 2.0
0bdb:1909 0bdb:1909 Nichtkompatibel
594 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Ericson F3307 HSDPA 7.2HSUPA 2.0
0bdb:190a 0bdb:190a Nichtkompatibel
Ericson F3307 HSDPA 7.2HSUPA 2.0
0bdb:190e 0bdb:190e Nichtkompatibel
Ericson F3307 HSDPA 7.2HSUPA 2.0
0bdb:190f 0bdb:190f Nichtkompatibel
Ericson F3507g Lenovo HSDPA 7.2HSUPA 2.0
0bdb:1900 0bdb:1900 Nichtkompatibel
Ericson F3507g HSDPA 7.2HSUPA 2.0
0bdb:1902 0bdb:1902 Nichtkompatibel
Ericson F3607gw HSDPA 7.2HSUPA 2.0
0bdb:1904 0bdb:1904 Nichtkompatibel
Ericson F3607gw Lenovo HSDPA 7.2HSUPA 2.0
0bdb:1905 0bdb:1905 Nichtkompatibel
Ericson F3607gw HSDPA 7.2HSUPA 2.0
0bdb:1906 0bdb:1906 Nichtkompatibel
Ericson F3607gw Lenovo HSDPA 7.2HSUPA 2.0
0bdb:1907 0bdb:1907 Nichtkompatibel
Ericson F5221gw HSPA+21.6/5.76
0bdb:190d 0bdb:190d Nichtkompatibel
Ericson F5221gw HSPA+21.6/5.76
0bdb:1910 0bdb:1910 Nichtkompatibel
FranklinWireless
U210 Sprint CDMA EV-DO Rev.A
1fac:0032 1fac:0032 Möglich
FranklinWireless
U600 Sprint CDMA EV-DO Rev.A
1fac:0150 1fac:0151 Möglich
Haier CE81B Smartfren CDMA EV-DO Rev.A
05c6:f000 201e:10f8 Möglich
Haier CE100 CDMA EV-DO Rev.A
201e:2009 201e:2009 Wahrscheinlich
Haier CE210 CDMA EV-DO Rev.A
201e:2009 201e:2009 Wahrscheinlich
Haier CE682 Smartfren CDMA EV-DO Rev.A
201e:1023 201e:1022 Wahrscheinlich
Haier CE782 Smartfren CDMA EV-DO Rev.A
201e:1023 201e:1022 Wahrscheinlich
Haier V-ME101 OliveTelecom
CDMA EV-DO Rev.A
201e:2009 201e:2009 Wahrscheinlich
Haier V-ME110 OliveTelecom
CDMA EV-DO Rev.A
201e:2009 201e:2009 Wahrscheinlich
Huawei B81 M-BudgetSW
HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:14ac Wahrscheinlich
Copyright © 2018 Sophos Limited 595
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei D01HW E-Mobile JP HSDPA3.6/0.38
12d1:1003 12d1:1003 Wahrscheinlich
Huawei D02HW E-Mobile JP HSDPA7.2/0.38
12d1:1003 12d1:1003 Wahrscheinlich
Huawei D03HW E-Mobile JP HSDPA7.2/0.38
12d1:1003 12d1:1003 Wahrscheinlich
Huawei D12HW E-Mobile JP HSDPA7.2/0.38
12d1:1003 12d1:1003 Wahrscheinlich
Huawei D21HW E-Mobile JP HSDPA 7.2HSUPA 1.4
12d1:1003 12d1:1003 Wahrscheinlich
Huawei D22HW E-Mobile JP HSDPA 7.2HSUPA 1.4
12d1:1003 12d1:1003 Wahrscheinlich
Huawei D23HW E-Mobile JP HSDPA 7.2HSUPA 1.4
12d1:1003 12d1:1003 Wahrscheinlich
Huawei D24HW E-Mobile JP HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1408 Möglich
Huawei D25HW E-Mobile JP HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1408 Möglich
Huawei D26HW E-Mobile JP HSDPA 7.2HSUPA 1.4
12d1:1003 12d1:1003 Wahrscheinlich
Huawei D31HW E-Mobile JP HSPA+21.6/5.76
12d1:1446 12d1:1429 Möglich
Huawei D32HW E-Mobile JP HSPA+21.6/5.76
12d1: 12d1: Unbekannt
Huawei D33HW E-Mobile JP HSPA+21.6/5.76
12d1:1446 12d1:1506 Wahrscheinlich
Huawei D41HW E-Mobile JP DC-HSPA+42.2/11.5
12d1:1505 12d1:1506 Wahrscheinlich
Huawei E122 HSDPA7.2/2.0
12d1:1446 12d1:1001 Wahrscheinlich
Huawei E150 HSDPA3.6/0.38
12d1:1446 12d1:1001 Wahrscheinlich
Huawei E153 HSDPA3.6/0.38
12d1:1446 12d1:14ac Wahrscheinlich
Huawei E156B HSDPA3.6/0.38
12d1:1003 12d1:1003 Wahrscheinlich
Huawei E156G HSDPA3.6/0.38
12d1:1446 12d1:140c Wahrscheinlich
Huawei E160 HSDPA3.6/0.38
12d1:1003 12d1:1003 Wahrscheinlich
Huawei E160E HSDPA3.6/0.38
12d1:1001 12d1:1001 Wahrscheinlich
596 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei E160G HSDPA3.6/0.38
12d1:1001 12d1:1001 Wahrscheinlich
Huawei E161 HSDPA3.6/0.38
12d1:1446 12d1:1001 Wahrscheinlich
Huawei E166 HSDPA7.2/0.38
12d1:1001 12d1:1001 Wahrscheinlich
Huawei E169 HSDPA7.2/0.38
12d1:1001 12d1:1001 Wahrscheinlich
Huawei E169G O2 DE HSDPA7.2/0.38
12d1:1001 12d1:1001 Wahrscheinlich
Huawei E169U HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1436 Wahrscheinlich
Huawei E169V Vodafone HSDPA7.2/0.38
12d1:1001 12d1:1001 Wahrscheinlich
Huawei E170 HSDPA 7.2HSUPA 2.0
12d1:1003 12d1:1003 Wahrscheinlich
Huawei E171 MTS HSDPA 7.2HSUPA 5.76
12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E171 HSDPA 7.2HSUPA 5.76
12d1:155b 12d1:1506 Wahrscheinlich
Huawei E172 HSDPA 7.2HSUPA 1.44
12d1:1003 12d1:1003 Wahrscheinlich
Huawei E173 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:140c Wahrscheinlich
Huawei E173 HSDPA 7.2HSUPA 5.76
12d1:1557 12d1:14a5 Wahrscheinlich
Huawei E173 Movistar HSDPA 7.2HSUPA 5.76
12d1:1c24 12d1:1c23 Möglich
Huawei E173 Viettel 3G HSDPA 7.2HSUPA 5.76
12d1:14b5 12d1:14a8 Wahrscheinlich
Huawei E173 HSDPA 7.2HSUPA 5.76
12d1:14ba 12d1:14d2 Wahrscheinlich
Huawei E173s HSPA 12d1:1c0b 12d1:1c05 Wahrscheinlich
Huawei E173s-6 HSPA 12d1:1c0b 12d1:1c07 Wahrscheinlich
Huawei E173s HSPA 12d1:1c0b 12d1:1c08 Wahrscheinlich
Huawei E173s HSPA 12d1:1c0b 12d1:1c10 Wahrscheinlich
Huawei E173u-1 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1436 Wahrscheinlich
Huawei E173u-2 Play PL HSDPA 7.2HSUPA 2.0
12d1:1446 12d1:1001 Wahrscheinlich
Huawei E176 HSDPA 7.2HSUPA 5.76
12d1:1003 12d1:1003 Wahrscheinlich
Copyright © 2018 Sophos Limited 597
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei E176G HSDPA 7.2HSUPA 5.76
12d1:1003 12d1:1003 Wahrscheinlich
Huawei E177 HSDPA 7.2HSUPA 5.76
12d1:14ba 12d1:14d2 Wahrscheinlich
Huawei E180 HSDPA 7.2HSUPA 5.76
12d1:1414 12d1:1003 Möglich
Huawei E180V Swisscom HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:140c Wahrscheinlich
Huawei E181 HSDPA 7.2 12d1:1001 12d1:1001 Wahrscheinlich
Huawei E182E HSPA+21.6/5.76
12d1:14d1 12d1:14c9 Wahrscheinlich
Huawei E200 HSDPA 3.6 12d1:1446 12d1:140c Wahrscheinlich
Huawei E216 HSDPA 3.6 12d1:1001 12d1:1001 Wahrscheinlich
Huawei E219 HSDPA 3.6 12d1:1003 12d1:1003 Wahrscheinlich
Huawei E220 Vodafone HSDPA 3.6 12d1:1003 12d1:1003 Wahrscheinlich
Huawei E220BIS HSDPA 12d1:1004 12d1:1004 Wahrscheinlich
Huawei E226 HSDPA 7.2 12d1:1003 12d1:1003 Wahrscheinlich
Huawei E230 HSDPA 7.2HSUPA 5.76
12d1:1003 12d1:1003 Wahrscheinlich
Huawei E261 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:140c Wahrscheinlich
Huawei E270 Vodafone HSDPA 7.2HSUPA 2.0
12d1:1003 12d1:1003 Wahrscheinlich
Huawei E270+ HSPA+21.6/5.76
12d1:1446 12d1:14ac Wahrscheinlich
Huawei E272 Vodafone HSDPA 7.2HSUPA 2.0
12d1:1003 12d1:1003 Wahrscheinlich
Huawei E303 HSPA+21.6/5.76
12d1:1f01 12d1:14dc Möglich
Huawei E303s HSPA+21.6/5.76
12d1:1f01 12d1:14db Wahrscheinlich
Huawei E303F TrueMoveTH
HSPA+21.6/5.76
12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E352-R1 HSDPA 7.2HSUPA 5.76
12d1:1449 12d1:1444 Wahrscheinlich
Huawei E352 T-Mobile NL HSPA+21.6/5.76
12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E353W-u1 HSPA+21.6/5.76
12d1:1446 12d1:1506 Wahrscheinlich
Huawei E353Ws-2 3.se HSPA+21.6/5.76
12d1:1f01 12d1:14db Wahrscheinlich
598 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei E353s-2 HSPA+21.6/5.76
12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E353s-H2 HSPA+21.6/5.76
12d1:151a 12d1:151a Nichtkompatibel
Huawei E353s-H2 HSPA+21.6/5.76
12d1:151a 12d1:151d Wahrscheinlich
Huawei E355 HSPA+21.6/5.76
12d1:14fe 12d1:1c1e Möglich
Huawei E355s-1 HSPA+21.6/5.76
12d1:1f01 12d1:14db Wahrscheinlich
Huawei E367 DC-HSPA+28.8/5.76
12d1:1446 12d1:14ac Wahrscheinlich
Huawei E367 DC-HSPA+28.8/5.76
12d1:1446 12d1:1506 Wahrscheinlich
Huawei E367 DC-HSPA+28.8/5.76
12d1:1505 12d1:1506 Wahrscheinlich
Huawei E367 O2 DC-HSPA+28.8/5.76
12d1:1446 12d1:150c Wahrscheinlich
Huawei E367 DC-HSPA+28.8/5.76
12d1:1505 12d1:150f Wahrscheinlich
Huawei E372 DC-HSPA+42.2/5.76
12d1:1446 12d1:1506 Wahrscheinlich
Huawei E372 DC-HSPA+42.2/5.76
12d1:1505 12d1:1506 Wahrscheinlich
Huawei E389 LTE CAT3 12d1:1505 12d1:1506 Wahrscheinlich
Huawei E392 LTE CAT3 12d1:1505 12d1:1506 Wahrscheinlich
Huawei E392u-12 LTE CAT3 12d1:151a 12d1:151b Wahrscheinlich
Huawei E398 LTE CAT3 12d1:1446 12d1:1506 Wahrscheinlich
Huawei E398u-15 LTE CAT3 12d1:1505 12d1:1506 Wahrscheinlich
Huawei E510 HSDPA 7.2HSUPA 2.0
12d1:1411 12d1:1411 Wahrscheinlich
Huawei E583C HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:142d Möglich
Huawei E585 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1432 Wahrscheinlich
Huawei E586 HSPA+21.6/5.76
12d1:14fe 12d1:1c1e Möglich
Huawei E586 HSPA+21.6/5.76
12d1:14fe 12d1:1c1f Möglich
Huawei E587 HSPA42.2/5.76
12d1:1c1b 12d1:1506 Wahrscheinlich
Huawei E589u-12 LTE CAT3 12d1:1f01 12d1:14db Wahrscheinlich
Copyright © 2018 Sophos Limited 599
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei E600 12d1:1001 12d1:1001 Wahrscheinlich
Huawei E620 HSDPA 7.2HSUPA 2.0
12d1:1446 12d1:1001 Wahrscheinlich
Huawei E630 HSDPA 7.2 1033:0035 12d1:1003 Wahrscheinlich
Huawei E630 HSDPA 7.2 12d1:1003 12d1:1003 Wahrscheinlich
Huawei E800 HSDPA 12d1:1001 12d1:1001 Wahrscheinlich
Huawei E870 HSDPA 7.2HSUPA 2.0
12d1:1003 12d1:1003 Wahrscheinlich
Huawei E1550 HSDPA3.6/0.38
12d1:1446 12d1:1001 Wahrscheinlich
Huawei E1552 HSDPA3.6/0.38
12d1:1446 12d1:1406 Wahrscheinlich
Huawei E1552 HSDPA3.6/0.38
12d1:1446 12d1:140c Wahrscheinlich
Huawei E1553 HSDPA3.6/0.38
12d1:1553 12d1:1001 Wahrscheinlich
Huawei E1612 HSDPA 7.2 12d1:1446 12d1:1406 Wahrscheinlich
Huawei E1630 HSDPA 7.2 12d1:1446 12d1:1001 Wahrscheinlich
