Zum Inhalt springen
Avanet

Sophos Firewall Application Control einrichten und testen

Sophos Firewall

Application Control auf Sophos Firewall erkennt Anwendungen unabhängig vom reinen Port. Damit lassen sich zum Beispiel Remote-Control-Tools, Tunneling-Anwendungen, Streaming, Cloud Storage, Messenger oder riskante Browser-Umgehungen gezielt erlauben, blockieren oder protokollieren.

Der praktische Nutzen entsteht aber erst, wenn Application Control in der richtigen Firewall-Regel aktiv ist, die Anwendung wirklich erkannt wird und Logs ausgewertet werden. Eine gespeicherte Application Filter Policy allein blockiert noch nichts.

Kurzantwort

Application Control wird in zwei Schritten genutzt:

  1. Unter Protect > Applications > Application filter eine Application Filter Policy planen oder erstellen.
  2. In der passenden Firewall-Regel unter Other security features bei Identify and control applications (App control) auswählen.

Danach muss man mit einem echten Testclient prüfen, ob der Traffic über diese Regel läuft und ob die Anwendung im Log Viewer korrekt erkannt wird. Bei verschlüsseltem Traffic kann TLS Inspection entscheidend sein, weil die Firewall sonst je nach Anwendung weniger Details sieht.

Wann Application Control sinnvoll ist

Application Control ist vor allem dann nützlich, wenn Ports allein nicht genug Aussagekraft haben. Viele Anwendungen verwenden HTTPS, wechselnde Ziele oder Cloud-Infrastruktur. Eine reine Portregel sieht dann nur 443, aber nicht, ob dahinter ein erlaubter Geschäftsdienst, ein Remote-Control-Tool oder ein unerwünschter Cloud-Speicher steckt.

Typische Einsatzfälle:

  • TeamViewer, AnyDesk, Tor oder Proxy-Tools blockieren
  • Streaming oder Social Media in bestimmten Netzen einschränken
  • Cloud Storage kontrollieren
  • Messenger oder Spiele in Gäste- oder Schulnetzen begrenzen
  • Anwendungserkennung für Reporting und Analyse aktivieren
  • Traffic Shaping für erkannte Anwendungen vorbereiten

Wenn es nicht um Erkennung oder Blockierung, sondern um Priorisierung oder Bandbreitenbegrenzung geht, passt zusätzlich Application Traffic Shaping auf Sophos Firewall konfigurieren.

Voraussetzungen

Vor der Konfiguration sollten diese Punkte geprüft werden:

  • passende Lizenz mit Web Protection beziehungsweise Application Control
  • betroffene Firewall-Regel ist bekannt
  • Log firewall traffic ist für die Testregel aktiv
  • gewünschte Anwendung oder Kategorie ist fachlich klar
  • Testclient und Testziel sind definiert
  • bei HTTPS-Anwendungen ist klar, ob TLS Inspection eingesetzt werden soll

Den Lizenzstatus prüft man unter System > Administration > Licensing. In typischen Sophos-Firewall-Bundles mit Web Protection ist Application Control enthalten. Die konkrete Lizenzlogik sollte trotzdem vor produktiver Einführung kontrolliert werden, besonders bei abgelaufenen Subscriptions oder Testlizenzen.

Application Filter planen

Ein guter Application Filter ist nicht einfach eine lange Blockliste. Zuerst sollte klar sein, was erreicht werden soll.

ZielTypischer Ansatz
riskante Remote-Control-Tools blockierengezielte Anwendungen oder Kategorie blockieren
Gäste-WLAN einschränkenunerwünschte Kategorien blockieren, erlaubte Basisdienste offen lassen
Anwendung nur protokollierenzunächst Allow mit Logging und Reports verwenden
False Positive vermeidenengere Anwendungsauswahl statt breite Kategorie
geschäftskritische Anwendung priorisierenApplication Control mit Traffic Shaping kombinieren

Für produktive Netze ist ein Beobachtungsmodus oft sinnvoll: Zuerst Application Control aktivieren, Logs und Reports prüfen, danach gezielt blockieren. So sieht man, welche Anwendungen wirklich vorkommen und ob ein Block legitime Prozesse stören würde.

Rollout in Phasen planen

Application Control sollte nicht in einem grossen Schritt für alle Netze scharf geschaltet werden. Besser ist ein kleiner Rollout mit klarer Testgruppe, sichtbarem Logging und einem definierten Entscheid, wann aus Beobachtung eine Blockierung wird.

