Sophos Firewall mit Sophos Central verbinden
Eine Sophos Firewall muss nicht zwingend mit Sophos Central verbunden werden. Eine einzelne Firewall kann vollständig lokal über das WebAdmin verwaltet werden. Trotzdem lohnt sich die Verbindung mit Sophos Central in vielen Umgebungen, weil dadurch zusätzliche Management-, Backup-, Reporting- und Sicherheitsfunktionen verfügbar werden.
Dieser Artikel hilft bei der Entscheidung, wann Sophos Central sinnvoll ist und wann eine lokale Verwaltung ausreicht.
Kurzantwort
Wenn man nur eine einzelne Sophos Firewall lokal betreibt und keine Central-Funktionen nutzen möchte, ist Sophos Central nicht zwingend nötig.
Wenn man mehrere Firewalls verwaltet, Logdaten zentral auswerten möchte, Konfigurationsbackups in der Cloud speichern will oder weitere Sophos Produkte wie Sophos Endpoint einsetzt, bringt Sophos Central deutliche Vorteile.
Die Entscheidung sollte aber nicht nur lauten: verbinden oder nicht verbinden. Wichtiger ist, welche Central-Funktionen wirklich aktiviert werden sollen. Eine Firewall kann in Sophos Central registriert sein, ohne dass jede Management-, Reporting- oder Backup-Funktion produktiv genutzt wird.
Vorteile der Verbindung mit Sophos Central
Zentrale Übersicht
In Sophos Central sieht man registrierte Firewalls zentral an einem Ort. Das ist besonders hilfreich, wenn mehrere Standorte oder Appliances derselben Organisation verwaltet werden.
Typische Vorteile:
- Statusübersicht der Firewalls
- Seriennummern und Lizenzinformationen
- Firmware- und Sicherheitsstatus
- zentrale Reports
- schneller Wechsel zwischen mehreren Firewalls
Management über Sophos Central
Mit Manage from Sophos Central kann man über Sophos Central auf die Firewall-Verwaltung zugreifen. Das ist oft sicherer, als die WebAdmin Console direkt aus dem Internet zu veröffentlichen.
Der Management-Zugriff ersetzt aber keine saubere Admin-Strategie. Admin-Konten, MFA, Rollen, Device Access und ACL-Regeln müssen weiterhin bewusst konfiguriert werden. Ausserdem braucht Central Firewall Management laut Sophos eine aktive bezahlte Subscription ausser Base Firewall oder einen aktiven Supportvertrag.
Ein technischer Punkt wird gerne übersehen: Sophos Central kann Firewalls nur verwalten, wenn die Firewall über IPv4 ins Internet kommt. In IPv6-only- oder sehr streng getrennten Umgebungen muss dieser Pfad vor der Aktivierung geprüft werden.
Wenn Änderungen über Central nicht wie erwartet auf der Firewall ankommen, sollte man zusätzlich die Sophos Central Firewall Management Task Queue prüfen. Dort sieht man, ob Gruppenrichtlinien oder API-basierte Firewall-Tasks noch ausstehen, fehlgeschlagen sind oder übersprungen wurden.
Grenzen von Central Firewall Management
Central Firewall Management ist ein zusätzlicher Verwaltungsweg, aber kein vollständiger Ersatz für lokale Firewall-Bedienung, lokale Logs und einen getesteten Notfallzugriff. Gerade bei mehreren Admins, Firewall-Gruppen und HA-Clustern sollte man die wichtigsten Grenzen kennen, damit normale Plattformeffekte nicht als falscher Konfigurationsfehler gesucht werden.
Typische Beobachtungen aus dem Betrieb:
- Zwei Admins öffnen dieselbe Firewall über Sophos Central: Es kann nur eine Central-Manager-Sitzung pro Firewall aktiv sein. Wenn ein zweiter Admin übernimmt, kann der erste eine Lade- oder Verbindungsfehlermeldung sehen.
- Read-only- oder Helpdesk-Rolle sieht gruppierte Firewalls nicht: Bei Firewalls in Central-Gruppen können Leserechte anders wirken als erwartet. Für Betriebsrollen sollte man den Zugriff mit einem Testkonto prüfen.
- HA-Paare erscheinen in Central unerwartet doppelt oder auf mehreren Seiten: Das kann ein Darstellungs- oder Pagination-Thema sein. Für Entscheidungen zählt zusätzlich der lokale HA-Status auf der Firewall.
