Conectar Sophos Firewall con Sophos Central
No es obligatorio conectar un Sophos Firewall con Sophos Central. Un firewall individual puede gestionarse completamente de manera local a través de WebAdmin. Sin embargo, en muchos entornos, vale la pena conectarlo a Sophos Central, ya que proporciona funciones adicionales de gestión, copias de seguridad, informes y seguridad.
Este artículo ayuda a decidir cuándo es útil Sophos Central y cuándo es suficiente la gestión local.
Respuesta breve
Si solo se opera un Sophos Firewall individual localmente y no se desean utilizar las funciones de Central, no es necesario Sophos Central.
Si se gestionan varios firewalls, se desea analizar datos de registros de manera centralizada, almacenar copias de seguridad de configuraciónes en la nube o se utilizan otros productos de Sophos como Sophos Endpoint, Sophos Central ofrece ventajas significativas.
La decisión no debe ser simplemente: conectar o no conectar. Es más importante decidir qué funciones de Central se deben activar realmente. Un firewall puede estar registrado en Sophos Central sin que cada función de gestión, informe o copia de seguridad se utilice de manera productiva.
Ventajas de conectar con Sophos Central
Vista centralizada
En Sophos Central, se pueden ver los firewalls registrados en un solo lugar. Esto es especialmente útil cuando se gestionan varias ubicaciones o dispositivos de la misma organización.
Ventajas típicas:
- Vista de estado de los firewalls
- Números de serie e información de licencias
- Estado de firmware y seguridad
- Informes centralizados
- Cambio rápido entre varios firewalls
Gestión a través de Sophos Central
Con Manage from Sophos Central, se puede acceder a la gestión del firewall a través de Sophos Central. Esto suele ser más seguro que publicar directamente la consola WebAdmin desde Internet.
El acceso de gestión no reemplaza una estrategia administrativa adecuada. Las cuentas de administrador, MFA, roles, Device Access y reglas ACL deben seguir configurándose conscientemente. Según Sophos, Central Firewall Management también requiere una suscripción activa de pago distinta de Base Firewall o un contrato de soporte activo.
Un punto técnico se pasa por alto con frecuencia: Sophos Central solo puede gestionar firewalls si el firewall accede a Internet mediante IPv4. En entornos IPv6-only o muy segmentados, esta ruta debe comprobarse antes de la activación.
Si los cambios a través de Central no llegan a la firewall como se esperaba, también se debe verificar la Sophos Central Firewall Management Task Queue. Allí se puede ver si las políticas de grupo o las tareas de firewall basadas en API están pendientes, han fallado o se han omitido.
Limites de Central Firewall Management
Central Firewall Management es una vía adicional de administración, pero no sustituye por completo la administración local del firewall, los logs locales ni un acceso de emergencia probado. Especialmente con varios administradores, grupos de firewalls y clusters HA, conviene conocer sus límites para no confundir un comportamiento normal de la plataforma con un error de configuración.
- Dos administradores abren el mismo firewall desde Central al mismo tiempo: Central puede quedarse cargando o mostrar un estado inesperado. En ese caso, cerrar sesiones paralelas, esperar unos minutos y comprobar directamente en el WebAdmin local.
- Un rol read-only o helpdesk no ve firewalls agrupados: Probar los roles en Central con cuentas reales antes de usarlos en producción. Algunas vistas o funciones de grupo no son visibles para todos los roles.
- Los pares HA aparecen dos veces o en varias paginas: Segun la vista de Central, los miembros de un cluster HA pueden mostrarse por separado. Para la operacion, el estado HA local sigue siendo determinante.
- Las reglas de firewall no se pueden mover a nivel de grupo como localmente: Las reglas gestionadas por grupos deben planificarse bien. Los cambios de orden o excepciones suelen controlarse mejor directamente en el firewall.
- Grupos importados o reglas WAF se comportan de forma inesperada en Central: Tras importar configuración, hacer Full Sync o importar reglas WAF, comprobar la vista de Central, el firewall de destino y la Task Queue.
En la práctica: después de cambios desde Central, revisar la Task Queue, la vista WebAdmin local, el Log Viewer y, si hace falta, el Audit Trail. Si la interfaz de Central solo carga, un par HA aparece duplicado o una regla de grupo no se puede mover, no tiene por que ser un problema de la regla de firewall.
Copias de seguridad de configuración en Sophos Central
El firewall puede enviar copias de seguridad de configuración a Sophos Central. Esto es útil si se necesita reemplazar o restaurar un dispositivo y no hay copias de seguridad locales disponibles.