Huawei E1690 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:140c Wahrscheinlich
Huawei E1691 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:140c Wahrscheinlich
Huawei E1691 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1436 Wahrscheinlich
Huawei E1692 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:140c Wahrscheinlich
Huawei E1705 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1001 Wahrscheinlich
Huawei E1731Bu-1 HSPA+21.6/5.76
12d1:1446 12d1:1506 Wahrscheinlich
Huawei E1750 Telia SE HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1001 Wahrscheinlich
Huawei E1750 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1406 Wahrscheinlich
Huawei E1750 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1436 Wahrscheinlich
Huawei E1750 Viettel 3G HSDPA 7.2HSUPA 5.76
12d1:14b5 12d1:14aa Wahrscheinlich
Huawei E1752 Telmore DK HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1003 Wahrscheinlich
Huawei E1752 Orange HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:141b Wahrscheinlich
600 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei E1752C HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1417 Möglich
Huawei E1756 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1406 Wahrscheinlich
Huawei E1756 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1417 Möglich
Huawei E1756C HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1433 Wahrscheinlich
Huawei E1762 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:140c Wahrscheinlich
Huawei E1762 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:14ac Wahrscheinlich
Huawei E1762V Vodafone HSDPA 7.2HSUPA 5.76
12d1:1520 12d1:1465 Wahrscheinlich
Huawei E1780 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1001 Wahrscheinlich
Huawei E1782 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1001 Wahrscheinlich
Huawei E1800 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1436 Wahrscheinlich
Huawei E1800 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:14ac Wahrscheinlich
Huawei E1815 AT&T HSPA+21.6/5.76
12d1:1446 12d1:14ac Wahrscheinlich
Huawei E1820 HSPA+21.6/5.76
12d1:1446 12d1:14ac Wahrscheinlich
Huawei E1823 HSPA+21.6/5.76
12d1:1446 12d1:14ac Wahrscheinlich
Huawei E1831 HSPA+21.6/5.76
12d1:1446 12d1:1404 Möglich
Huawei E3131h-2 HSPA+21.6/5.76
12d1:15ca 12d1:1506 Möglich
Huawei E3131s-2 HSPA+21.6/5.76
12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E3131s-2 Orange Ro HSPA+21.6/5.76
12d1:14fe 12d1:151d Wahrscheinlich
Huawei E3131s-2 HSPA+21.6/5.76
12d1:1f01 12d1:14db Wahrscheinlich
Huawei E3131s-H2 HSPA+21.6/5.76
12d1:151a 12d1:151a Nichtkompatibel
Huawei E3131s-H2 HSPA+21.6/5.76
12d1:151a 12d1:151d Wahrscheinlich
Copyright © 2018 Sophos Limited 601
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei E3231 HSPA+21.6/5.76
12d1:1f01 12d1:14db Wahrscheinlich
Huawei E3236 HSPA+21.6/5.76
12d1:14dc Möglich
Huawei E3251 DC-HSPA+42.2/11.5
12d1:156a 12d1:156b Möglich
Huawei E3251 DC-HSPA+42.2/11.5
12d1:1f01 12d1:14db Wahrscheinlich
Huawei E3256 3 UK DC-HSPA+42.2/11.5
12d1:1f01 12d1:14db Wahrscheinlich
Huawei E3272s-153 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E3272s-503 LTE CAT4 12d1:157c 12d1:157c Nichtkompatibel
Huawei E3272s-503 LTE CAT4 12d1:157c 12d1:1506 Unwahrscheinlich
Huawei E3276 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E3276s-150 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E3276s-150 LTE CAT4 12d1:157c 12d1:1506 Unwahrscheinlich
Huawei E3276s-150 Swisscom LTE CAT4 12d1:1597 12d1:1598 Unwahrscheinlich
Huawei E3276s-151 Orange LTE CAT4 12d1:156a 12d1:156c Wahrscheinlich
Huawei E3276s-210 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E3331 HSPA+21.6/5.76
12d1:157d 12d1:157d Nichtkompatibel
Huawei E3331 HSPA+21.6/5.76
12d1:157d 12d1:14db Unwahrscheinlich
Huawei E3372 LTE CAT4 12d1:1f01 12d1:14dc Möglich
Huawei E3372h-153 LTE CAT4 12d1:157d 12d1:157d Nichtkompatibel
Huawei E3372h-153 LTE CAT4 12d1:157d 12d1:14dc Unwahrscheinlich
Huawei E3372s-153 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E3372s-153 LTE CAT4 12d1:15cd 12d1:15cd Nichtkompatibel
Huawei E3372s-153 LTE CAT4 12d1:15cd 12d1:1506 Unwahrscheinlich
Huawei E3531s-1 HSPA+21.6/5.76
12d1:15ca 12d1:1506 Möglich
Huawei E3531s-2 tre IT HSPA+21.6/5.76
12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E3531s-2 Meditel MA HSPA+21.6/5.76
12d1:15ce 12d1:15b1 Unwahrscheinlich
Huawei E3531s-6 HSPA+21.6/5.76
12d1:15cd 12d1:15cd Nichtkompatibel
602 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei E3531s-6 HSPA+21.6/5.76
12d1:15cd 12d1:1506 Unwahrscheinlich
Huawei E3531 HSPA+21.6/5.76
12d1:15e7 12d1:1506 Unwahrscheinlich
Huawei E3772 LTE CAT4 12d1:157d 12d1:157d Nichtkompatibel
Huawei E3772 LTE CAT4 12d1:157d 12d1:14db Unwahrscheinlich
Huawei E5220s-2 AIS TH HSPA+21.6/5.76
12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E5251 tre IT DC-HSPA+42.2/11.5
12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E5330 HSPA+21.6/5.76
12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E5331 HSPA+21.6/5.76
12d1:14fe 12d1:1c1f Möglich
Huawei E5332 HSPA+21.6/5.76
12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E5372 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E5375 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E5377s-32 LTE CAT4 12d1:1f02 12d1:14dc Unwahrscheinlich
Huawei E5756 DC-HSPA+42.2/11.5
12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E5776s-22 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E5776s-32 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E5786 LTE CAT6 12d1: 12d1:1506 Möglich
Huawei E5786s-32a LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E5830 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1401 Wahrscheinlich
Huawei E5830s HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:142d Möglich
Huawei E5832 HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:1401 Möglich
Huawei E5832s HSDPA 7.2HSUPA 5.76
12d1:1446 12d1:142d Möglich
Huawei E8131 HSPA+21.6/5.76
12d1:1f01 12d1:14dc Möglich
Huawei E8231 HSPA+21.6/5.76
12d1:1f01 12d1:14db Wahrscheinlich
Huawei E8278 LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei E8278s-602 LTE CAT4 12d1:1583 12d1:1589 Unwahrscheinlich
Huawei E8372 LTE CAT4 12d1:1f01 12d1:14db Wahrscheinlich
Copyright © 2018 Sophos Limited 603
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei EC27 HSDPA/HSUPA
Unbekannt
Huawei EC121 Reliance CDMA2000 12d1:1411 12d1:1411 Wahrscheinlich
Huawei EC122 CDMA2000 12d1:1446 12d1:140c Wahrscheinlich
Huawei EC150 Reliance CDMA 2000 12d1:1446 12d1:140b Wahrscheinlich
Huawei EC152 CDMA1XHSIA
12d1:1446 12d1:140b Wahrscheinlich
Huawei EC156 CDMA EV-DO Rev.A
12d1:1446 12d1:140b Wahrscheinlich
Huawei EC156 CDMA EV-DO Rev.A
12d1:1505 12d1:140b Wahrscheinlich
Huawei EC159 Reliance CDMA 2000 12d1:1446 12d1:140b Wahrscheinlich
Huawei EC167 CDMA EV-DO Rev.A
12d1:1446 12d1:1001 Wahrscheinlich
Huawei EC168 CDMA EV-DO Rev.A
12d1:1446 12d1:1412 Wahrscheinlich
Huawei EC168 AllTel CDMA EV-DO Rev.A
12d1:1413 12d1:1413 Wahrscheinlich
Huawei EC168C Reliance CDMA EV-DO Rev.A
12d1:1446 12d1:1412 Wahrscheinlich
Huawei EC169 CDMA EV-DO Rev.A
12d1:1001 12d1:1001 Wahrscheinlich
Huawei EC176-2 Smartfren CDMA EV-DO Rev.A
12d1:1505 12d1:140c Möglich
Huawei EC178 CDMA EV-DO Rev.A
12d1:1505 12d1:140c Möglich
Huawei EC189 CDMA EV-DO Rev.A
12d1:1505 12d1:140c Möglich
Huawei EC226 CDMA EV-DO Rev.A
12d1:1001 12d1:1001 Wahrscheinlich
Huawei EC228 CDMA EV-DO Rev.A
12d1:1001 12d1:1001 Wahrscheinlich
Huawei EC306 CDMA EV-DO Rev.B
12d1:1505 12d1:1506 Wahrscheinlich
Huawei EC321 CDMA2000 12d1:1001 12d1:1001 Wahrscheinlich
Huawei EC325 Reliance CDMA2000 12d1:1001 12d1:1001 Wahrscheinlich
Huawei EC328 CDMA2000 Unbekannt
Huawei EC360 CDMA EV-DO Rev.0
12d1:1001 12d1:1001 Wahrscheinlich
Huawei EC500 CDMA EV-DO Rev.A
12d1:1001 12d1:1001 Wahrscheinlich
604 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei EC821 CDMA2000 12d1:1001 12d1:1001 Wahrscheinlich
Huawei EC1260 Reliance HSD Rev.A 12d1:1446 12d1:140b Wahrscheinlich
Huawei EC1260 HSD Rev.A 12d1:1505 12d1:140b Wahrscheinlich
Huawei EC1261 HSD Rev.A 12d1:1446 12d1:140b Wahrscheinlich
Huawei EC1261 HSD Rev.A 12d1:1505 12d1:140b Wahrscheinlich
Huawei EC1262 12d1:1446 12d1:140b Wahrscheinlich
Huawei EC1270 CDMA EV-DO Rev.A
12d1:1446 12d1:140c Wahrscheinlich
Huawei EC1561 MTS 12d1:1505 12d1:140b Wahrscheinlich
Huawei GD01 E-Mobile JP HSPA+21.6/5.76
12d1:1446 12d1:1506 Wahrscheinlich
Huawei GL01P E-Mobile JP HSPA+21.6/5.76
12d1:1f01 12d1:14db Wahrscheinlich
Huawei GP01 E-Mobile JP HSPA+21.6/5.76
12d1:14fe 12d1:1c1e Möglich
Huawei GP02 E-Mobile JP HSPA+21.6/5.76
12d1:1c1b 12d1:1506 Wahrscheinlich
Huawei HWD12 KDDI Jpn LTE CAT4 12d1:1f03 12d1:14db Wahrscheinlich
Huawei K3520 Vodafone HSDPA 7.2HSUPA 5.76
12d1:1520 12d1:1465 Wahrscheinlich
Huawei K3565 Vodafone HSDPA 3.6HSUPA 2.0
12d1:1001 12d1:1001 Wahrscheinlich
Huawei K3565-2 Vodafone HSDPA 7.2HSUPA 2.0
12d1:1003 12d1:1003 Wahrscheinlich
Huawei K3715 Vodafone HSDPA 7.2HSUPA 2.0
12d1:1001 12d1:1001 Wahrscheinlich