- Firewall-Regeln lassen sich auf Gruppenebene nicht wie lokal verschieben: Nicht jede lokale WebAdmin-Aktion ist in Central-Gruppen gleich abgebildet. Regelreihenfolge und Wirkung müssen nach Gruppenänderungen lokal validiert werden.
- Importierte Gruppen oder WAF-Regeln verhalten sich in Central unerwartet: Nach Config-Import, Full Sync oder WAF-Regelimport sollte man nicht nur die Central-Ansicht prüfen, sondern auch die Ziel-Firewall und die Task Queue.
Für produktive Umgebungen ist deshalb wichtig: Sophos Central ist der Koordinationspunkt, die Firewall bleibt aber die Stelle, an der man kritische Wirkung validiert. Nach Gruppenänderungen, Firmware-Tasks, WAF-Anpassungen oder HA-Arbeiten sollte man zusätzlich lokal prüfen, ob Regeln, Dienste, HA-Status, Logs und betroffene Verbindungen wirklich passen.
Konfigurationsbackups in Sophos Central
Die Firewall kann Konfigurationsbackups an Sophos Central senden. Das ist nützlich, wenn eine Appliance ersetzt oder wiederhergestellt werden muss und lokale Backups nicht verfügbar sind.
In Sophos Central kann man geplante Backups für registrierte Firewalls einrichten. Als Intervall stehen Daily, Weekly und Monthly zur Verfügung. Damit lässt sich zum Beispiel definieren, dass ausgewählte Firewalls täglich, wöchentlich oder monatlich ein Konfigurationsbackup nach Sophos Central senden.

Sophos Central bewahrt nicht unbegrenzt alle automatischen Backups auf. Standardmässig bleiben die fünf neuesten Backups erhalten; ältere werden verworfen. Ein Backup kann zusätzlich dauerhaft markiert werden. Bei HA-Clustern werden Primary und Auxiliary im Backup-Zeitplan angezeigt, erzeugt wird laut Sophos aber nur das Backup vom Primary-Gerät.
Für den Betrieb sind zwei Details wichtig: Sophos Central versucht ein Backup bis zu fünf Mal und erzeugt bei dauerhaftem Fehlschlag einen Alert sowie eine E-Mail an den Central-Admin. Wird eine Firewall aus Sophos Central Management entfernt, löscht Sophos Central die zugehörigen Backup-Dateien. Cloud-Backups sind deshalb hilfreich, aber kein Ersatz für eine eigene Backup- und Restore-Strategie.
Trotzdem sollte man nicht nur auf eine einzige Backup-Methode setzen. Für produktive Systeme sind regelmässige lokale oder externe Backups weiterhin sinnvoll. Wichtig sind auch Backup-Passwort und Secure Storage Master Key.
Central Firewall Reporting
Mit Central Firewall Reporting sendet die Firewall Log- und Reportdaten an Sophos Central. Dadurch können Reports über längere Zeiträume ausgewertet und zentral gesucht werden.
In Sophos Central stehen dafür Dashboards, der Report Hub, der Report Generator, gespeicherte Templates und geplante Exporte zur Verfügung. Man kann Reports für einzelne Firewalls oder mehrere Firewalls erstellen, Zeiträume filtern, nach bestimmten Ereignissen suchen und Ergebnisse als PDF, CSV oder HTML exportieren. Für regelmässige Auswertungen können Reports zusätzlich geplant und automatisch bereitgestellt werden.

Typische Report Templates sind:
- Antivirus
- Bandwidth usage
- Cloud app risks and usage
- Firewall
- IPS
- Log viewer and search
- SD-WAN
- SD-WAN SLA trend
- SD-WAN bandwidth usage
- Security posture assessment
- Synchronize app
- Threat geo activity
- Threats and events blocked
- VPN usage
- Web usage
- Web user risks
- X-Ops
- Zero-day protection
Die Aufbewahrungsdauer hängt von der Lizenz ab. Typische Werte:
- Aktive Firewall Subscription: Bis zu 7 Tage für grundlegende Reports und kurze Rückblicke.
- Xstream Protection / Central Orchestration: Bis zu 30 Tage, abhängig von Bundle und Berechtigung.
- Sophos Central Firewall Reporting Advanced: Bis zu 365 Tage und 100 GB zusätzlicher Speicher pro Lizenz.
Die genaue Aktivierung und die Log-Auswahl sind im ausführlichen Artikel Central Firewall Reporting aktivieren beschrieben.