En Sophos Central, se pueden configurar copias de seguridad programadas para los firewalls registrados. Los intervalos disponibles son Daily, Weekly y Monthly. Esto permite, por ejemplo, definir que los firewalls seleccionados envíen una copia de seguridad de configuración a Sophos Central diariamente, semanalmente o mensualmente.

Sophos Central no conserva indefinidamente todas las copias de seguridad automáticas. De forma predeterminada, se conservan las cinco copias más recientes y se descartan las anteriores. Además, una copia puede marcarse para conservarse permanentemente. En clústeres HA, Primary y Auxiliary aparecen en la planificación de backup, pero según Sophos solo se genera la copia del dispositivo Primary.
Para la operación importan dos detalles: Sophos Central intenta crear el backup hasta cinco veces y, si falla de forma permanente, genera una alerta y un correo electrónico para el Central admin. Si un firewall se elimina de Sophos Central Management, Sophos Central elimina los archivos de backup asociados. Por eso los backups cloud son útiles, pero no sustituyen una estrategia propia de backup y restore.
Sin embargo, no se debe confiar únicamente en un solo método de copia de seguridad. Para sistemas productivos, siguen siendo útiles las copias de seguridad locales o externas regulares. También son importantes la contraseña de copia de seguridad y la clave maestra de almacenamiento seguro.
Central Firewall Reporting
Con Central Firewall Reporting, el firewall envía datos de registros e informes a Sophos Central. Esto permite evaluar informes durante períodos más largos y realizar búsquedas centralizadas.
En Sophos Central, están disponibles paneles de control, el Report Hub, el Report Generator, plantillas guardadas y exportaciones programadas. Se pueden crear informes para firewalls individuales o múltiples, filtrar períodos de tiempo, buscar eventos específicos y exportar resultados como PDF, CSV o HTML. Para evaluaciones regulares, los informes también se pueden programar y proporcionar automáticamente.

Las plantillas de informes típicas son:
- Antivirus
- Uso de ancho de banda
- Riesgos y uso de aplicaciones en la nube
- Firewall
- IPS
- Visor de registros y búsqueda
- SD-WAN
- Tendencia de SLA de SD-WAN
- Uso de ancho de banda de SD-WAN
- Evaluación de postura de seguridad
- Sincronizar aplicación
- Actividad geográfica de amenazas
- Amenazas y eventos bloqueados
- Uso de VPN
- Uso web
- Riesgos de usuarios web
- X-Ops
- Protección contra día cero
La duración del almacenamiento depende de la licencia:
- Suscripción activa de Firewall: Hasta 7 días Para informes básicos y revisiones cortas
- Xstream Protection / Central Orchestration: Hasta 30 días Dependiendo del paquete y permiso
- Sophos Central Firewall Reporting Advanced: Hasta 365 días 100 GB de almacenamiento adicional por licencia
La activación exacta y la selección de registros se describen en el artículo detallado Activar Central Firewall Reporting.
Synchronized Security y Security Heartbeat
Cuando Sophos Endpoint y Sophos Firewall se operan juntos a través de Sophos Central, se puede utilizar Synchronized Security. En este caso, el firewall y el endpoint intercambian información de seguridad.
Ejemplos:
- El firewall ve el Security Heartbeat de los endpoints.
- Los dispositivos con un Heartbeat rojo pueden ser restringidos automáticamente.
- La vista de red y endpoint se conecta mejor.
- En incidentes, es más rápido ver qué usuario o dispositivo está afectado.
Este es uno de los mayores valores añadidos cuando, además del firewall, también se utiliza Sophos Endpoint, MDR o XDR.
Lo que Sophos Central no reemplaza
Sophos Central es útil, pero no reemplaza una configuración adecuada del firewall.
Central no reemplaza:
- Planificación adecuada de zonas e interfaces
- Reglas de firewall restrictivas
- Endurecimiento de Device Access
- MFA para administradores y portales
- Solución de problemas local con Log Viewer y Packet Capture
- Copias de seguridad documentadas y pruebas de restauración
- Un sistema Syslog externo, si se requiere cumplimiento o almacenamiento prolongado
Por lo tanto, Sophos Central es una capa adicional de gestión e informes, pero no un atajo para una configuración básica segura.
Verificar antes de registrar
Antes de conectar con Sophos Central, se debe aclarar brevemente qué se quiere lograr con el registro. Esto evita responsabilidades poco claras, inquilinos duplicados o servicios innecesariamente activados más adelante.
Preguntas previas importantes:
- ¿En qué tenant de Sophos Central se debe registrar el firewall?
- ¿Quién tiene en el tenant los derechos necesarios para Firewall Management, Reporting, Backup y temas de licencias?
- ¿El firewall ya está registrado en otra cuenta de Central?