Huawei K3765 Vodafone HSDPA 7.2HSUPA 5.76
12d1:1520 12d1:1465 Wahrscheinlich
Huawei K3770 Vodafone HSDPA 7.2HSUPA 2.0
12d1:14d1 12d1:14c9 Wahrscheinlich
Huawei K3771 Vodafone HSDPA 7.2HSUPA 2.0
12d1:14c4 12d1:14ca Wahrscheinlich
Huawei K3772 Vodafone HSDPA 7.2HSUPA 5.76
12d1:1526 12d1: 14cf Wahrscheinlich
Huawei K3773 Vodafone HSDPA 7.2HSUPA 5.76
12d1:1f11 12d1:14bc Wahrscheinlich
Huawei K3806 Vodafone HSPA+14.4/5.76
12d1:14ad 12d1:14ae Wahrscheinlich
Huawei K4201 Vodafone HSPA+21.6/5.76
12d1:1f17 12d1:1f17 Nichtkompatibel
Copyright © 2018 Sophos Limited 605
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei K4201 Vodafone HSPA+21.6/5.76
12d1:1f17 12d1:1576 Wahrscheinlich
Huawei K4202 Vodafone HSPA+21.6/5.76
12d1:1f18 12d1:1f18 Nichtkompatibel
Huawei K4202 Vodafone HSPA+21.6/5.76
12d1:1f18 12d1:1577 Unwahrscheinlich
Huawei K4203 Vodafone HSPA+21.6/5.76
12d1:1f1c 12d1:1f1c Nichtkompatibel
Huawei K4203 Vodafone HSPA+21.6/5.76
12d1:1f1c 12d1:157a Möglich
Huawei K4203 Vodafone HSPA+21.6/5.76
12d1:1f1c 12d1:1590 Möglich
Huawei K4305 Vodafone DC-HSPA+28.8/5.76
12d1:1f15 12d1:1400 Unwahrscheinlich
Huawei K4305 Vodafone DC-HSPA+28.8/5.76
12d1:1f15 12d1:1f15 Nichtkompatibel
Huawei K4305 Vodafone DC-HSPA+28.8/5.76
12d1:1f15 12d1:14f7 Unwahrscheinlich
Huawei K4505 Vodafone DC-HSPA+28.8/5.76
12d1:1521 12d1:1464 Wahrscheinlich
Huawei K4510 Vodafone DC-HSPA+28.8/5.76
12d1:14c5 12d1:14cb Wahrscheinlich
Huawei K4511 Vodafone DC-HSPA+28.8/5.76
12d1:14b7 12d1:14cc Wahrscheinlich
Huawei K4605 Vodafone DC-HSPA+42.2/11.5
12d1:14c1 12d1:14c6 Wahrscheinlich
Huawei K4606 Vodafone DC-HSPA+42.2/11.5
12d1:1f19 12d1:1f19 Nichtkompatibel
Huawei K4606 Vodafone DC-HSPA+42.2/11.5
12d1:1f19 12d1:14fa Unwahrscheinlich
Huawei K4606 Vodafone DC-HSPA+42.2/11.5
12d1:1f19 12d1:1578 Unwahrscheinlich
Huawei K5005 Vodafone LTE CAT3 12d1:14c3 12d1:14c8 Wahrscheinlich
Huawei K5007 Vodafone LTE CAT4 12d1:156a 12d1:156c Wahrscheinlich
Huawei K5150 Vodafone LTE CAT4 12d1:1f16 12d1:14f8 Unwahrscheinlich
Huawei K5150 Vodafone LTE CAT4 12d1:1f16 12d1:1f16 Nichtkompatibel
Huawei K5150 Vodafone LTE CAT4 12d1:1f16 12d1:1575 Unwahrscheinlich
Huawei K5160 Vodafone LTE 4G 12d1:1f1e 12d1:1f1e Nichtkompatibel
Huawei K5160 Vodafone LTE 4G 12d1:1f1e 12d1:157f Unwahrscheinlich
Huawei K5160 Vodafone LTE 4G 12d1:1f1e 12d1:1592 Unwahrscheinlich
606 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei K5188 Vodafone DC-HSPA+28.8/5.76
12d1: 12d1: Unbekannt
Huawei Kxxxx Vodafone LTE 4G 12d1:1f1b 12d1:1579 Nichtkompatibel
Huawei Kxxxx Vodafone LTE 4G 12d1:1f1d 12d1:157b Nichtkompatibel
Huawei ME906E LTE CAT3 - 12d1:1570 Nichtkompatibel
Huawei R201 Vodafone HSDPA 7.2HSUPA 5.76
12d1:1523 12d1:1491 Wahrscheinlich
Huawei R205 Vodafone HSPA+21.6/5.76
12d1:155a 12d1:14cd Wahrscheinlich
Huawei R206 Vodafone HSPA+21.6/5.76
12d1:1527 12d1:1594 Unbekannt
Huawei R206_MR Vodafone HSPA+21.6/5.76
12d1:1f04 12d1:15bc Unwahrscheinlich
Huawei R207 Vodafone HSPA+21.6/5.76
12d1:1f05 12d1:15bd Unwahrscheinlich
Huawei R208 Vodafone DC-HSPA+42.2/5.76
12d1:1581 12d1:1587 Unbekannt
Huawei R210 Vodafone LTE CAT3 12d1:1580 12d1:1585 Unbekannt
Huawei R215 Vodafone LTE CAT4 12d1:1582 12d1:1588 Unwahrscheinlich
Huawei R215_MR Vodafone LTE CAT4 12d1:1f06 12d1:15c7 Unbekannt
Huawei R216 Vodafone LTE CAT4 12d1:1f09 12d1:1c50 Unwahrscheinlich
Huawei R226 Vodafone LTE CAT6 12d1:1f07 12d1:15bf Unwahrscheinlich
Huawei R226 Vodafone LTE CAT6 12d1:1f07 12d1:15c8 Unwahrscheinlich
Huawei S4011 MedionMobile HSDPA 3.6 12d1:1003 12d1:1003 Wahrscheinlich
Huawei SpeedstickLTE
Telekom DE LTE CAT3 12d1:1505 12d1:1506 Wahrscheinlich
Huawei SpeedstickLTE III
Telekom DE LTE CAT4 12d1:14fe 12d1:1506 Wahrscheinlich
Huawei SpeedstickLTE V
Telekom DE LTE CAT4 12d1:15cd 12d1:15cd Nichtkompatibel
Huawei SU-6200 SpeedUp CDMA 12d1:1446 12d1:1001 Wahrscheinlich
Huawei U725 Vodafone 12d1:1009 12d1:1009 Wahrscheinlich
Huawei U2800A 12d1:1805 12d1:1805 Wahrscheinlich
Huawei U6150 12d1:1805 12d1:1805 Wahrscheinlich
Huawei U8110 T-Mobile 12d1:1031 12d1:1035 Wahrscheinlich
Huawei U8220 T-Mobile 12d1:1030 12d1:1034 Wahrscheinlich
Copyright © 2018 Sophos Limited 607
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Huawei UMG366 T-Mobile US HSPA+21.6/5.76
12d1:1446 12d1:1506 Wahrscheinlich
Huawei UMG1691 T-Mobile US HSDPA 12d1:1446 12d1:140c Wahrscheinlich
Huawei UMG1831 T-Mobile US HSPA+21.6/5.76
12d1:1446 12d1:1404 Wahrscheinlich
Huawei UML397 Celluar US LTE Unbekannt
Huawei W5101 Vodafone LTE CAT4 12d1:1583 12d1:1589 Unwahrscheinlich
Infomark IMW-C910W Clear SpotVoyager
19f2:1700 19f2:1700 Unwahrscheinlich
Kyocera KPC650 CDMA 1xEV-DO
0c88:17da 0c88:17da Unwahrscheinlich
Kyocera KPC680 CDMA EV-DO Rev.A
0c88:180a 0c88:180a Unwahrscheinlich
Kyocera W06K CDMA EV-DO Rev.A
0482:024d 0482:024d Möglich
LG L-02C Docomo HSDPA 7.2HSUPA 5.76
1004:61dd 1004:618f Wahrscheinlich
LG L-03D Docomo HSPA+14.4/5.76
1004:6327 1004:6326 Wahrscheinlich
LG L-05A Docomo HSDPA 7.2HSUPA 5.76
1004:613a 1004:6124 Möglich
LG L-07A Docomo HSDPA 7.2HSUPA 5.76
1004:614e 1004:6135 Möglich
LG L-08C Docomo HSDPA 7.2HSUPA 5.76
1004:61eb 1004:61ea Möglich
LG LUU-2100TI AT&T HSDPA 7.2HSUPA 5.76
1004:613f 1004:6141 Möglich
LG LUU-2110TI AT&T HSDPA 7.2HSUPA 5.76
1004:6156 1004:6157 Möglich
Linktop LW272 BSNL 230d:0001 230d:0001 Möglich
Linktop LW272 Teracom 230d:0003 230d:0003 Möglich
Linktop LW272 Visiontek 230d:0007 230d:0007 Möglich
Linktop LW273 BSNL 230d:0001 230d:0001 Möglich
Linktop LW273 Visiontek 230d:0007 230d:0007 Möglich
Linktop IT-ST3G Intex 230d:000d 230d:000d Unwahrscheinlich
Linktop Zoom 3G 230d:0001 230d:0001 Möglich
Linktop Zoom 3G 230d:000b 230d:000b Unwahrscheinlich
Longcheer 3.5G Nuton HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich
Longcheer 4595 Zoom HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9603 Wahrscheinlich
608 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Longcheer 4596 Zoom HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer 4597 Zoom HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9607 Wahrscheinlich
Longcheer CBM-300 ChangBao HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer CBM-400 ChangBao HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer CE200 Capitel CDMA EV-DO
1c9e:9e00 1c9e:9e00 Wahrscheinlich
Longcheer C01LC Softbank HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer C02LC Softbank HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9900 Möglich
Longcheer C5300 Longsung CDMA EV-DO
1c9e:9e00 1c9e:9e00 Wahrscheinlich
Longcheer C5300V Longsung CDMA EV-DO
1c9e:9e00 1c9e:9e00 Wahrscheinlich
Longcheer D01LC Emobile HSDPA 3.6 1c9e: 1c9e: Möglich
Longcheer D02LC Emobile HSDPA 3.6 1c9e: 1c9e: Möglich
Longcheer D11LC Emobile HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich
Longcheer D12LC Emobile HSDPA 7.2HSUPA 5.76
1c9e:9101 1c9e:9104 Unwahrscheinlich
Longcheer D21LC Emobile HSDPA 7.2HSUPA 5.76
1c9e:9401 1c9e:9404 Unwahrscheinlich
Longcheer EU930 Yitong CDMA EV-DO Rev.A
1c9e:6000 1c9e:6000 Unwahrscheinlich
Longcheer HSPA-820 iFox HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich
Longcheer IV-2010u Ivio CDMA EV-DO Rev.A
1c9e:6000 1c9e:6000 Unwahrscheinlich
Longcheer MBD-100HU Mobidata HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich
Longcheer MBD-200HU Mobidata HSDPA 3.6 1c9e:f000 1c9e:9000 Wahrscheinlich
Longcheer MBD-220HU Mobidata HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer MBD-230HU Mobidata HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer MBD-300HU Mobidata HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e: Unbekannt
Longcheer MBD-400HU Mobidata HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer MBD-500HU Mobidata HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer MBD-600HU Mobidata HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9603 Wahrscheinlich
Copyright © 2018 Sophos Limited 609
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Longcheer MBD-700HU Mobidata HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e: Unbekannt
Longcheer MBD-800HU Mobidata HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e: Unbekannt
Longcheer MMX 300G Micromax HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer MMX 310C Micromax CDMA EV-DO
1c9e:9e00 1c9e:9e00 Wahrscheinlich
Longcheer MMX 310G Micromax HSDPA 3.6 1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer MMX 351G Micromax HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9607 Wahrscheinlich
Longcheer MMX 352G Micromax HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer MMX 353G Micromax HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer MMX 372G Micromax HSDPA 7.2HSUPA 5.76
1c9e:f000 Möglich
Longcheer NT36HD Nuton HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich
Longcheer OneTouchX020
Alcatel HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich
Longcheer OneTouchX030
Alcatel HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich
Longcheer PCM100 Prolink CDMA 1xEV-DO Rev.A
1c9e:9d00 1c9e:9d00 Unwahrscheinlich