Synchronized Security und Security Heartbeat
Wenn Sophos Endpoint und Sophos Firewall gemeinsam über Sophos Central betrieben werden, kann Synchronized Security genutzt werden. Dabei tauschen Firewall und Endpoint Sicherheitsinformationen aus.
Beispiele:
- Die Firewall sieht den Security Heartbeat von Endpoints.
- Geräte mit rotem Heartbeat können automatisch eingeschränkt werden.
- Netzwerk- und Endpoint-Sicht werden besser miteinander verbunden.
- Bei Incidents ist schneller sichtbar, welcher Benutzer oder welches Gerät betroffen ist.
Das ist einer der grössten Mehrwerte, wenn neben der Firewall auch Sophos Endpoint, MDR oder XDR eingesetzt wird.
Was Sophos Central nicht ersetzt
Sophos Central ist hilfreich, ersetzt aber nicht die saubere Firewall-Konfiguration.
Central ersetzt nicht:
- saubere Zonen- und Interface-Planung
- restriktive Firewall-Regeln
- Device Access Hardening
- MFA für Admins und Portale
- lokales Troubleshooting mit Log Viewer und Packet Capture
- dokumentierte Backups und Wiederherstellungstests
- ein externes Syslog-System, wenn Compliance oder lange Aufbewahrung gefordert ist
Sophos Central ist also ein zusätzlicher Management- und Reporting-Layer, aber keine Abkürzung für eine sichere Grundkonfiguration.
Vor der Registrierung prüfen
Vor der Verbindung mit Sophos Central sollte man kurz klären, was mit der Registrierung erreicht werden soll. Das verhindert später unklare Zuständigkeiten, doppelte Tenants oder unnötig aktivierte Dienste.
Wichtige Vorabfragen:
- In welchem Sophos Central Tenant soll die Firewall registriert werden?
- Wer hat im Tenant die nötigen Rechte für Firewall Management, Reporting, Backup und Lizenzthemen?
- Ist die Firewall bereits in einem anderen Central-Konto registriert?
- Hat die Firewall eine aktive bezahlte Subscription ausser Base Firewall oder einen aktiven Supportvertrag für Central Management?
- Hat die Firewall eine funktionierende IPv4-Verbindung ins Internet?
- Soll Central nur für Lizenzübersicht und Inventar genutzt werden oder auch für Management, Reporting und Backups?
- Werden Firewall-Gruppen genutzt, und sind die Rollen für Admin, Helpdesk und Read-only praktisch getestet?
- Dürfen Firewall-Logs aus Datenschutz- oder Compliance-Sicht an Sophos Central gesendet werden?
- Gibt es ein aktuelles lokales Backup und einen dokumentierten Secure Storage Master Key?
- Ist klar, wer nach der Registrierung Alerts, Reports und fehlgeschlagene Tasks prüft?
Wenn die Firewall bereits im falschen Konto liegt, sollte zuerst Sophos Firewall in anderes Sophos Central Konto übertragen geprüft werden. Für die Einordnung der verschiedenen Konten und Portale hilft Sophos Portale: SophosID, Central, Support und Firewall-Zugänge.
Wann man die Firewall nicht verbinden muss
Eine Verbindung mit Sophos Central ist nicht zwingend nötig, wenn:
- nur eine einzelne Firewall lokal verwaltet wird
- keine Central Reports benötigt werden
- keine Sophos Endpoint Integration geplant ist
- Cloud-Management aus organisatorischen Gründen nicht gewünscht ist
- Logs bereits an ein eigenes SIEM oder einen Syslog-Server gesendet werden
In solchen Fällen kann man die Firewall lokal betreiben. Wichtig ist dann aber, Backups, Firmware-Updates, Monitoring und Logging anderweitig sauber zu organisieren.
Wann Sophos Central empfehlenswert ist
Sophos Central ist besonders empfehlenswert, wenn:
- mehrere Firewalls verwaltet werden
- Admins von unterschiedlichen Standorten arbeiten
- Firewalls nicht direkt per WebAdmin aus dem Internet erreichbar sein sollen
- Konfigurationsbackups zentral gespeichert werden sollen
- Firewall Reporting benötigt wird
- Sophos Endpoint, MDR, XDR oder weitere Sophos Central Produkte im Einsatz sind
- Security Heartbeat und Synchronized Security genutzt werden sollen
Verbindung aktivieren
Die Verbindung wird auf der Firewall unter System > Sophos Central eingerichtet.