- ¿Tiene el firewall una suscripción activa de pago distinta de Base Firewall o un contrato de soporte activo para Central Management?
- ¿Tiene el firewall una conexión IPv4 funcional a Internet?
- ¿Se utilizará Central solo para la vista de licencias e inventario o también para gestión, reporting y backups?
- ¿Se utilizan grupos de firewalls, y se han probado en la práctica los roles de Admin, Helpdesk y Read-only?
- ¿Se pueden enviar logs de firewall a Sophos Central desde el punto de vista de privacidad o cumplimiento?
- ¿Existe un backup local actual y una Secure Storage Master Key documentada?
- ¿Está claro quién revisará las alertas, informes y tareas fallidas después del registro?
Si el firewall ya está en la cuenta incorrecta, primero se debe revisar Transferir Sophos Firewall a otra cuenta de Sophos Central. Para la clasificación de las diferentes cuentas y portales, ayuda Portales de Sophos: SophosID, Central, Soporte y accesos a Firewall.
Cuándo no es necesario conectar el firewall
No es necesario conectar con Sophos Central si:
- solo se gestiona un firewall individual localmente
- no se necesitan informes de Central
- no se planea la integración de Sophos Endpoint
- la gestión en la nube no es deseada por razones organizativas
- los registros ya se envían a un SIEM propio o a un servidor Syslog
En tales casos, se puede operar el firewall localmente. Sin embargo, es importante organizar adecuadamente las copias de seguridad, actualizaciones de firmware, monitoreo y registro de otra manera.
Cuándo es recomendable Sophos Central
Sophos Central es especialmente recomendable si:
- se gestionan varios firewalls
- los administradores trabajan desde diferentes ubicaciones
- los firewalls no deben ser accesibles directamente a través de WebAdmin desde Internet
- se deben almacenar copias de seguridad de configuración de manera centralizada
- se necesitan informes de firewall
- se utilizan Sophos Endpoint, MDR, XDR u otros productos de Sophos Central
- se desea utilizar Security Heartbeat y Synchronized Security
Activar la conexión
La conexión se configura en el firewall bajo System > Sophos Central.
Hay dos métodos de registro típicos:
- OTP desde Sophos Central: útil cuando un partner, equipo de proyecto o admin de firewall no debe trabajar en el firewall con credenciales Super Admin del tenant Central. En Sophos Central, el firewall existente se añade bajo My Products > Firewall Management > Firewalls > Add Firewall mediante su número de serie y se genera un OTP.
- Credenciales de Sophos Central: útil cuando se registra directamente en el firewall con una cuenta de admin adecuada de Sophos Central. Sophos lo denomina Central Super Admin.
En pares HA conviene trabajar con especial cuidado. En el registro con OTP se introducen ambos números de serie en Sophos Central; en pares HA nuevos, el OTP se usa en el dispositivo Primary.
Proceso típico en el firewall:
- Iniciar sesión en el firewall.
- Abrir System > Sophos Central.
- Seleccionar Register.
- Seleccionar Use OTP o Use email address.
- Introducir el OTP o las credenciales de Sophos Central.
- Completar el registro.
- Activar Sophos Central services.
- Seleccionar los servicios deseados.
Según sea necesario, se pueden activar estas opciones:
Use Sophos Central reporting/Send reports and logs to Sophos Central: envía datos de logs e informes a Sophos Central.Use Sophos Central management/Manage from Sophos Central: permite el acceso de gestión a través de Sophos Central.Send configuration backup to Sophos Central: guarda backups de configuración en Sophos Central. En la práctica, esta opción depende del setup de Central Management y debe aprobarse en Sophos Central.
Solo se deben activar las funciones que realmente se utilizarán. En entornos con requisitos de privacidad o cumplimiento, debe aclararse previamente qué datos de logs pueden enviarse a Sophos Central.
Después de activar los servicios, un admin autorizado debe aceptarlos en Sophos Central:
- Iniciar sesión en Sophos Central.
- Abrir My Products > Firewall Management > Firewalls.
- Buscar el firewall con Approval Pending.
- Seleccionar accept-services.
- En el firewall, comprobar si el estado cambia de Waiting for approval from Sophos Central a Managed o conectado.
El cambio de estado puede tardar unos minutos. Si la indicación no cambia de inmediato, no se debe registrar repetidamente. Primero conviene comprobar estado de Central, conexión a Internet, DNS y hora.
Verificar después de la conexión
Después del registro, no solo se debe verificar si el firewall es visible en Sophos Central. Lo importante es si los servicios activados realmente funcionan y si las responsabilidades están claras.
Verificación posterior útil:
- En Sophos Central, verificar si el modelo, número de serie y estado de la licencia se muestran correctamente.