Longcheer PHS301 Prolink HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer S3gm-646 Solomon HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer S3gm-690 Solomon HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer SEV759 Chong King CDMA 2000 1c9e:3197 1c9e:3197 Unwahrscheinlich
Longcheer SU-7300U SpeedUP CDMA EV-DO
1c9e:9e00 1c9e:9e00 Wahrscheinlich
Longcheer SU-8200U SpeedUP HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich
Longcheer SU-8300U SpeedUP HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich
Longcheer SU-8600U SpeedUP HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer SU-8650U SpeedUP HSDPA 3.6 1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer SU-8900U SpeedUP HSDPA 3.6 1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer SU-9000U SpeedUP HSDPA 7.2HSUPA 2.1
1c9e:f000 1c9e:9000 Wahrscheinlich
Longcheer SU-9500U SpeedUP HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9607 Wahrscheinlich
610 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Longcheer SU-9800U SpeedUP HSPA+14.4/5.76
1c9e:9800 1c9e:9800 Wahrscheinlich
Longcheer TFDG888 Taifeng HSDPA 3.6 1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer TU930 CDMA EV-DO Rev.A
1c9e:6000 1c9e:6000 Unwahrscheinlich
Longcheer TW-3G Telewell HSPA+21.6/5.76
1c9e:98ff 1c9e:9801 Wahrscheinlich
Longcheer USB303 VKOM HSPA+21.6/5.76
1c9e:98ff 1c9e:9801 Wahrscheinlich
Longcheer U12 Flyer HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer U1-TF CSL HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer U3501 I Mobile,TH HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer U6300V Longsung HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer WL72B Omega HSDPA 3.6 1c9e:6061 1c9e:6061 Wahrscheinlich
Longcheer WM66a SmartBro HSDPA 3.6 1c9e:1001 1c9e:6061 Wahrscheinlich
Longcheer WM66e SmartBro HSPA+21.6/5.76
1c9e:98ff 1c9e:9803 Möglich
Longcheer WM669 D-Link HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer WM71 Smartbro HSDPA 3.6 1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer WM72 Smartbro HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer WM81 Mecer HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer X270 Nexon HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9607 Wahrscheinlich
Longcheer XSStick P14 4G Systems HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9605 Wahrscheinlich
Longcheer XSStick TV 4G Systems HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9a00 Möglich
Longcheer XSStick W14 4G Systems HSDPA 7.2HSUPA 5.76
1c9e:f000 1c9e:9603 Wahrscheinlich
Longcheer XSStick W21 4G Systems HSPA+21.6/5.76
1c9e:98ff 1c9e:9801 Wahrscheinlich
Longcheer ZX-200 Alltronix CDMA EV-DO Rev.A
1c9e:6000 1c9e:6000 Unwahrscheinlich
Mediatek DC_1COM 0e8d:0002 0e8d:00a0 Möglich
Mediatek HSDPA 7.2HSUPA 5.76
0e8d:0002 0e8d:00a1 Wahrscheinlich
Copyright © 2018 Sophos Limited 611
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Mediatek HSDPA 7.2HSUPA 5.76
0e8d:0002 0e8d:00a2 Wahrscheinlich
Mediatek DC_5COM 0e8d:0002 0e8d:00a4 Möglich
Mediatek DC_4COM 0e8d:0002 0e8d:00a5 Nichtkompatibel
Mediatek DC_4COM2 0e8d:0002 0e8d:00a7 Möglich
Mediatek S4222 0e8d:0002 0e8d:00a5 Nichtkompatibel
Modmen LM-700r JOA Telecom CDMA EV-DO Rev.A
198a:0003 198a:0002 Wahrscheinlich
Netgear AC778S Virgin US LTE CAT3/CDMA EV-DO
0846:0fff 0846:68d3 Unwahrscheinlich
Netgear AC781S Netgear LTE CAT4 0846:68e1 0846:68e1 Unwahrscheinlich
Netgear AC782S Netgear LTE CAT4 0846:68e1 0846:68e1 Unwahrscheinlich
Netgear AC785S-100 Netgear LTE CAT4 0846:68e1 0846:68e1 Unwahrscheinlich
Netgear AC785S-200 Netgear LTE CAT4 0846:68e1 0846:68e1 Unwahrscheinlich
Nokia CS-10 HSDPA 7.2HSUPA 2.1
0421:060c 0421:060d Unwahrscheinlich
Nokia CS-10 HSDPA 7.2HSUPA 2.1
0421:060c 0421:060e Möglich
Nokia CS-11 HSDPA 7.2HSUPA 5.76
0421:061d 0421:061e Möglich
Nokia CS-11 HSDPA 7.2HSUPA 5.76
0421:061d 0421:061f Unwahrscheinlich
Nokia CS-12 HSPA+14.4/5.76
0421:0618 0421:0619 Möglich
Nokia CS-15 HSDPA 10.2HSUPA 5.76
0421:0610 0421:0611 Unwahrscheinlich
Nokia CS-15 HSDPA 10.2HSUPA 5.76
0421:0610 0421:0612 Möglich
Nokia CS-17 HSPA+14.4/5.76
0421:0622 0421:0623 Möglich
Nokia CS-17 HSPA+14.4/5.76
0421:0622 0421:0624 Unwahrscheinlich
Nokia CS-18 HSPA+21.6/5.76
0421:0627 0421:0629 Möglich
Nokia CS-19 HSPA+21.6/5.76
0421:062c 0421:062d Möglich
Nokia 7M-01 HSDPA 7.2HSUPA 5.76
0421:0632 0421:0632 Möglich
612 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Nokia 7M-02 HSDPA 7.2HSUPA 5.76
0421:0637 0421:0638 Möglich
Nokia 21M-02 HSPA+21.6/5.76
0421:0637 0421:0638 Möglich
Nokia 21M-02 HSPA+21.6/5.76
0421:0639 0421:0639 Unwahrscheinlich
NovatelWireless
C777 CDMA EV-DO Rev.A
1410:6000 1410:6000 Unwahrscheinlich
NovatelWireless
E362 LTE CAT3 1410: 1410:9010 Unwahrscheinlich
NovatelWireless
E371 LTE CAT3 1410: 1410:9011 Unwahrscheinlich
NovatelWireless
E396 HSPA+14.4/5.76
1410: 1410:a021 Unwahrscheinlich
NovatelWireless
E396U HSPA+14.4/5.76
1410: 1410:a023 Unwahrscheinlich
NovatelWireless
EU740 CDMA EV-DO Rev.A
1410:2410 1410:2410 Unwahrscheinlich
NovatelWireless
EU850D HSDPA7.2/2.1
1410:2420 1410:2420 Unwahrscheinlich
NovatelWireless
EU860D HSDPA7.2/2.1
1410:2420 1410:2420 Unwahrscheinlich
NovatelWireless
EU870D HSDPA7.2/2.1
1410:2420 1410:2420 Unwahrscheinlich
NovatelWireless
MC545 DC-HSPA+42.2/5.76
1410:5059 1410:7042 Wahrscheinlich
NovatelWireless
MC547 DC-HSPA+42.2/5.76
1410:5059 1410:7042 Wahrscheinlich
NovatelWireless
MC551 LTE CAT3 1410:b001 1410:b001 Unwahrscheinlich
NovatelWireless
MC679 LTE CAT3 1410:5059 1410:7031 Wahrscheinlich
NovatelWireless
MC727 CDMA EV-DO Rev.A
1410:5010 1410:4100 Wahrscheinlich
NovatelWireless
MC760 CDMA EV-DO Rev.A
1410:5031 1410:6002 Wahrscheinlich
NovatelWireless
MC930D HSDPA7.2/2.1
1410:5010 1410:4400 Wahrscheinlich
NovatelWireless
MC935B HSDPA 7.2HSUPA 5.76
1410:5020 1410:7001 Wahrscheinlich
NovatelWireless
MC935D HSDPA 7.2HSUPA 5.76
1410:5020 1410:7001 Wahrscheinlich
Copyright © 2018 Sophos Limited 613
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
NovatelWireless
MC950D HSDPA7.2/2.1
1410:5010 1410:4400 Wahrscheinlich
NovatelWireless
MC990D HSDPA 7.2HSUPA 5.76
1410:5020 1410:7001 Wahrscheinlich
NovatelWireless
MC996D HSPA+21.6/5.76
1410:5023 1410:7030 Wahrscheinlich
NovatelWireless
MC998D Bell DC-HSPA+28.8/5.76
1410:5010 1410:7030 Wahrscheinlich
NovatelWireless
MiFi 2200 CDMA EV-DO Rev.A
1410:5030 1410:6000 Wahrscheinlich
NovatelWireless
MiFi 2352 HSDPA 7.2HSUPA 5.76
1410:5041 1410:7001 Wahrscheinlich
NovatelWireless
MiFi 2352 Vodafone HSDPA 7.2HSUPA 5.76
1410:5041 1410:7003 Wahrscheinlich
NovatelWireless
MiFi 2372 HSDPA 7.2HSUPA 5.76
1410:5041 1410:7001 Wahrscheinlich
NovatelWireless
MiFi 4082 Sprint CDMA EV-DO Rev.A
1410:5055 1410:6032 Unwahrscheinlich
NovatelWireless
MiFi 4620L Verizon LTE CAT3 1410:b005 1410:b005 Unwahrscheinlich
NovatelWireless
MiFi 5510L Verizon LTE CAT3 1410:b00b 1410:b00b Unwahrscheinlich
NovatelWireless
MiFi 5792 AT&T LTE CAT3 1410:b009 1410:b009 Unwahrscheinlich
NovatelWireless
U547 DC-HSPA+42.2/5.76
1410:5059 1410:7042 Wahrscheinlich
NovatelWireless
U620L LTE CAT4 1410:9020 1410:9020 Unwahrscheinlich
NovatelWireless
U679 LTE CAT3 1410:5059 1410:7031 Wahrscheinlich
NovatelWireless
U720 CDMA EV-DO Rev.A
1410:2110 1410:2110 Unwahrscheinlich
NovatelWireless
U727 CDMA EV-DO Rev.A
1410:5010 1410:4100 Wahrscheinlich
NovatelWireless
U730 CDMA EV-DO Rev.A
1410:1400 1410:1400 Unwahrscheinlich
NovatelWireless
U740 CDMA EV-DO Rev.A
1410:1410 1410:1410 Unwahrscheinlich
NovatelWireless
U760 CDMA EV-DO Rev.A
1410:5030 1410:6000 Wahrscheinlich
NovatelWireless
U950D HSDPA7.2/2.1
1410:5010 1410:4400 Wahrscheinlich
614 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
NovatelWireless
U998 DC-HSPA+28.8/5.76
1410:5010 1410:7030 Wahrscheinlich
NovatelWireless
USB551L Verizon LTE CAT3 1410:b001 1410:b001 Unwahrscheinlich
NovatelWireless
USB1000 Verizon HSPA+14.4/5.76
1410:a001 1410:a001 Unwahrscheinlich
Olivetti Olicard 100 HSDPA7.2/0.38
0b3c:c700 0b3c:c000 Wahrscheinlich
Olivetti Olicard 120 HSDPA7.2/0.38
0b3c:c700 0b3c:c001 Wahrscheinlich
Olivetti Olicard 140 HSDPA 7.2HSUPA 5.76
0b3c:c700 0b3c:c002 Wahrscheinlich
Olivetti Olicard 145 HSDPA 7.2HSUPA 5.76
0b3c:f000 0b3c:c003 Wahrscheinlich
Olivetti Olicard 155 HSDPA 7.2HSUPA 5.76
0b3c:f000 0b3c:c004 Wahrscheinlich
Olivetti Olicard 160 HSDPA 7.2HSUPA 5.76
0b3c:f00c 0b3c:c00a Unwahrscheinlich
Olivetti Olicard 200 HSPA+14.4/5.76
0b3c:f000 0b3c:c005 Möglich
Olivetti Olicard 310 HSPA+21.6/5.76
0b3c: 0b3c: Unbekannt
Olivetti Olicard 315 HSPA+21.6/5.76
0b3c: 0b3c: Unbekannt
Olivetti Olicard 400 DC-HSPA+42.2/11.5
0b3c: 0b3c: Nichtkompatibel
Olivetti Olicard 500 LTE CAT3 0b3c:f017 0b3c:c00b Unwahrscheinlich
Olivetti Olicard 600 LTE CAT3 0b3c: 0b3c: Nichtkompatibel
Olivetti Olicard 700 LTE CAT3 0b3c: 0b3c: Unbekannt
Onda CM201 Coop HSPA+14.4/5.76
1ee8:0063 1ee8:0065 Unwahrscheinlich
Onda FM301 FastWeb HSPA+21.6/5.76
1ee8:0068 1ee8:0069 Möglich
Onda MDC655 Ducati HSPA+14.4/5.76
1ee8:0045 1ee8:0044 Unwahrscheinlich
Onda MDC655 Ducati HSPA+14.4/5.76
1ee8:004a 1ee8:0049 Möglich