Ein praktikabler Ablauf:

PhaseZielTypische Einstellung
Inventarherausfinden, welche Anwendungen tatsächlich vorkommenApplication Filter mit Logging, noch ohne breite Blockierung
Pilotausgewählte Benutzer oder ein Testnetz prüfeneinzelne riskante Anwendungen blockieren, Rule ID und Logs eng kontrollieren
Produktivsetzungbestätigte Policy auf Zielnetz anwendenFilter in produktiver Regel aktivieren, Ausnahmen dokumentieren
BetriebWirkung und Nebenwirkungen überwachenReports, Log Viewer, Central Reporting oder Syslog regelmässig prüfen

Vor der Produktivsetzung sollte klar sein, welche Anwendungen erlaubt bleiben müssen. Dazu gehören oft Update-Dienste, Remote-Support, Collaboration-Tools, Cloud-Speicher, Telefonie oder branchenspezifische Anwendungen. Wenn diese Abhängigkeiten erst nach dem Block sichtbar werden, wirkt Application Control schnell wie ein Störfaktor statt wie eine Schutzfunktion.

Für die Abnahme lohnt sich eine kurze Entscheidungsliste: Welche Anwendung wird blockiert, welche Benutzergruppe ist betroffen, welche Ausnahme ist erlaubt, wer ist fachlicher Owner und wann wird die Policy wieder geprüft? Diese Dokumentation ist wichtiger als ein perfekter erster Filter.

Application Filter erstellen

Menüpfad:

Protect > Applications > Application filter

Vorgehen:

  1. Add öffnen.
  2. Einen sprechenden Namen vergeben, zum Beispiel Block_Remote_Control_Tools.
  3. Eine Regel innerhalb des Filters hinzufügen.
  4. Anwendung, Kategorie, Risiko oder Smart Filter auswählen.
  5. Aktion setzen, zum Beispiel Deny, Allow oder passende Steuerung je nach Version.
  6. Filter speichern.

Bei Kategorien sollte man vorsichtig sein. Eine breite Kategorie kann mehr Anwendungen treffen als erwartet. Für erste Tests sind einzelne Anwendungen oder klar umrissene Gruppen oft besser als ein grosser Sammelblock.

In Firewall-Regel aktivieren

Application Control wirkt erst, wenn der Filter in einer Firewall-Regel ausgewählt ist.

Menüpfad:

Protect > Rules and policies > Firewall rules

Vorgehen:

  1. Die Firewall-Regel öffnen, über die der betroffene Traffic wirklich läuft.
  2. Den Abschnitt Other security features öffnen.
  3. Bei Identify and control applications (App control) den Application Filter auswählen.
  4. Log firewall traffic aktivieren, mindestens für Test und Abnahme.
  5. Regel speichern.
  6. Mit einem definierten Client testen.

Die Regelreihenfolge ist entscheidend. Wenn der Traffic bereits von einer allgemeineren Regel weiter oben verarbeitet wird, erreicht er die Regel mit Application Control nicht. Dann sieht die Konfiguration im WebAdmin korrekt aus, hat aber keine Wirkung.

Die Grundlagen zu Source, Destination, Services, Security Features und Regelreihenfolge stehen in Sophos Firewall-Regeln verstehen und sicher konfigurieren.

TLS Inspection und Erkennung

Application Control kann auch ohne vollständige TLS Inspection bestimmte Anwendungen erkennen. Bei vielen modernen HTTPS- und Cloud-Diensten sieht die Firewall ohne Entschlüsselung aber nur eingeschränkte Informationen wie IP-Adresse, SNI, Zertifikatsdaten, Hostname oder Verbindungsmetadaten.

Das reicht nicht in jedem Fall für zuverlässige Erkennung. Wenn eine Anwendung über HTTPS nicht wie erwartet erkannt wird, sollte man prüfen:

  • läuft der Traffic über die richtige Firewall-Regel?
  • ist Application Control in dieser Regel aktiv?
  • wird die Anwendung grundsätzlich von Sophos erkannt?
  • ist TLS Inspection für diesen Traffic nötig und vertretbar?
  • gibt es QUIC oder HTTP/3, das die Kontrolle erschwert?
  • greifen Web Policy, IPS oder DNS Protection zusätzlich?

TLS Inspection sollte schrittweise und mit Ausnahmen eingeführt werden. Der passende Ablauf steht in Sophos Firewall TLS Inspection richtig einführen. Für QUIC und HTTP/3 passt Sophos Firewall QUIC und HTTP/3 richtig blockieren.

Wirkung testen

Nach dem Aktivieren sollte man nicht nur auf Benutzerfeedback warten. Ein sauberer Test spart viel Zeit.

Praktischer Ablauf:

  1. Testclient und Quell-IP festlegen.
  2. Anwendung bewusst starten oder Ziel aufrufen.
  3. Im Log viewer nach Source-IP, Destination, Service und Anwendung filtern.
  4. Prüfen, welche Firewall Rule ID getroffen wurde.
  5. Prüfen, ob Application Control die Anwendung erkennt.
  6. Bei Block prüfen, ob der Block fachlich gewollt ist.
  7. Bei unklarer Erkennung Packet Capture und Service-Logs ergänzen.