Es gibt zwei typische Registrierungswege:
- OTP aus Sophos Central: Sinnvoll, wenn ein Partner, Projektteam oder Firewall-Admin nicht mit Super-Admin-Zugangsdaten des Central-Tenants auf der Firewall arbeiten soll. In Sophos Central wird unter My Products > Firewall Management > Firewalls > Add Firewall die vorhandene Firewall per Seriennummer hinzugefügt und ein OTP erzeugt.
- Sophos Central Zugangsdaten: Sinnvoll, wenn man mit einem passenden Sophos-Central-Admin-Konto direkt auf der Firewall registriert. Sophos nennt dafür einen Central Super Admin.
Bei HA-Paaren sollte man besonders sauber arbeiten. Bei der OTP-Registrierung werden beide Seriennummern in Sophos Central eingetragen; bei neuen HA-Paaren wird das OTP auf dem Primary-Gerät verwendet.
Typischer Ablauf auf der Firewall:
- Auf der Firewall anmelden.
- System > Sophos Central öffnen.
- Register auswählen.
- Use OTP oder Use email address auswählen.
- OTP oder Sophos-Central-Zugangsdaten eintragen.
- Registrierung abschliessen.
- Sophos Central services aktivieren.
- Gewünschte Services auswählen.
Je nach Bedarf können diese Optionen aktiviert werden:
Use Sophos Central reporting/Send reports and logs to Sophos Central: sendet Log- und Reportdaten an Sophos Central.Use Sophos Central management/Manage from Sophos Central: erlaubt Management-Zugriff über Sophos Central.Send configuration backup to Sophos Central: speichert Konfigurationsbackups in Sophos Central. Diese Option hängt praktisch am Central-Management-Setup und muss in Sophos Central bestätigt werden.
Es sollten nur die Funktionen aktiviert werden, die wirklich genutzt werden. In Umgebungen mit Datenschutz- oder Compliance-Vorgaben sollte vorher geklärt werden, welche Logdaten an Sophos Central gesendet werden dürfen.
Nach dem Aktivieren der Services muss ein berechtigter Admin in Sophos Central die Services akzeptieren:
- In Sophos Central anmelden.
- My Products > Firewall Management > Firewalls öffnen.
- Firewall mit Approval Pending suchen.
- accept-services auswählen.
- Auf der Firewall prüfen, ob der Status von Waiting for approval from Sophos Central auf Managed beziehungsweise verbunden wechselt.
Der Statuswechsel kann einige Minuten dauern. Wenn die Anzeige nicht sofort springt, sollte man nicht mehrfach registrieren, sondern zuerst Central-Status, Internetverbindung, DNS und Uhrzeit prüfen.
Nach der Verbindung kontrollieren
Nach der Registrierung sollte man nicht nur prüfen, ob die Firewall in Sophos Central sichtbar ist. Entscheidend ist, ob die aktivierten Dienste wirklich funktionieren und ob die Verantwortlichkeiten klar sind.
Sinnvolle Nachkontrolle:
- In Sophos Central prüfen, ob Modell, Seriennummer und Lizenzstatus korrekt angezeigt werden.
- Auf der Firewall unter System > Sophos Central prüfen, ob die gewünschten Services aktiv und verbunden sind.
- Wenn Manage from Sophos Central genutzt wird, den Zugriff über Sophos Central einmal bewusst testen.
- Wenn Reporting aktiv ist, im Log Viewer und in Sophos Central prüfen, ob aktuelle Ereignisse ankommen.
- Wenn Cloud-Backups aktiv sind, geplantes Backup konfigurieren und den letzten erfolgreichen Backup-Zeitpunkt dokumentieren.
- Alerts, Rollen und Zuständigkeiten in Sophos Central prüfen.
- Wenn Änderungen über Central verteilt werden, die Central Firewall Management Task Queue kontrollieren.
Gerade bei mehreren Firewalls sollte die Registrierung in der internen Dokumentation landen: Tenant, Seriennummer, Standort, aktiver Central-Service, Reporting-Aufbewahrung, Backup-Intervall und zuständige Person.
Central-Dienste getrennt abnehmen
Nach der Registrierung sollte nicht nur der globale Central-Status geprüft werden. Die einzelnen Dienste haben unterschiedliche Fehlerbilder und brauchen deshalb eigene Abnahmetests.