- En el firewall, bajo System > Sophos Central, verificar si los servicios deseados están activos y conectados.
- Si se utiliza Manage from Sophos Central, probar conscientemente el acceso a través de Sophos Central.
- Si el informe está activo, verificar en el Log Viewer y en Sophos Central si llegan eventos actuales.
- Si las copias de seguridad en la nube están activas, configurar la copia de seguridad programada y documentar el último momento exitoso de copia de seguridad.
- Verificar alertas, roles y responsabilidades en Sophos Central.
- Si se distribuyen cambios a través de Central, controlar la Central Firewall Management Task Queue.
Especialmente en el caso de varios firewalls, el registro debe incluirse en la documentación interna: inquilino, número de serie, ubicación, servicio Central activo, retención de informes, intervalo de copia de seguridad y persona responsable.
Validar los servicios de Central por separado
Después del registro no basta con comprobar el estado global de Central. Cada servicio tiene síntomas de error distintos y por eso debe validarse por separado.
- Registro e inventario: el firewall aparece en el tenant correcto, y el número de serie, modelo, licencia y ubicación son correctos.
- Manage from Sophos Central: el acceso mediante Central funciona con el rol de administrador previsto, sin dejar WebAdmin abierto innecesariamente desde WAN.
- Central Reporting: un evento provocado de forma consciente aparece en el Report Hub con el firewall, hora, ID de regla o tipo de log correctos.
- Copias de seguridad de Central: una copia programada o manual finaliza correctamente, y el intervalo, la contraseña y la Secure Storage Master Key están documentados.
- Retención de backups: se conocen las cinco copias Central más recientes y una posible copia guardada permanentemente. En HA está claro que el Primary genera el backup.
- Alertas de backup: los backups Central fallidos generan alertas y correos que revisa una persona responsable.
- Central Tasks: después de un cambio en Central, se revisa la Task Queue hasta que la tarea finaliza correctamente o se escala de forma limpia.
- Alertas y responsabilidad: está claro quién revisa regularmente tareas fallidas, problemas de copia de seguridad, lagunas de reporting y avisos de licencia.
Esta separación evita un error operativo típico: un firewall puede ser visible en Sophos Central mientras el reporting, las copias de seguridad o las tareas de Central no funcionan correctamente.
Errores típicos
El firewall está registrado en la cuenta de Central incorrecta
Esto ocurre frecuentemente con cambios de proveedor, cuentas de prueba o múltiples cuentas históricas de SophosID. En este caso, no se debe intentar simplemente un segundo registro. Primero, aclarar dónde está actualmente el firewall, quién tiene acceso al inquilino y si es necesario un traspaso de cuenta.
Se confunde Central Management con WebAdmin local
Manage from Sophos Central es una vía de acceso adicional. La consola WebAdmin local, los usuarios administradores locales, MFA, Device Access y SSH siguen siendo controles de seguridad independientes. Es especialmente importante que WebAdmin no siga siendo accesible desde el WAN solo porque Central Management aún no se ha probado.
La vista de Central no se valida localmente
Para políticas de grupo, clústeres HA, reglas WAF y tareas de firmware, Central no debe tratarse como la única fuente de verdad. Central puede mostrar que un cambio está planificado, aplicado o visible. Lo decisivo es si el firewall afectado ha procesado el cambio y si el tráfico o servicio real funciona después.
En la práctica: después de cambios en Central, revisar la Task Queue, la vista local de WebAdmin, el Log Viewer y, si es necesario, el Audit Trail. Si la interfaz de Central solo carga, una pareja HA parece duplicada o una regla de grupo no se puede mover, no es automáticamente un problema de regla de firewall.
El informe está activado, pero no llegan datos útiles
Entonces, primero se debe verificar si Send reports and logs to Sophos Central está activo, si los tipos de registros adecuados están activados y si el firewall puede alcanzar Central. Luego, en el artículo Activar Central Firewall Reporting, revisar los puntos detallados sobre selección de registros, retención e informes.
La copia de seguridad en la nube se entiende como la única copia de seguridad
Las copias de seguridad de Central son prácticas, pero no reemplazan una planificación completa de recuperación. Para ubicaciones críticas, también debe estar claro dónde se encuentran las copias de seguridad locales, quién conoce la contraseña de copia de seguridad, si la clave maestra de almacenamiento seguro está documentada y cómo se llevaría a cabo una restauración o reimagen.
Nadie revisa las tareas y alertas de Central
Central solo ayuda si se gestionan las notificaciones y tareas fallidas. Especialmente en políticas de grupo, tareas de firmware, informes y copias de seguridad, debe estar claro quién revisa las advertencias y cómo se escalan internamente los errores.