Application Control verwendet im technischen Pfad häufig ips.log. Die Logzuordnung steht in Sophos Firewall Troubleshooting: Services und Logs. Für die Abgrenzung mit Log Viewer und Packet Capture hilft Sophos Firewall Regel testen mit Log Viewer, Policy Test und Packet Capture.

False Positives sauber behandeln

Wenn Application Control legitimen Traffic blockiert, sollte man nicht sofort den ganzen Filter deaktivieren.

Sinnvolle Reihenfolge:

  1. Betroffene Anwendung und Logeintrag dokumentieren.
  2. Prüfen, welche Firewall-Regel und welcher Application Filter beteiligt sind.
  3. Anwendung, Kategorie und Aktion im Filter prüfen.
  4. Prüfen, ob die Anwendung durch TLS Inspection anders erkannt wird.
  5. Ausnahme möglichst eng setzen: Anwendung, Quellnetz, Benutzergruppe oder Ziel.
  6. Owner und Review-Datum für die Ausnahme dokumentieren.

Eine Ausnahme für Any oder eine breite Kategorie löst den aktuellen Fall oft schnell, schwächt aber die Kontrolle dauerhaft. Besser ist eine kleine, nachvollziehbare Ausnahme mit klarer Begründung.

Typische Fehler

FehlerWirkungBesserer Ansatz
Application Filter erstellt, aber nicht in Regel ausgewähltkeine Wirkung auf TrafficFilter in der echten Firewall-Regel aktivieren
Traffic läuft über andere RegelFilter wird nie erreichtRule ID im Log Viewer prüfen
zu breite Kategorie blockiertlegitime Cloud- oder Business-Dienste betroffeneinzelne Anwendungen oder engere Gruppen verwenden
HTTPS-Erkennung überschätztAnwendung wird nicht zuverlässig erkanntTLS Inspection und QUIC-Verhalten prüfen
Logging fehltWirkung bleibt unsichtbarRegel-Logging für Test und Betrieb aktivieren
Ausnahme zu breitSchutzfunktion wird praktisch ausgehebeltAusnahme eng und mit Review-Datum setzen

Betriebscheck

Application Control sollte regelmässig geprüft werden. Anwendungen ändern sich, Cloud-Dienste nutzen neue Endpunkte, Benutzer verwenden neue Tools und Signaturen werden aktualisiert.

Dokumentieren sollte man:

  • Zweck des Application Filters
  • betroffene Firewall-Regeln
  • blockierte oder erlaubte Anwendungen
  • bekannte Ausnahmen
  • fachlicher Owner
  • Review-Datum
  • letzte relevante Änderung

Wenn Application Control für kritische Business-Anwendungen, Schulnetze oder Compliance-Vorgaben eingesetzt wird, sollte zusätzlich Central Reporting, Syslog oder SIEM geprüft werden. Für zentrale Auswertung passt Central Firewall Reporting aktivieren oder Sophos Firewall Syslog und SIEM einrichten.

Checkliste

  • Lizenzstatus geprüft.
  • Betroffene Firewall-Regel eindeutig identifiziert.
  • Application Filter mit klarem Zweck erstellt.
  • Filter in der richtigen Firewall-Regel ausgewählt.
  • Regel-Logging aktiv.
  • Testclient und Testanwendung definiert.
  • Log Viewer auf Rule ID und Application Control geprüft.
  • TLS Inspection und QUIC bewertet, wenn HTTPS-Erkennung unklar ist.
  • Ausnahmen eng dokumentiert.
  • Review-Termin gesetzt.

Häufige Fragen

Wo aktiviert man Application Control auf Sophos Firewall?

Man erstellt oder wählt einen Application Filter unter Protect > Applications > Application filter und aktiviert ihn danach in der passenden Firewall-Regel unter Other security features > Identify and control applications (App control).

Warum greift Application Control nicht?

Häufig läuft der Traffic über eine andere Firewall-Regel, der Application Filter ist nicht in der Regel aktiv, Logging fehlt oder die Anwendung wird ohne TLS Inspection nicht zuverlässig erkannt.

Braucht Application Control TLS Inspection?

Nicht immer. Manche Anwendungen lassen sich auch ohne vollständige Entschlüsselung erkennen. Bei modernen HTTPS- und Cloud-Diensten kann TLS Inspection aber nötig sein, damit die Firewall genug Details sieht.

Ist Application Control dasselbe wie Web Filtering?

Nein. Web Filtering bewertet Webseiten, Kategorien und URLs. Application Control erkennt Anwendungen und Protokolle. In modernen HTTPS-Umgebungen überschneiden sich die Themen, bleiben aber unterschiedliche Kontrollpunkte.

Kann man Application Control für Traffic Shaping nutzen?

Ja. Application Control kann Anwendungen erkennen, die danach priorisiert oder begrenzt werden. Der eigene Ablauf steht in Application Traffic Shaping auf Sophos Firewall konfigurieren.