Onda MDC655 Ducati HSPA+14.4/5.76
1ee8:004f 1ee8:004e Unwahrscheinlich
Onda MDC835UP Ducati HSPA+14.4/5.76
1ee8:0013 1ee8:0011 Unwahrscheinlich
Copyright © 2018 Sophos Limited 615
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Onda MO835UP Coop HSPA+14.4/5.76
1ee8:0018 1ee8:0017 Unwahrscheinlich
Onda MSA 14.4 TIM BZ HSPA+14.4/5.76
1ee8:0060 1ee8:005f Möglich
Onda MT655 TIM HSPA+14.4/5.76
1ee8:0048 1ee8:0049 Unwahrscheinlich
Onda MT825UP TIM HSPA+14.4/5.76
1ee8:0009 1ee8:000b Möglich
Onda MT833UP TIM HSPA+14.4/5.76
1ee8:0013 1ee8:0014 Möglich
Onda MT835UP TIM HSPA+14.4/5.76
1ee8:0013 1ee8:0014 Möglich
Onda MV815UP Vodafone HSPA+14.4/5.76
1ee8:0003 1ee8:0004 Unwahrscheinlich
Onda MW823UP Wind HSPA+14.4/5.76
1ee8:0009 1ee8:000b Möglich
Onda MW825UP Wind HSPA+14.4/5.76
1ee8:0009 1ee8:000b Möglich
Onda MW833UP Wind HSPA+14.4/5.76
1ee8:0013 1ee8:0012 Möglich
Onda MW835UP Wind HSPA+14.4/5.76
1ee8:0013 1ee8:0014 Möglich
Onda MW836UP Wind HSPA+14.4/5.76
1ee8:0040 1ee8:003e Möglich
Onda MW875UP Wind HSPA+14.4/5.76
1ee8:0054 1ee8:0053 Möglich
Onda PM1051 HSPA+14.4/5.76
1ee8:0007 1ee8:000b Unwahrscheinlich
Onda TM201 TIM HSPA+14.4/5.76
1ee8:0063 1ee8:0064 Möglich
Onda WM301 Wind HSPA+21.6/5.76
1ee8:0068 1ee8:0069 Möglich
OptionWireless
GlobesurferIcon 7.2
HSDPA7.2/0.38
05c6:1000 0af0:6901 Wahrscheinlich
OptionWireless
GlobetrotterIcon 31
HSDPA 0af0:c031 0af0:c031 Möglich
OptionWireless
GlobetrotterIcon 225
HSDPA7.2/0.38
0af0:6911 0af0:6911 Möglich
OptionWireless
GlobetrotterIcon 225
HSDPA7.2/0.38
0af0:6951 0af0:6951 Möglich
OptionWireless
GlobetrotterIcon 225
HSDPA7.2/0.38
0af0:6971 0af0:6971 Möglich
616 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
OptionWireless
GlobetrotterIcon 321
HSPA3.6/1.46
0af0:d031 0af0:d031 Möglich
OptionWireless
GlobetrotterIcon 322
HSPA3.6/1.46
0af0:d033 0af0:d033 Möglich
OptionWireless
GlobetrotterIcon 401
HSDPA7.2/2.0
0af0:7401 0af0:7401 Möglich
OptionWireless
GlobetrotterIcon 411
Vodafone HSDPA7.2/2.0
0af0:7501 0af0:7501 Möglich
OptionWireless
GlobetrotterIcon 431
Vodafone HSDPA7.2/2.0
0af0:7501 0af0:7501 Möglich
OptionWireless
GlobetrotterIcon 451
HSDPA 7.2HSUPA 5.76
0af0:7701 0af0:7701 Möglich
OptionWireless
GlobetrotterIcon 451
HSDPA 7.2HSUPA 5.76
0af0:7706 0af0:7706 Möglich
OptionWireless
GlobetrotterIcon 452
HSDPA7.2/2.0
0af0:7901 0af0:7901 Möglich
OptionWireless
GlobetrotterIcon 461
HSDPA 7.2HSUPA 5.76
0af0:7a01 0af0:7a01 Möglich
OptionWireless
GlobetrotterIcon 461
AT&T HSDPA 7.2HSUPA 5.76
0af0:7a05 0af0:7a05 Möglich
OptionWireless
GlobetrotterIcon 505
HSPA+14.4/5.76
0af0:d055 0af0:d055 Möglich
OptionWireless
GlobetrotterIcon 505
HSPA+14.4/5.76
0af0:d057 0af0:d057 Möglich
OptionWireless
GlobetrotterIcon 515m
Orange UK HSPA+14.4/5.76
0af0:d157 0af0:d157 Möglich
OptionWireless
GlobetrotterIcon 643
HSPA+14.4/5.76
0af0:8700 0af0:8701 Möglich
OptionWireless
GlobetrotterIcon 701
0af0:c100 0af0:c100 Möglich
OptionWireless
GlobetrotterIcon 711
HSPA+21.6/5.76
0af0:4007 0af0:4005 Wahrscheinlich
OptionWireless
GlobetrotterIcon 1215
HSPA+14.4/5.76
0af0:d001 0af0:d255 Unwahrscheinlich
OptionWireless
GlobetrotterIcon 1215
HSPA+14.4/5.76
0af0:d001 0af0:d257 Unwahrscheinlich
OptionWireless
GlobetrotterIcon 1515
HSPA+14.4/5.76
0af0:d001 0af0:d157 Wahrscheinlich
OptionWireless
GlobetrotterIcon XY
HSDPA 7.2HSUPA 5.76
0af0:8300 0af0:8300 Möglich
OptionWireless
GTM378 HSDPA7.2/0.38
0af0:6901 0af0:6901 Unwahrscheinlich
Copyright © 2018 Sophos Limited 617
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
OptionWireless
GTM378E HSDPA7.2/0.38
0af0:6911 0af0:6911 Möglich
OptionWireless
GTM380 HSDPA7.2/2.0
0af0:7201 0af0:7201 Unwahrscheinlich
OptionWireless
GTM380 HSDPA7.2/2.0
0af0:7211 0af0:7211 Möglich
OptionWireless
GTM380 HSDPA7.2/2.0
0af0:7251 0af0:7251 Möglich
OptionWireless
GTM380 HSDPA7.2/2.0
0af0:7271 0af0:7271 Möglich
OptionWireless
GTM382 HSDPA7.2/2.0
0af0:7501 0af0:7501 Möglich
OptionWireless
GTM382 HSDPA7.2/2.0
0af0:7601 0af0:7601 Möglich
OptionWireless
GTM382W HSDPA7.2/2.0
0af0:7601 0af0:7601 Möglich
OptionWireless
GTM501 HSDPA 7.2HSUPA 5.76
0af0:d035 0af0:d035 Möglich
OptionWireless
GTM601 HSPA+14.4/5.76
0af0:8800 0af0:8800 Möglich
OptionWireless
GTM609 HSPA+14.4/5.76
0af0:8800 0af0:8800 Möglich
OptionWireless
GTM661 HSPA+14.4/5.76
0af0:9000 0af0:9000 Möglich
OptionWireless
GTM669 HSPA+14.4/5.76
0af0: 0af0: Unbekannt
OptionWireless
GTM671 HSPA+14.4/5.76
0af0:9200 0af0:9200 Möglich
OptionWireless
GTM679 HSPA+14.4/5.76
0af0:8900 0af0:8900 Möglich
Pirelli 8E4455 Digicom HSDPA 7.2HSUPA 5.76
1266:1000 1266:1009 Wahrscheinlich
Puchuang SEW838 Inovia HSDPA 7.2 20a6:f00e 20a6:1105 Unwahrscheinlich
Puchuang SEW858 Inovia HSDPA 7.2 20a6:f00e 20a6:1105 Unwahrscheinlich
Puchuang SEW868 Inovia HSDPA 7.2 20a6:f00e 20a6:1105 Unwahrscheinlich
Puchuang SEW898 Inovia HSDPA 7.2 20a6:f00e 20a6:1105 Unwahrscheinlich
Puchuang Speed 3.5G Intex HSDPA 7.2HSUPA 5.76
20a6:f00e 20a6:1105 Unwahrscheinlich
Puchuang TE W120 Haier HSDPA 7.2HSUPA 5.76
20a6:f00e 20a6:1105 Unwahrscheinlich
Puchuang TE W130 Haier HSPA+21.6/5.76
20a6:f00e 20a6:1106 Unwahrscheinlich
618 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Qualcomm 3GU A-Link HSDPA3.6/0.38
1e0e:f000 1e0e:9000 Wahrscheinlich
Qualcomm 3GU A-Link HSDPA3.6/0.38
1e0e:f000 1e0e:9100 Möglich
Qualcomm 3GU A-Link HSDPA3.6/0.38
1e0e:f000 1e0e:9200 Wahrscheinlich
Qualcomm CM405 BSNL CDMA 2000 05c6:1000 05c6:3197 Unwahrscheinlich
Qualcomm DWM-151 D-Link HSDPA 7.2HSUPA 5.76
05c6:f000 05c6:9000 Wahrscheinlich
Qualcomm DWM-151 D-Link HSDPA3.6/0.38
1e0e:f000 1e0e:9000 Wahrscheinlich
Qualcomm DWM-162 C1 D-Link CDMA EV-DO
2077:1000 1e0e:ce17 Unwahrscheinlich
Qualcomm DWM-162R D-Link CDMA EV-DO
05c6:2001 1e0e:ce16 Wahrscheinlich
Qualcomm DWM-162U5 D-Link CDMA EV-DO
05c6:2001 1e0e:ce16 Wahrscheinlich
Qualcomm DWM-162U5A1
D-Link CDMA EV-DO
05c6:2001 1e0e:ce1e Wahrscheinlich
Qualcomm E-G03 Promate CDMA 2000 05c6:3100 05c6:3100 Unwahrscheinlich
Qualcomm E-G05 Promate HSDPA3.6/0.38
1e0e:f000 1e0e:9000 Wahrscheinlich
Qualcomm EM600 Simcom CDMA EV-DO
05c6:2001 1e0e:cefe Wahrscheinlich
Qualcomm Icon 210 Option HSDPA3.6/0.38
1e0e:f000 1e0e:9000 Wahrscheinlich
Qualcomm Icon 210 Option HSDPA3.6/0.38
1e0e:f000 1e0e:9200 Wahrscheinlich
Qualcomm LM-75 Siptune HSDPA 7.2HSUPA 5.76
05c6:f000 05c6:9000 Wahrscheinlich
Qualcomm MM-5100 Maxon CDMA 2000 05c6:3100 05c6:3100 Unwahrscheinlich
Qualcomm MM-5500 Maxon CDMA 2000 05c6:3196 05c6:3196 Unwahrscheinlich
Qualcomm MMX 300C Micromax CDMA EV-DO
05c6:2001 1e0e:ce16 Wahrscheinlich
Qualcomm MMX 300C Micromax CDMA EV-DO
05c6:2001 1e0e:cefe Wahrscheinlich
Qualcomm MMX 372G Micromax HSDPA 7.2HSUPA 5.76
05c6:f000 05c6:9000 Wahrscheinlich
Qualcomm MUB417Q Bointec HSDPA3.6/0.38
1e0e:f000 1e0e:9200 Wahrscheinlich
Qualcomm MV241 AxessTel CDMA EV-DO
05c6:0010 05c6:00a0 Wahrscheinlich
Copyright © 2018 Sophos Limited 619
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Qualcomm P2000 Prolink CDMA20001x
05c6:1000 05c6:6000 Wahrscheinlich
Qualcomm PEM330 Prolink HSDPA7.2/5.76
1e0e:f000 1e0e:9a00 Möglich
Qualcomm PHS100 Prolink HSDPA3.6/0.38
1e0e:f000 1e0e:9000 Wahrscheinlich
Qualcomm PHS300 Prolink HSDPA3.6/0.38
1e0e:f000 1e0e:9100 Möglich
Qualcomm SEV-759 StrongRising CDMA 05c6:1000 05c6:6000 Wahrscheinlich
Qualcomm SEV-859 StrongRising CDMA 05c6:1000 05c6:6000 Wahrscheinlich
Qualcomm SG-75 Siemens CDMA 05c6:1000 05c6:6000 Wahrscheinlich
Qualcomm SU-6500U SpeedUP CDMA 2000 05c6:1000 05c6:3197 Unwahrscheinlich
Qualcomm SU-6600U SpeedUP CDMA 2000 05c6:1000 05c6:3197 Unwahrscheinlich
Qualcomm SU-7000U SpeedUP CDMA EV-DO
05c6:2001 1e0e:ce28 Unwahrscheinlich
Qualcomm SU-8100U SpeedUP HSDPA3.6/0.38
1e0e:f000 1e0e:9000 Wahrscheinlich
Qualcomm TR8881 Smartfren CDMA 05c6:1000 05c6:6000 Wahrscheinlich
Qualcomm UC20 Quectel HSPA+14.4/5.76
05c6:9003 05c6:9003 Unwahrscheinlich
Qualcomm UC128 Honest CDMA 05c6:1000 05c6:6000 Wahrscheinlich
Qualcomm VT-80n Venus CDMA EV-DO
05c6:1000 05c6:6500 Unwahrscheinlich
Quanta 1K3M TD-LTE68.0/17.0
0408:ea25 0408:ea26 Wahrscheinlich
Quanta 1K6E LTE CAT3 0408:ea43 0408:ea45 Unwahrscheinlich
Quanta 1KR LTE CAT3 0408:ea17 0408:ea16 Unwahrscheinlich
Quanta GKE HSDPA 3.6 0408:f001 0408:ea05 Unwahrscheinlich
Quanta GLE HSDPA 3.6 0408:f001 0408:ea06 Unwahrscheinlich
Quanta GLX HSDPA 3.6 0408:f001 0408:ea04 Unwahrscheinlich
Quanta M100-1 Megafone LTE CAT3 0408:ea42 0408:ea42 Unwahrscheinlich
Quanta MobileGenie LTE CAT3 0408:ea43 0408:ea47 Unwahrscheinlich
Quanta MU-Q101 HSDPA 3.6 0408:f000 0408:ea02 Möglich
Quanta MU-Q110 HSDPA 3.6 0408:f000 0408:ea03 Möglich
Quanta SU-8500U SpeedUp HSDPA 3.6 0408:f000 0408:ea03 Möglich
Quanta SU-8500U SpeedUp HSDPA 3.6 0408:f001 0408:ea04 Unwahrscheinlich
Quanta TS-1K6 Telsec LTE CAT3 0408:ea43 0408:ea49 Unbekannt
SierraWireless
AC250U Sprint US CDMA 1X,EV-DO
1199:0fff 1199:0301 Wahrscheinlich
620 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
SierraWireless
