Zum Inhalt springen
Avanet
Sophos Central Firewall Management - Funktionen mit SFOS v18

Sophos Central Firewall Management - Funktionen mit SFOS v18

Die erste Verbindung zwischen Firewall und Sophos Central entstand mit der Einführung von Synchronized Security. Etwas später folgte der Sophos Central Firewall Manager. Der Funktionsumfang dieser ersten Version war allerdings stark eingeschränkt, sodass das Produkt zunächst nur bedingt attraktiv war. Mit SFOS v18 wurde der Central Firewall Manager nun jedoch deutlich ausgebaut.

Info: Wenn Sie alle Neuerungen der kommenden SFOS v18 im Detail kennenlernen möchten, finden Sie hier meinen ausführlichen Beitrag: Sophos SFOS v18: Neue Funktionen im Überblick

Central Firewall Management

Ich persönlich halte den Sophos Central Firewall Manager (SCFM) für ein äusserst gelungenes Werkzeug. Zwar ist der aktuell verfügbare Funktionsumfang noch überschaubar, die dahinterstehende Vision von Sophos ist jedoch beeindruckend. Uns hilft das Tool vor allem dabei, bei Kunden mit mehreren Firewalls den Überblick zu behalten. Auf der UTM-Seite übernimmt diese Aufgabe der Sophos UTM Manager (SUM), für SFOS kann zusätzlich der Sophos Firewall Manager eingesetzt werden. Letzterer ist aus unserer Sicht jedoch nur bedingt geeignet. Betrachtet man die Entwicklung des SCFM, ist es naheliegend, dass der klassische Sophos Firewall Manager mittelfristig abgelöst wird.

Schauen wir uns nun die wichtigsten Basisfunktionen an und wie Sie mit dem Central Firewall Manager starten können.

Firewall verbinden

Damit Sie das Firewall-Management nutzen können, benötigen Sie einen Sophos Central Account. Diesen können Sie kostenlos erstellen, und auch das Firewall-Management selbst ist kostenlos nutzbar. Im Backend der Firewall lässt sich über den Menüpunkt „Central synchronization“ eine Registrierung bei Sophos Central vornehmen. Die Firewall erscheint anschliessend automatisch in Ihrem Central Account.

Sophos Central Firewall Management - mit Central verbinden

Management

In Ihrem Central Account wächst nach und nach eine Liste aller Firewalls, die Sie eingebunden haben. Mit einem Klick auf den Firewall-Namen werden Sie automatisch am Backend der betreffenden Firewall angemeldet und können Ihre Konfigurationen wie gewohnt vornehmen. Die Anmeldung erfolgt zwar etwas langsamer als bei einer direkten Verbindung zur Firewall, ist dafür aber deutlich komfortabler, da kein zusätzliches Login erforderlich ist. Verfügt die Firewall über eine dynamische IP-Adresse? Kein Problem – da die Verbindung von der Firewall zu Central aufgebaut wird, funktioniert dies zuverlässig.

Sophos Central Firewall Management - alle bereits verknüpften Firewalls aufgelistet

Welche Funktionen Ihnen im Central Firewall Manager zur Verfügung stehen, hängt von der installierten Firmware-Version der jeweiligen Firewall ab. Manche Features werden erst ab einem bestimmten Release freigeschaltet.

Firmware-Updates

In der Firewall-Übersicht sehen Sie auf einen Blick, welche Firmware-Version auf den einzelnen Modellen installiert ist. Mit einem Klick auf „Upgrade“ und anschliessend „Upgrade Firmware“ können Sie die neueste verfügbare Version ausrollen.

Sophos Central Firewall Management - Übersicht der aktuellen Firmware-Version
Sophos Central Firewall Management - Firmware aktualisieren

Ich kann es an dieser Stelle nicht oft genug betonen: Betätigen Sie den Update-Button immer mit grösster Vorsicht. Bereiten Sie ein Update sorgfältig vor und informieren Sie sich vorab, welche Änderungen mit der neuen Version einhergehen. Wir erleben immer wieder, dass Firewall-Updates zu leichtfertig eingespielt werden. Mit unseren Firewall-Wartungsverträgen übernehmen wir das Patch-Management für Ihre Firewalls und bewahren Sie so vor unangenehmen Überraschungen. 😎

Online-Backup

Über den Sophos Central Firewall Manager können Sie zudem zeitgesteuerte oder manuelle Backups der Firewall-Konfiguration erstellen. Es ist in jedem Fall empfehlenswert, ein solches Backup-Konzept einzurichten. Bisher konnten Backups manuell von der Firewall heruntergeladen, direkt auf einem FTP-Server gespeichert oder per E-Mail versendet werden.