- Registrierung und Inventar: Firewall erscheint im richtigen Tenant, Seriennummer, Modell, Lizenz und Standort stimmen.
- Manage from Sophos Central: Zugriff über Central funktioniert mit der vorgesehenen Admin-Rolle, ohne dass WebAdmin unnötig aus dem WAN offen bleibt.
- Central Reporting: Ein bewusst ausgelöstes Ereignis erscheint im Report Hub mit richtiger Firewall, Zeit, Rule ID oder Logtyp.
- Central Backups: Ein geplantes oder manuelles Backup läuft erfolgreich durch, und Backup-Intervall, Passwort und Secure Storage Master Key sind dokumentiert.
- Backup-Aufbewahrung: Die fünf neuesten Central-Backups und ein eventuell dauerhaft gespeichertes Backup sind bekannt. Bei HA ist klar, dass der Primary das Backup erzeugt.
- Backup-Alarmierung: Fehlgeschlagene Central-Backups erzeugen Alerts und E-Mail-Hinweise, die von einer verantwortlichen Person geprüft werden.
- Central Tasks: Nach einer Central-Änderung wird die Task Queue geprüft, bis der Task erfolgreich abgeschlossen oder sauber eskaliert ist.
- Alerts und Zuständigkeit: Es ist klar, wer fehlgeschlagene Tasks, Backup-Probleme, Reporting-Lücken und Lizenzwarnungen regelmässig prüft.
Diese Trennung verhindert einen typischen Betriebsfehler: Eine Firewall kann in Sophos Central sichtbar sein, während Reporting, Backups oder Central Tasks trotzdem nicht korrekt funktionieren.
Typische Fehler
Firewall ist im falschen Central-Konto registriert
Das passiert häufig bei Dienstleisterwechseln, Testaccounts oder mehreren historischen SophosID-Konten. In diesem Fall sollte nicht einfach eine zweite Registrierung versucht werden. Zuerst klären, wo die Firewall aktuell liegt, wer Zugriff auf den Tenant hat und ob ein Account-Transfer nötig ist.
Central Management wird mit lokalem WebAdmin verwechselt
Manage from Sophos Central ist ein zusätzlicher Zugriffsweg. Die lokale WebAdmin Console, lokale Admin-Benutzer, MFA, Device Access und SSH bleiben weiterhin eigenständige Sicherheitskontrollen. Besonders wichtig ist, dass WebAdmin nicht nur deshalb aus dem WAN erreichbar bleibt, weil Central Management noch nicht getestet wurde.
Central-Ansicht wird nicht lokal validiert
Bei Gruppenrichtlinien, HA-Clustern, WAF-Regeln und Firmware-Tasks sollte man Central nicht als einzige Wahrheit behandeln. Central kann anzeigen, dass eine Änderung geplant, angewendet oder sichtbar ist. Entscheidend ist aber, ob die betroffene Firewall die Änderung verarbeitet hat und ob der reale Traffic oder Dienst danach funktioniert.
Praktisch heisst das: Nach Central-Änderungen Task Queue, lokale WebAdmin-Ansicht, Log Viewer und bei Bedarf Audit Trail prüfen. Wenn die Central-Oberfläche nur lädt, ein HA-Paar doppelt wirkt oder eine Gruppenregel nicht verschoben werden kann, ist das nicht automatisch ein Firewall-Regelproblem.
Reporting ist aktiviert, aber es kommen keine verwertbaren Daten an
Dann sollte man zuerst prüfen, ob Send reports and logs to Sophos Central aktiv ist, ob die passenden Logtypen eingeschaltet sind und ob die Firewall Central erreichen kann. Danach im Artikel Central Firewall Reporting aktivieren die Detailpunkte zu Logauswahl, Aufbewahrung und Reports prüfen.
Cloud-Backup wird als einziges Backup verstanden
Central-Backups sind praktisch, aber sie ersetzen keine vollständige Recovery-Planung. Für kritische Standorte sollte zusätzlich klar sein, wo lokale Backups liegen, wer das Backup-Passwort kennt, ob der Secure Storage Master Key dokumentiert ist und wie ein Restore oder Reimage ablaufen würde.
Niemand prüft Central Tasks und Alerts
Central hilft nur, wenn Meldungen und fehlgeschlagene Tasks auch bearbeitet werden. Besonders bei Gruppenrichtlinien, Firmware-Tasks, Reporting und Backups sollte klar sein, wer Warnungen prüft und wie Fehler intern eskaliert werden.