AC305U AT&T US HSPA+21.6/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC306U Telus CA HSPA+21.6/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC307U HSPA+21.6/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC308U HSPA+21.6/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC309U DNA HSPA+21.6/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC310U Optus AU HSPA+21.6/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC312U Telstra AU DC-HSPA+42.2/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC313U AT&T US LTE CAT3 1199:0fff 0f3d:68aa Möglich
SierraWireless
AC318U O2 HSPA+21.6/5.76
1199:0fff 1199: Nichtkompatibel
SierraWireless
AC319U DC-HSPA+42.2/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC320U AT&T US LTE CAT3 1199:0fff 0f3d:68aa Möglich
SierraWireless
AC326U TNZ NZ HSPA+21.6/5.76
1199:0fff 1199: Möglich
SierraWireless
AC330U AT&T US LTE CAT3 1199:0fff 0f3d:68aa Möglich
SierraWireless
AC340U AT&T US LTE CAT3 1199:0fff 1199:9051 Nichtkompatibel
SierraWireless
AC341U LTE CAT3 1199:0fff 1199:9055 Unwahrscheinlich
SierraWireless
AC341U LTE CAT3 1199:0fff 1199:9057 Unwahrscheinlich
SierraWireless
AC402 Sprint US CDMA EV-DO Rev.A
1199:0fff 1199:0027 Wahrscheinlich
SierraWireless
AC501 HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6880 Möglich
SierraWireless
AC502 HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6880 Möglich
SierraWireless
AC503 Telstra AU HSDPA 7.2HSUPA 5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC504 AT&T US HSDPA 7.2HSUPA 5.76
1199:0fff 1199:68a3 Wahrscheinlich
Copyright © 2018 Sophos Limited 621
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
SierraWireless
AC580 Sprint US CDMA EV-DO Rev.A
1199:0fff 1199:0112 Wahrscheinlich
SierraWireless
AC595 Sprint US CDMA EV-DO Rev.A
1199:0fff 1199:0019 Wahrscheinlich
SierraWireless
AC595U Sprint US CDMA EV-DO Rev.A
1199:0fff 1199:0120 Wahrscheinlich
SierraWireless
AC597E Sprint US CDMA EV-DO Rev.A
1199:0fff 1199:0021 Wahrscheinlich
SierraWireless
AC598U Sprint US CDMA EV-DO Rev.A
1199:0fff 1199:0025 Möglich
SierraWireless
AC753S Bigpond AU DC-HSPA+42.2/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC753S Telstra AU DC-HSPA+42.2/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC754S AT&T US LTE CAT3 1199:0fff 1199:68aa Möglich
SierraWireless
AC754S Rogers US LTE CAT3 1199:0fff 1199:68aa Möglich
SierraWireless
AC760S Bigpond AU LTE CAT3 1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC760S Telstra AU LTE CAT3 1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC762S AT&T US LTE CAT3 1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC763S Bell US LTE CAT3 1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
AC770S AT&T US LTE CAT3 1199:9053 1199:9053 Nichtkompatibel
SierraWireless
AC771S Sprint US LTE CAT3 1199:9053 1199:9053 Nichtkompatibel
SierraWireless
AC875 Sprint US HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6820 Wahrscheinlich
SierraWireless
AC875E Sprint US HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6822 Wahrscheinlich
SierraWireless
AC875U Sprint US HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6812 Wahrscheinlich
SierraWireless
AC875U Sprint US HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6821 Wahrscheinlich
SierraWireless
AC880 HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6850 Wahrscheinlich
SierraWireless
AC880E HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6852 Wahrscheinlich
622 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
SierraWireless
AC880U HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6855 Wahrscheinlich
SierraWireless
AC881 HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6851 Wahrscheinlich
SierraWireless
AC881E HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6853 Wahrscheinlich
SierraWireless
AC881U HSDPA 7.2HSUPA 5.76
1199:0fff 1199:6856 Wahrscheinlich
SierraWireless
AC885E HSDPA 7.2HSUPA 5.76
1199:0fff 1199:6859 Wahrscheinlich
SierraWireless
AC885E HSDPA 7.2HSUPA 5.76
1199:0fff 1199:685a Wahrscheinlich
SierraWireless
AC890 HSDPA 7.2HSUPA 5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
C01SW Softbank JP HSDPA 7.2HSUPA 5.76
1199:0fff 1199:6890 Möglich
SierraWireless
C02SW Softbank JP HSDPA 7.2HSUPA 5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
Compass597
Sprint US CDMA EV-DO Rev.A
1199:0fff 1199:0023 Wahrscheinlich
SierraWireless
Compass885
HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6880 Möglich
SierraWireless
Compass888
HSDPA 7.2HSUPA 5.76
1199:0fff 1199:6890 Möglich
SierraWireless
Compass889
HSDPA 7.2HSUPA 5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
EM5625 CDMA EV-DO Rev.A
1199:0fff 1199:0017 Wahrscheinlich
SierraWireless
EM5725 CDMA EV-DO Rev.A
1199:0fff 1199:0022 Wahrscheinlich
SierraWireless
EM7305 LTE CAT4 1199:9041 1199:9041 Nichtkompatibel
SierraWireless
EM7305 LTE CAT4 1199:9063 1199:9063 Nichtkompatibel
SierraWireless
EM7330 JP LTE CAT4 1199: 1199: Nichtkompatibel
SierraWireless
EM7340 LTE CAT3 1199:a000 1199:a000 Nichtkompatibel
SierraWireless
EM7345 LTE CAT3 1199:a001 1199:a001 Nichtkompatibel
SierraWireless
EM7355 LTE CAT4/EV-DO Rev.A
1199:901f 1199:901f Nichtkompatibel
Copyright © 2018 Sophos Limited 623
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
SierraWireless
EM7700 AT&T US LTE CAT3 1199:0fff 1199:901c Nichtkompatibel
SierraWireless
EM8805 DC-HSPA+42.2/5.76
1199:9041 1199:9041 Nichtkompatibel
SierraWireless
MC5720 HSDPA2.4/0.38
1199:0fff 1199:0018 Wahrscheinlich
SierraWireless
MC5720 HSDPA2.4/0.38
1199:0fff 1199:0218 Wahrscheinlich
SierraWireless
MC5725 CDMA EV-DO Rev.A
1199:0fff 1199:0020 Wahrscheinlich
SierraWireless
MC5725 CDMA EV-DO Rev.A
1199:0fff 1199:0220 Wahrscheinlich
SierraWireless
MC5727 CDMA EV-DO Rev.A
1199:0fff 1199:0024 Wahrscheinlich
SierraWireless
MC5727 CDMA EV-DO Rev.A
1199:0fff 1199:0224 Wahrscheinlich
SierraWireless
MC5728 CDMA EV-DO Rev.A
1199:0fff 1199:0028 Wahrscheinlich
SierraWireless
MC7304 LTE CAT4 1199:68c0 1199:68c0 Möglich
SierraWireless
MC7305 LTE CAT4 1199:9041 1199:9041 Nichtkompatibel
SierraWireless
MC7330 JP LTE CAT4 1199: 1199: Nichtkompatibel
SierraWireless
MC7350 LTE CAT4/EV-DO Rev.A
1199: 1199: Nichtkompatibel
SierraWireless
MC7354 LTE CAT4/EV-DO Rev.A
1199:68c0 1199:68c0 Möglich
SierraWireless
MC7355 LTE CAT4 1199:9041 1199:9041 Nichtkompatibel
SierraWireless
MC7700 LTE CAT3 1199:0fff 0f3d:68a2 Nichtkompatibel
SierraWireless
MC7710 LTE CAT3 1199:0fff 1199:68a2 Nichtkompatibel
SierraWireless
MC7750 LTE CAT3 1199:0fff 1199:68a2 Unwahrscheinlich
SierraWireless
MC7750 LTE CAT3 1199:0fff 1199:68a9 Nichtkompatibel
SierraWireless
MC7750 LTE CAT3 1199:0fff 114f:68a2 Unwahrscheinlich
SierraWireless
MC7770 LTE CAT3 1199:901b 1199:901b Nichtkompatibel
624 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
SierraWireless
MC8305 HSPA+14.4/5.76
1199:0fff 1199:9011 Nichtkompatibel
SierraWireless
MC8355 HSPA+14.4/5.76
1199:0fff 1199:9013 Nichtkompatibel
SierraWireless
MC8700 HSPA+21.6/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
MC8704 HSPA+21.6/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
MC8705 HSPA+21.6/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SierraWireless
MC8705 HSPA+21.6/5.76
1199:0fff 1199:68a5 Wahrscheinlich
SierraWireless
MC8755 HSDPA1.8/0.38
1199:0fff 1199:6802 Wahrscheinlich
SierraWireless
MC8755 HSDPA1.8/0.38
1199:0fff 1199:6804 Wahrscheinlich
SierraWireless
MC8755 HSDPA1.8/0.38
1199:0fff 1199:6808 Wahrscheinlich
SierraWireless
MC8765 HSDPA1.8/0.38
1199:0fff 1199:6803 Wahrscheinlich
SierraWireless
MC8765 HSDPA1.8/0.38
1199:0fff 1199:6805 Wahrscheinlich
SierraWireless
MC8765 HSDPA1.8/0.38
1199:0fff 1199:6809 Wahrscheinlich
SierraWireless
MC8775 HSDPA3.6/0.38
1199:0fff 1199:6813 Wahrscheinlich
SierraWireless
MC8775 HSDPA3.6/0.38
1199:0fff 1199:6815 Wahrscheinlich
SierraWireless
MC8775 HSDPA3.6/0.38
1199:0fff 1199:6816 Wahrscheinlich
SierraWireless
MC8775V HSDPA3.6/0.38
1199:0fff 1199:6812 Wahrscheinlich
SierraWireless
MC8780 HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6832 Wahrscheinlich
SierraWireless
MC8780 HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6834 Wahrscheinlich
SierraWireless
MC8780 HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6838 Wahrscheinlich
SierraWireless
MC8781 HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6833 Wahrscheinlich
SierraWireless
MC8781 HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6835 Wahrscheinlich
Copyright © 2018 Sophos Limited 625
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
SierraWireless
MC8781 HSDPA 7.2HSUPA 2.1
1199:0fff 1199:6839 Wahrscheinlich
SierraWireless
MC8785 HSDPA 7.2HSUPA 5.76
1199:0fff 1199:683a Wahrscheinlich
SierraWireless
MC8785V HSDPA 7.2HSUPA 5.76
1199:0fff 1199:683b Wahrscheinlich
SierraWireless
MC8790 HSDPA 7.2HSUPA 5.76
1199:0fff 1199:683c Wahrscheinlich
SierraWireless
MC8790V HSDPA 7.2HSUPA 5.76
1199:0fff 1199:683c Wahrscheinlich
SierraWireless
MC8791 HSDPA 7.2HSUPA 5.76
1199:0fff 1199:683d Wahrscheinlich
SierraWireless
MC8792V HSDPA 7.2HSUPA 5.76
1199:0fff 1199:683c Wahrscheinlich
SierraWireless
MC8795V HSDPA 7.2HSUPA 5.76
1199:0fff 1199:683c Wahrscheinlich