Trotz dieser Optionen kommt es im Ernstfall immer wieder zu Problemen, wenn ein Backup benötigt wird. Bei Kunden sind uns unter anderem folgende Situationen begegnet:

  • Die E-Mail-Adresse, an die das Backup gesendet wurde, existierte seit Längerem nicht mehr – und die Backups kamen daher nie im Postfach an.
  • Die E-Mail-Protection blockierte die Nachrichten, weil sie von einer dynamischen IP versendet wurden oder der SPF-Eintrag nicht korrekt war.
  • Ein Backup war vorhanden, aber das zugehörige Passwort liess sich nicht mehr rekonstruieren.
  • Ein Backup war vorhanden, war aber bereits stark veraltet.

Sicher lassen sich noch weitere Gründe finden, warum ein Backup im Notfall unbrauchbar sein kann. Viele dieser Risiken werden durch das Online-Backup in Central entschärft. Sie erhalten eine zentrale, verschlüsselte Ablage für Ihre Backups in Sophos Central. Dort sind sie stets auf dem aktuellen Stand und im Notfall sofort verfügbar.

Sophos Central Firewall Management - Backup verwalten

Neue v18 Funktionen

Die oben beschriebenen Funktionen stehen Ihnen bereits ab Version 17.5 zur Verfügung. Im Folgenden betrachten wir die neuen Möglichkeiten, die erst mit SFOS v18 hinzukommen.

Reporting

Früher gab es mit iView ein eigenständiges Sophos-Produkt für zentrales Reporting. Streng genommen existiert die Software noch immer, doch ein seit Jahren nicht weiterentwickeltes Produkt betrachten wir in der Praxis als abgekündigt. Dass Sophos es offiziell noch nicht eingestellt hat, ändert daran wenig. 😅 Für uns hat iView keine Zukunft mehr – seine Idee lebt jedoch im Central Reporting weiter.

Wenn Sie das Reporting auf der Firewall aktivieren, werden die Logdaten an Sophos Central übertragen. Auf Basis dieser Daten lassen sich aussagekräftige Reports erzeugen.

Sophos Central Firewall Management - Central Reporting aktivieren
Sophos Central Firewall Management - Report Dashboard
Sophos Central Firewall Management - Bandbreitenauslastung

Das Central Reporting für die Firewall befindet sich aktuell noch in der Betaphase. Schon der aktuelle Stand vermittelt jedoch einen sehr guten Eindruck davon, was Sie von der finalen Version erwarten können.

Globale Firewall-Einstellungen

In Umgebungen mit vielen Firewalls wird das Management schnell komplex. Bei rund zehn Firewalls lässt sich die Verwaltung meist noch halbwegs manuell bewältigen, ab etwa fünfzig Systemen wird dies jedoch zur echten Herausforderung. Mit v18 lassen sich Firewalls in Central komfortabel gruppieren.

Sophos Central Firewall Management - Firewalls gruppieren

In den Gruppenrichtlinien steht Ihnen eine vertraute Firewall-Oberfläche zur Verfügung, in der Sie zentrale Einstellungen definieren und speichern können. Diese Konfigurationen werden anschliessend auf alle Firewalls in der jeweiligen Gruppe ausgerollt.

Sophos Central Firewall Management - Firewall-Gruppen Aufgabenliste

Auch diese Funktion befindet sich derzeit noch im Betastadium, was sich im Testbetrieb deutlich gezeigt hat. Von einer vollständig ausgereiften Umsetzung ist man noch ein Stück entfernt, und einige Detailfragen sind bislang offen. Grundsätzlich sind wir jedoch überzeugt, dass die globalen Firewall-Einstellungen künftig eine grosse Unterstützung beim Management umfangreicher Firewall-Landschaften sein werden.

Patrizio

Patrizio

Patrizio ist ein erfahrener Netzwerk-Spezialist mit dem Schwerpunkt auf Sophos Firewalls, Switches und Access Points. Er unterstützt Kunden oder deren IT-Abteilung bei der Konfiguration und Migration von Sophos Firewalls und sorgt für eine optimale Netzwerksicherheit durch saubere Segmentierung und Firewall-Regelmanagement.