SierraWireless
MC8801 DC-HSPA+42.2/5.76
1199:0fff 1199:68a3 Wahrscheinlich
SK Teletech UML-295 Pantech LTE 10a9:606f 10a9:6064 Unwahrscheinlich
SK Teletech UML-295 Pantech LTE 10a9:606f 10a9:6074 Unwahrscheinlich
SK Teletech MHS291LVW Pantech LTE 10a9:6080 10a9:6085 Unwahrscheinlich
SonyEricsson
EC400 HSDPA 7.2HSUPA 5.76
0fce:d0df 0fce:d0df Unwahrscheinlich
SonyEricsson
MD300 HSDPA 7.2HSUPA 5.76
0fce:d0cf 0fce:d0cf Unwahrscheinlich
SonyEricsson
MD400 HSDPA 7.2HSUPA 5.76
0fce:d0e1 0fce:d0e1 Unwahrscheinlich
SonyEricsson
MD400G HSDPA 7.2HSUPA 5.76
0fce:d103 0fce:d103 Unwahrscheinlich
ST-Ericsson ABS-T920 04cc:2251 04cc:2259 Unwahrscheinlich
ST-Ericsson ABS-T930 04cc:225c 04cc:225c Möglich
Techfaith Aiko 81D WCDMA 1d09:1021 1d09:1010 Unwahrscheinlich
Techfaith Flying Angel HSDPA 7.2HSUPA2.0
1d09:1025 1d09:1026 Unwahrscheinlich
Techfaith FlyingAngel46
HSDPA 7.2 1d09:1025 1d09:1026 Unwahrscheinlich
Techfaith Flying Lark HSDPA 7.2HSUPA 2.0
1d09:1025 1d09:1026 Unwahrscheinlich
Techfaith Flying Lark46 HSDPA 3.6 1d09:1025 1d09:1026 Unwahrscheinlich
Techfaith LN-72 Leoxsys HSDPA7.2/0.38
1d09:1000 1d09:1010 Unwahrscheinlich
626 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Techfaith SSW03A DongHeXing HSDPA 7.2 1d09:1025 1d09:1026 Unwahrscheinlich
Techfaith Venus VT-18 CDMA EV-DO
05c6:1000 1d09:4306 Unwahrscheinlich
Telit DE910 CDMA EV-DO
1bc7:1010 1bc7:1010 Unwahrscheinlich
Telit HE910 HSPA+21.6/5.76
1bc7:0021 1bc7:0021 Unwahrscheinlich
Telit LE910 LTE CAT3 1bc7:1201 1bc7:1201 Unwahrscheinlich
Telit UE910v2 HSDPA 3.6 1bc7:1012 1bc7:1012 Unwahrscheinlich
Toshiba G450 HSDPA 7.2HSUPA 5.76
0930:0d46 0930:0d45 Wahrscheinlich
TP-Link MA180 HSDPA 7.2HSUPA 5.76
2357:0200 2357:0201 Wahrscheinlich
TP-Link MA180 HSDPA 7.2HSUPA 5.76
2357:0200 2357:0202 Möglich
TP-Link MA180 HSDPA 7.2HSUPA 5.76
2357:0200 2357:0203 Möglich
TP-Link MA260 HSPA+21.6/5.76
2357:f000 2357:9000 Wahrscheinlich
VertexWireless
VWM100 CDMA EV-DO
05c6:1000 1fe7:0100 Möglich
VertexWireless
VWM110 CDMA EV-DO
05c6:1000 1fe7:0100 Möglich
VertexWireless
VWM150 CDMA EV-DO
05c6:1000 1fe7:0100 Möglich
VIA Telecom 3G189C Tenda CDMA EV-DO
15eb:7153 15eb:7152 Wahrscheinlich
VIA Telecom CE610 Haier CDMA EV-DO
15eb:7153 15eb:7152 Wahrscheinlich
Visiontek 3.75G-72 iBall HSDPA 7.2HSUPA 5.76
2020:0002 2020:2000 Wahrscheinlich
Visiontek 82GH VisionTek HSDPA 7.2HSUPA 5.76
2020:f00e 2020:1008 Wahrscheinlich
Visiontek ASB W720 HSDPA 3.6 2020:f00e 2020:1005 Wahrscheinlich
Visiontek BG64 Beetel HSDPA 7.2HSUPA 5.76
2020:0002 2020:2000 Wahrscheinlich
Visiontek MMX 377G Micromax HSPA+14.4/5.76
2020:0002 2020:4010 Nichtkompatibel
Visiontek Olicard 300 Olivetti HSPA+21.6/5.76
2020:0002 2020:4000 Nichtkompatibel
Visiontek RE270 Multilaser HSDPA 7.2HSUPA 5.76
2020:0002 2020:2000 Wahrscheinlich
Copyright © 2018 Sophos Limited 627
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
Visiontek Sense R41 Rostelecom HSPA+21.6/5.76
2020:0002 2020:4000 Nichtkompatibel
Visiontek SU-8000U SpeedUP HSDPA 3.6 2020:f00f 2020:1005 Unwahrscheinlich
Visiontek SU-9300U SpeedUP HSDPA 7.2HSUPA 5.76
2020:f00e 2020:1008 Wahrscheinlich
Visiontek TSU240 Gainwise HSDPA 3.6 2020:f00f 2020:1005 Unwahrscheinlich
Visiontek U1-TF CSL HSDPA 3.6 2020:f00e 2020:1005 Wahrscheinlich
Visiontek U2-TF CSL HSDPA 3.6 2020:f00f 2020:1005 Nichtkompatibel
Visiontek V-MW100 OliveTelecom
HSDPA 7.2HSUPA 5.76
2020:f00e 2020:1008 Wahrscheinlich
Wisue EDGE 733 Hojy CDMA EV-DO
1dbc:8005 1dbc:8005 Unwahrscheinlich
Wisue MD950 Vodafone CDMA EV-DO
1dbc:0005 1dbc:0005 Unwahrscheinlich
Wisue MMX 354G Micromax HSDPA 7.2HSUPA 5.76
1dbc:0669 1dbc:0669 Unwahrscheinlich
Wisue MMX 355G Micromax HSDPA 7.2HSUPA 5.76
1dbc:0669 1dbc:0669 Unwahrscheinlich
ZTE 3G-910 iFox HSDPA3.6/0.38
19d2:2000 19d2:0031 Wahrscheinlich
ZTE 76E Aiko CDMA EV-DO
19d2:fff5 19d2:fffe Wahrscheinlich
ZTE 82D Aiko HSDPA7.2/0.38
19d2:2000 19d2:0001 Wahrscheinlich
ZTE 83D Aiko HSDPA7.2/0.38
19d2:2000 19d2:0057 Möglich
ZTE A353 WCDMA 19d2:0120 19d2:0079 Wahrscheinlich
ZTE A355 WCDMA 19d2:0120 19d2:0079 Wahrscheinlich
ZTE A356 WCDMA 19d2:0120 19d2:0079 Wahrscheinlich
ZTE A365 WCDMA 19d2:0120 19d2:0079 Wahrscheinlich
ZTE A371 WCDMA 19d2:0169 19d2:0170 Wahrscheinlich
ZTE AC560 CDMA EV-DO
19d2:0026 19d2:0094 Wahrscheinlich
ZTE AC580 CDMA EV-DO
19d2:0026 19d2:0094 Wahrscheinlich
ZTE AC581 CDMA EV-DO
19d2:0026 19d2:0094 Wahrscheinlich
ZTE AC582 CDMA EV-DO
19d2:0026 19d2:0152 Wahrscheinlich
628 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
ZTE AC583 CDMA EV-DO
19d2:0026 19d2:0152 Wahrscheinlich
ZTE AC682 CDMA EV-DO
19d2:ffde 19d2:ffdd Wahrscheinlich
ZTE AC2710 CDMA EV-DO
19d2:fff5 19d2:ffff Wahrscheinlich
ZTE AC2726 CDMA EV-DO
19d2:fff5 19d2:fff1 Wahrscheinlich
ZTE AC2736 CDMA EV-DO
19d2:fff5 19d2:fff1 Wahrscheinlich
ZTE AC2737 CDMA EV-DO
19d2:fff5 19d2:fff1 Wahrscheinlich
ZTE AC2738 Reliance CDMA EV-DO
19d2:fff5 19d2:ffe9 Möglich
ZTE AC2746 CDMA EV-DO
19d2:fff5 19d2:fff1 Wahrscheinlich
ZTE AC2766 CDMA EV-DO
19d2:fff5 19d2:fff1 Wahrscheinlich
ZTE AC2787 CDMA EV-DO
19d2:fff5 19d2:fff1 Wahrscheinlich
ZTE AC2791 Reliance CDMA EV-DO
19d2:fff5 19d2:fffe Wahrscheinlich
ZTE AC3781 Cricket CDMA EV-DO
19d2:fff5 19d2:ffe4 Möglich
ZTE AC8700 Reliance CDMA EV-DO
19d2:fff5 19d2:fffe Wahrscheinlich
ZTE AC8710 Reliance CDMA EV-DO
19d2:fff6 19d2:fff1 Möglich
ZTE AC8710 CDMA EV-DO
19d2:fff5 19d2:ffff Wahrscheinlich
ZTE AC8710T CDMA EV-DO
19d2:ffff 19d2:ffff Unwahrscheinlich
ZTE AD3812 HSDPA7.2/2.0
19d2:ffeb 19d2:ffeb Unwahrscheinlich
ZTE K2525-Z Vodafone EDGE 19d2:0040 19d2:0022 Wahrscheinlich
ZTE K3520-Z Onda HSDPA,WCDMA
19d2:2000 19d2:0055 Wahrscheinlich
ZTE K3563-Z Vodafone 19d2:2000 19d2:0052 Wahrscheinlich
ZTE K3565-Z HSDPA3.6/0.38
19d2:2000 19d2:0052 Wahrscheinlich
ZTE K3565-Z Vodafone HSDPA3.6/0.38
19d2:2000 19d2:0063 Wahrscheinlich
Copyright © 2018 Sophos Limited 629
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
ZTE K3570-Z Vodafone HSDPA3.6/0.38
19d2:1007 19d2:1008 Wahrscheinlich
ZTE K3571-Z Vodafone HSDPA7.2/0.38
19d2:1009 19d2:1010 Wahrscheinlich
ZTE K3765-Z Vodafone HSDPA 7.2HSUPA 2.0
19d2:2000 19d2:2002 Wahrscheinlich
ZTE K3770-Z Vodafone HSDPA 7.2HSUPA 2.0
19d2:1175 19d2:1176 Möglich
ZTE K3772-Z Vodafone HSDPA 7.2HSUPA 5.76
19d2:1179 19d2:1181 Wahrscheinlich
ZTE K3805-Z Vodafone HSPA+14.4/5.76
19d2:1001 19d2:1003 Wahrscheinlich
ZTE K3806-Z Vodafone HSPA+14.4/5.76
19d2:1013 19d2:1015 Wahrscheinlich
ZTE K4201-Z Vodafone HSPA+21.6/5.76
19d2:1022 19d2:1023 Nichtkompatibel
ZTE K4201-Z Vodafone HSPA+21.6/5.76
19d2:1022 19d2:1024 Nichtkompatibel
ZTE K4201 I HSPA+21.6/5.76
19d2:1237 19d2:0017 Möglich
ZTE K4203-Z Vodafone HSPA+21.6/5.76
19d2:1046 19d2:1048 Nichtkompatibel
ZTE K4505-Z Vodafone HSPA+21.6/5.76
19d2:0101 19d2:0104 Wahrscheinlich
ZTE K4510-Z Vodafone DC-HSPA+28.8/5.76
19d2:1171 19d2:1173 Wahrscheinlich
ZTE K4607-Z Vodafone DC-HSPA+42.2/5.76
19d2:1038 19d2:1039 Unwahrscheinlich
ZTE K4607-Z Vodafone DC-HSPA+42.2/5.76
19d2:1038 19d2:1040 Unwahrscheinlich
ZTE K5006-Z Vodafone LTE CAT3 19d2:1017 19d2:1018 Wahrscheinlich
ZTE K5008-Z Vodafone LTE CAT3 19d2:1030 19d2:1032 Nichtkompatibel
ZTE MC503HSA Onda HSDPA 7.2HSUPA 2.0
19d2:2000 19d2:0037 Wahrscheinlich
ZTE MC2716 CDMA EV-DO
19d2:ffed 19d2:ffed Unwahrscheinlich
ZTE MC2718 CDMA EV-DO
19d2:ffe8 19d2:ffe8 Unwahrscheinlich
ZTE MDC502HS Onda HSDPA 7.2HSUPA 3.6
19d2:2000 19d2:0002 Wahrscheinlich
ZTE MDC525UPA Onda HSDPA 7.2HSUPA 2.0
19d2:2000 19d2:0037 Wahrscheinlich
630 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
ZTE MF30 HSDPA 7.2HSUPA 5.76
19d2:2000 19d2:0031 Wahrscheinlich
ZTE MF60 HSPA+21.6/5.76
19d2:2000 19d2:1402 Wahrscheinlich
ZTE MF60 HSPA+21.6/5.76
19d2:2004 19d2:1402 Unwahrscheinlich
ZTE MF66 True TH HSPA+21.6/5.76
19d2:1225 19d2:1403 Wahrscheinlich
ZTE MF70 HSPA+21.6/5.76
19d2:1225 19d2:1405 Wahrscheinlich
ZTE MF80 DC-HSPA+42.2/5.76
19d2:2000 19d2:1402 Wahrscheinlich
ZTE MF90 LTE CAT3 19d2:0388 19d2:0447 Unwahrscheinlich
ZTE MF91D LTE CAT3 19d2:0166 19d2:1426 Möglich
ZTE MF93E LTE CAT3 19d2:1225 19d2:1403 Wahrscheinlich
ZTE MF93E LTE CAT3 19d2:1225 19d2:1405 Wahrscheinlich
ZTE MF100 HSDPA3.6/0.38
19d2:2000 19d2:0031 Wahrscheinlich
ZTE MF100 HSDPA3.6/0.38
19d2:2000 19d2:0039 Möglich
ZTE MF110 HSDPA 7.2HSUPA 5.76
19d2:0053 19d2:0031 Wahrscheinlich
ZTE MF110 Movistar HSDPA 7.2HSUPA 5.76
19d2:0083 19d2:0124 Wahrscheinlich
ZTE MF110 HSDPA 7.2HSUPA 5.76
19d2:2000 19d2:0016 Wahrscheinlich
ZTE MF112 HSDPA 7.2HSUPA 2.0
19d2:0103 19d2:0031 Wahrscheinlich
ZTE MF112 HSDPA 7.2HSUPA 2.0
19d2:0103 19d2:0117 Möglich
ZTE MF160J WCDMA 19d2:1542 19d2:1544 Möglich
ZTE MF170 Beeline RU HSDPA3.6/0.38
19d2:2000 19d2:0031 Wahrscheinlich
ZTE MF180 HSDPA3.6/0.38
19d2:2000 19d2:0117 Wahrscheinlich
ZTE MF180 MTC HSDPA3.6/0.38
19d2:2000 19d2:2003 Wahrscheinlich
ZTE MF182 HSPA+21.6/5.76
19d2:1225 19d2:1405 Wahrscheinlich
ZTE MF190 O2 HSDPA 7.2HSUPA 2.0
19d2:0083 19d2:0117 Möglich
Copyright © 2018 Sophos Limited 631
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
ZTE MF190 HSDPA 7.2HSUPA 2.0
19d2:0149 19d2:0124 Wahrscheinlich
ZTE MF190 HSDPA 7.2HSUPA 2.0
19d2:0149 19d2:0124 Wahrscheinlich
ZTE MF190 Tata Docomo HSDPA 7.2HSUPA 2.0
19d2:0154 19d2:1254 Möglich
ZTE MF190 Cell C, SA HSDPA 7.2HSUPA 2.0
19d2:1224 19d2:0082 Wahrscheinlich
ZTE MF190 HSDPA 7.2HSUPA 2.0
19d2:2000 19d2:0017 Wahrscheinlich
ZTE MF190 HSDPA 7.2HSUPA 2.0
19d2:2000 19d2:0042 Möglich
ZTE MF190J HSPA+21.6/5.76
19d2:1536 19d2:1538 Unwahrscheinlich
ZTE MF190J HSPA+21.6/5.76
19d2:1542 19d2:1544 Wahrscheinlich
ZTE MF190S Korea HSPAWCDMA
19d2:0154 19d2:0108 Möglich
ZTE MF192 HSPA+21.6/5.76
19d2:1216 19d2:1217 Möglich
ZTE MF192 HSPA+21.6/5.76
19d2:1216 19d2:1218 Möglich
ZTE MF192 HSPA+21.6/5.76
19d2:1514 19d2:1515 Möglich
ZTE MF192 HSPA+21.6/5.76
19d2:1517 19d2:1519 Möglich
ZTE MF195 HSPA+21.6/5.76
19d2:1210 19d2:1211 Unwahrscheinlich
ZTE MF195 HSPA+21.6/5.76
19d2:1210 19d2:1212 Unwahrscheinlich
ZTE MF195E HSPA+21.6/5.76
19d2:1514 19d2:1515 Möglich
ZTE MF195E HSPA+21.6/5.76
19d2:1580 19d2:1582 Unwahrscheinlich
ZTE MF196 HSPA+21.6/5.76
19d2:1528 19d2:1527 Möglich
ZTE MF197 HSPA+14.4/5.76
19d2:1225 19d2:1405 Wahrscheinlich
ZTE MF200 HSDPA3.6/0.38
19d2: 19d2: Unbekannt
ZTE MF205 HSDPA3.6/0.38
19d2: 19d2: Unbekannt
632 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
ZTE MF210 HSDPA7.2/5.76
19d2:2003 19d2:2003 Unwahrscheinlich
ZTE MF210v1 HSDPA7.2/5.76
19d2:0117 19d2:0117 Unwahrscheinlich
ZTE MF210v2 HSDPA7.2/5.76
19d2:2003 19d2:2003 Unwahrscheinlich
ZTE MF212 HSDPA7.2/5.76
19d2:2003 19d2:2003 Unwahrscheinlich
ZTE MF220 HSPA+14.4/5.76
19d2:1300 19d2:1300 Unwahrscheinlich
ZTE MF260 HSDPA21.6/5.76
19d2: 19d2: Unbekannt
ZTE MF591 T-Mobile HSPA+21.6/5.76
19d2:1523 19d2:1525 Möglich
ZTE MF620 HSDPA7.2/0.38
19d2:2000 19d2:0001 Wahrscheinlich
ZTE MF622 HSDPA7.2/0.38
19d2:2000 19d2:0001 Wahrscheinlich
ZTE MF626 HSDPA3.6/0.38
19d2:2000 19d2:0031 Wahrscheinlich
ZTE MF626 Onda HSDPA3.6/0.38
19d2:2000 19d2:0066 Wahrscheinlich
ZTE MF626 BSNL India HSDPA3.6/0.38
19d2:2000 19d2:0108 Wahrscheinlich
ZTE MF627 HSDPA 7.2HSUPA 5.76
19d2:2000 19d2:0031 Wahrscheinlich
ZTE MF627 AU HSDPA3.6/0.38
19d2:2000 19d2:0064 Wahrscheinlich
ZTE MF628 HSDPA7.2/0.38
19d2:2000 19d2:0015 Wahrscheinlich
ZTE MF631 HSDPA 7.2HSUPA 5.76
19d2:2000 19d2:2003 Wahrscheinlich
ZTE MF632 HSDPA 7.2HSUPA 3.6
19d2:2000 19d2:0002 Wahrscheinlich
ZTE MF633 HSDPA 7.2HSUPA 5.76
19d2:2000 19d2:0031 Wahrscheinlich
ZTE MF636 Telstra AU HSDPA 7.2HSUPA 5.76
19d2:2000 19d2:0031 Wahrscheinlich
ZTE MF636DB Orange UK HSDPA 7.2HSUPA 5.76
19d2:2000 19d2:0033 Möglich
ZTE MF637 Orange FR HSDPA 7.2HSUPA 5.76
19d2:0110 19d2:0121 Wahrscheinlich
Copyright © 2018 Sophos Limited 633
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
ZTE MF637U HSDPA 7.2HSUPA 5.76
19d2:2000 19d2:0002 Wahrscheinlich
ZTE MF638 HSDPA 7.2HSUPA 5.76
19d2:2000 19d2:0037 Wahrscheinlich
ZTE MF645 HSDPA 7.2HSUPA 2.0
19d2:2000 19d2:0086 Möglich
ZTE MF651 HSPA+14.4/5.76
19d2:0115 19d2:0116 Möglich
ZTE MF652 HSPA+14.4/5.76
19d2:1520 19d2:0142 Wahrscheinlich
ZTE MF652 3AT HSPA+14.4/5.76
19d2:1520 19d2:1522 Möglich
ZTE MF656 HSPA+14.4/5.76
19d2:0150 19d2: Unbekannt
ZTE MF662 HSPA+21.6/5.76
19d2:2000 19d2:0017 Wahrscheinlich
ZTE MF667 HSPA+21.6/5.76
19d2:1225 19d2:1405 Wahrscheinlich
ZTE MF667 3 IT HSPA+21.6/5.76
19d2:1232 19d2:1268 Möglich
ZTE MF667C AIS TH HSPA+21.6/5.76
19d2:2000 19d2:0117 Wahrscheinlich
ZTE MF668 CellC SA HSPA+21.6/5.76
19d2:1224 19d2:0082 Wahrscheinlich
ZTE MF668 HSPA+21.6/5.76
19d2:2000 19d2:0017 Wahrscheinlich
ZTE MF668 HSPA+21.6/5.76
19d2:2000 19d2:0082 Möglich
ZTE MF668A HSPA+21.6/5.76
19d2:0150 19d2:0124 Wahrscheinlich
ZTE MF668A Telstra HSPA+21.6/5.76
19d2:2000 19d2:0031 Wahrscheinlich
ZTE MF669 HSPA+21.6/5.76
19d2:1227 19d2:1252 Wahrscheinlich
ZTE MF680 DC-HSPA+42.2/5.76
19d2:0150 19d2:0124 Wahrscheinlich
ZTE MF680 DC-HSPA+42.2/5.76
19d2:2000 19d2:0017 Wahrscheinlich
ZTE MF683 DC-HSPA+42.2/5.76
19d2:2000 19d2:0157 Wahrscheinlich
ZTE MF691 T-Mobile HSPA+21.6/5.76
19d2:1201 19d2:1203 Möglich
634 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
ZTE MF710 HSPA+21.6/5.76
19d2:1588 19d2:1589 Unwahrscheinlich
ZTE MF710 Viettel VN HSPA+21.6/5.76
19d2:1595 19d2:1592 Unwahrscheinlich
ZTE MF710 Viettel VN HSPA+21.6/5.76
19d2:1595 19d2:1600 Nichtkompatibel
ZTE MF710M HSPA+21.6/5.76
19d2:1420 19d2:1403 Unwahrscheinlich
ZTE MF710M HSPA+21.6/5.76
19d2:1420 19d2:1405 Unwahrscheinlich
ZTE MF730M DC-HSPA+42.2/11.5
19d2:1420 19d2:1403 Unwahrscheinlich
ZTE MF730M DC-HSPA+42.2/11.5
19d2:1420 19d2:1405 Unwahrscheinlich
ZTE MF820D LTE CAT3 19d2:0166 19d2:0167 Wahrscheinlich
ZTE MF820S LTE CAT3 19d2:0198 19d2:0199 Unwahrscheinlich
ZTE MF821 Telstra LTE CAT3 19d2:0166 19d2:0257 Möglich
ZTE MF821D LTE CAT3 19d2:0166 19d2:0167 Wahrscheinlich
ZTE MF821D O2 LTE CAT3 19d2:0325 19d2:0326 Wahrscheinlich
ZTE MF821D Telenor No LTE CAT3 19d2:0304 19d2:0349 Unwahrscheinlich
ZTE MF822 LTE CAT3 19d2: 19d2: Unbekannt
ZTE MF823 LTE CAT3 19d2:1225 19d2:1403 Wahrscheinlich
ZTE MF823 LTE CAT3 19d2:1225 19d2:1405 Wahrscheinlich
ZTE MF823 LTE CAT3 19d2:1257 19d2:1257 Nichtkompatibel
ZTE MF823 LTE CAT3 19d2:1257 19d2:1405 Unwahrscheinlich
ZTE MF825A Airtel LTE CAT3 19d2:1225 19d2:1403 Wahrscheinlich
ZTE MF825A Airtel LTE CAT3 19d2:1225 19d2:1408 Wahrscheinlich
ZTE MF825A AirTel LTE CAT3 19d2:1238 19d2:0017 Wahrscheinlich
ZTE MF826 LTE CAT3 19d2:0318 19d2:0317 Unwahrscheinlich
ZTE MF826 LTE CAT3 19d2:0318 19d2:0330 Unwahrscheinlich
ZTE MF827 LTE CAT3 19d2:0388 19d2:0387 Unwahrscheinlich
ZTE MF831 LTE CAT4 19d2:1225 19d2:1403 Unwahrscheinlich
ZTE MF880 LTE CAT3 19d2:0166 19d2:0284 Möglich
ZTE MH600HS Onda HSDPA7.2/0.38
19d2:2000 19d2:0001 Wahrscheinlich
ZTE MSA190UP Onda HSUPA 19d2:2000 19d2:0091 Wahrscheinlich
ZTE MSA405HS Onda HSDPA 7.2HSUPA 2.0
19d2:2000 19d2:0037 Wahrscheinlich
Copyright © 2018 Sophos Limited 635
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
ZTE MSA501HS Onda HSDPA 7.2HSUPA 2.0
19d2:2000 19d2:0037 Wahrscheinlich
ZTE MT191UP Onda HSDPA 7.2HSUPA 5.76
19d2:2000 19d2:0037 Wahrscheinlich
ZTE MT503HS Onda HSUPA 19d2:2000 19d2:0033 Möglich
ZTE MT503HSA Onda HSUPA 19d2:2000 19d2:0024 Möglich
ZTE MT505UP Onda HSUPA 19d2:2000 19d2:0015 Wahrscheinlich
ZTE MT505UP Onda HSUPA 19d2:2000 19d2:0016 Wahrscheinlich
ZTE MT505UP Onda HSUPA 19d2:2000 19d2:0017 Wahrscheinlich
ZTE MT505UP Onda HSUPA 19d2:2000 19d2:0037 Wahrscheinlich
ZTE MT505UP Onda HSUPA 19d2:2000 19d2:0052 Wahrscheinlich
ZTE MT505UP Onda HSUPA 19d2:2000 19d2:0055 Wahrscheinlich
ZTE MT505UP Onda HSPAWCDMA
19d2:2000 19d2:0108 Wahrscheinlich
ZTE MT512HS Onda HSDPA 7.2HSUPA 3.6
19d2:2000 19d2:0002 Wahrscheinlich
ZTE MT689DC Onda DC-HSPA+42.2/5.76
19d2:2000 19d2:0019 Möglich
ZTE MT8205 Onda LTE CAT3 19d2:0266 19d2:0265 Wahrscheinlich
ZTE MU330 19d2:0090 19d2:0034 Unwahrscheinlich
ZTE MU350 TD-SCDMA 19d2:0003 19d2:0003 Wahrscheinlich
ZTE MU351 TD-SCDMA 19d2:0003 19d2:0003 Wahrscheinlich
ZTE MW191UP Onda HSDPA 7.2HSUPA 5.76
19d2:2000 19d2:0016 Wahrscheinlich
ZTE PHS101 Prolink HSDPA 3.6 19d2:2000 19d2:0151 Möglich
ZTE PHS300 Prolink HSDPA 7.2HSUPA 5.76
19d2: 19d2:1253 Unwahrscheinlich
ZTE PHS600 Prolink HSPA+21.6/5.76
19d2: 19d2:1253 Unwahrscheinlich
ZTE R203 Vodafone HSPA+14.4/5.76
19d2:1019 19d2:1021 Unwahrscheinlich
ZTE R203 Vodafone HSPA+14.4/5.76
19d2:1020 19d2:1021 Unwahrscheinlich
ZTE R206-z Vodafone HSPA+21.6/5.76
19d2:1034 19d2:1035 Unwahrscheinlich
ZTE R206-z Vodafone HSPA+21.6/5.76
19d2:1034 19d2:1036 Unwahrscheinlich
ZTE R206-z Vodafone HSPA+21.6/5.76
19d2:1034 19d2:1037 Unwahrscheinlich
636 Copyright © 2018 Sophos Limited
XG Firewall
Manufacturer Model Vendor 3G standard Default ID Modem ID Compatibility
ZTE R209-z Vodafone DC-HSPA+42.2/5.76
19d2:1042 19d2:1043 Unwahrscheinlich
ZTE R212 Vodafone LTE CAT3 19d2:1026 19d2:1027 Unwahrscheinlich
ZTE R212 Vodafone LTE CAT3 19d2:1026 19d2:1028 Unwahrscheinlich
ZTE R212 Vodafone LTE CAT3 19d2:1026 19d2:1029 Unwahrscheinlich
Copyright © 2018 Sophos Limited 637
Anhang F
F Kompatibilität mit SFMOS 15.01.0Bitte beachten Sie, dass für Sophos Firewall Appliances neuer als SFOS 16.01.0, welche überSFMOS 15.01.0 verwaltet werden, folgendes gilt:
• Mit SFMOS 15 können Sie nur Funktionen von SFOS 15 auf Gruppenebene verwalten. UmSFOS 16 Funktionen zu verwalten, verwenden Sie die Geräteebenenansicht von SFMOS 15.
• Die Darstellung der Benutzeroberfläche von SFOS 16 in SFMOS 15 entspricht nicht dertatsächlichen Benutzeroberfläche von SFOS 16.
HinweisSie sehen eine Warnung, während die Geräteebenenansicht einer SFOS 16 Appliance überSFMOS 15 geöffnet wird.
Anhang G
G DatenschutzhinweisCopyright 2016–2017 Sophos Limited. Alle Rechte vorbehalten.
Sophos ist eine eingetragene Marke von Sophos Limited und Sophos Group. Alle anderen Produkt-und Unternehmensbezeichnungen sind Marken oder eingetragene Marken der jeweiligen Inhaber.
Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichertoder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügenentweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit demLizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung desUrheberrechtsinhabers.