Zum Inhalt springen
Avanet

Sophos Firewall nach dem Setup Wizard richtig konfigurieren

Sophos Firewall

Nach dem Setup Wizard ist eine Sophos Firewall erreichbar, registriert und grundsätzlich betriebsbereit. Sicher betrieben ist sie damit aber noch nicht. Der Wizard erledigt den Start, nicht die produktive Architektur.

Der Artikel bündelt die Punkte, die nach der Ersteinrichtung geprüft werden sollten: Internetzugang, Registrierung, Lizenzstatus, Firmware, Backup, Zonen, Device Access, DNS, DHCP, Firewall-Regeln, NAT, Logging und erste Hardening-Massnahmen. Er ist als praktische Checkliste für neue XGS-Hardware, virtuelle Firewalls und kleine Migrationen gedacht.

Wenn es um eine Migration von XG auf XGS, Hardware auf virtuell oder ein Restore auf ein Ersatzgerät geht, sollte zusätzlich Sophos Firewall Backup erstellen oder wiederherstellen und Sophos XG vs. XGS: Unterschiede, EOL und Migration geprüft werden.

Schnellpfad nach dem ersten Login

Wenn die Firewall gerade aus dem Wizard kommt, ist nicht jedes Detail gleich dringend. In den ersten 30 Minuten geht es vor allem darum, den Zugang nicht zu verlieren, den Zustand zu sichern und die gröbsten Betriebsrisiken zu erkennen.

Diese Reihenfolge ist für die meisten neuen Installationen sinnvoll:

  1. Admin-Zugang sichern: Passwort, Secure Storage Master Key und zweiten Admin- oder Break-Glass-Zugang dokumentieren.
  2. Lizenz und Registrierung prüfen: Unter Administration > Licensing kontrollieren, ob Modell, Seriennummer, Base License und Subscriptions stimmen.
  3. Backup erstellen: Vor weiteren Änderungen ein manuelles Backup herunterladen und extern ablegen.
  4. Firmware und Pattern prüfen: Firmwarestand, Hotfixes und Pattern Updates kontrollieren, aber Updates nur mit Wartungsfenster und Rollback-Plan installieren.
  5. Device Access begrenzen: WebAdmin und SSH nicht breit aus Client-, Gast-, IoT- oder WAN-Zonen erreichbar lassen.
  6. Zonen und Interfaces plausibilisieren: WAN, LAN, VLANs, Bridges, Management-Netz und spätere Sicherheitszonen gegen den Netzwerkplan prüfen.
  7. Default-Regeln bewerten: Erste Firewall- und NAT-Regeln nicht als fertiges Sicherheitsdesign übernehmen.
  8. Logging aktivieren: Bei wichtigen Regeln Log firewall traffic einschalten, damit spätere Tests im Log Viewer nachvollziehbar sind.

Erst wenn diese Punkte sauber sind, sollte produktiver Traffic, Remote Access, WAF, SD-WAN, RED oder TLS Inspection aufgebaut werden. Sonst wird die Fehlersuche später unnötig schwierig, weil unklar ist, ob ein Problem aus der Grundkonfiguration, einer Sicherheitsfunktion oder einer Anwendung kommt.

Welcher Setup-Artikel passt?

Nach dem Wizard verzweigt die Arbeit schnell in mehrere Bereiche. Für neue Firewalls ist diese Reihenfolge sinnvoll:

SituationBesserer Einstieg
Ersteinrichtung direkt nach dem Wizard strukturierenDieser Artikel
Firewall mit Sophos Central verbinden oder Grenzen von Central verstehenSophos Firewall mit Sophos Central verbinden
Lizenzstatus, Base License und Subscriptions einordnenSophos Firewall Base License verstehen
Vor dem ersten Change Backup und Restore vorbereitenSophos Firewall Backup erstellen oder wiederherstellen
WebAdmin, SSH, User Portal oder VPN Portal absichernSophos Firewall Zugriff absichern: Device Access richtig konfigurieren
Zonen, Interfaces, VLANs oder Bridges sauber planenSophos Firewall Zonen und Interfaces konfigurieren
Erste Firewall- und NAT-Regeln verstehenSophos Firewall-Regeln verstehen und richtig konfigurieren
DNS, DHCP oder interne Namensauflösung nachziehenDNS Request Routes auf Sophos Firewall konfigurieren
Logs, Reporting und längere Aufbewahrung planenCentral Firewall Reporting aktivieren
Security-Findings nach SFOS 22 priorisierenSophos Firewall Health Check richtig nutzen
Firmware-Update oder SFOS-22-Upgrade vorbereitenSophos Firewall vor SFOS 22 Upgrade prüfen

Diese Trennung ist wichtig, weil ein erfolgreicher Wizard noch keine fertige Sicherheitsarchitektur bedeutet. Vor produktivem Traffic sollten Managementzugriff, Backup, Lizenz, Zonen, Regeln, Logging und Schutzfunktionen bewusst geprüft werden.

Voraussetzungen für die Einrichtung

Vor der Einrichtung sollte klar sein, wie die Firewall in das Netzwerk eingebunden wird. Viele spätere Probleme entstehen nicht im Wizard selbst, sondern weil WAN, LAN, DNS, Managementzugriff oder Lizenzdaten improvisiert werden.

Vor dem Start bereithalten:

  • Firewall-Modell, Seriennummer und geplanter Standort.
  • WAN-Zugangsdaten oder Providerangaben, zum Beispiel DHCP, statische IP, PPPoE, VLAN oder vorgeschalteter Router.
  • Internes Zielnetz für den ersten LAN- oder Managementzugang.
  • DNS-Server, die während der Einrichtung funktionieren.
  • Sophos Central Zugang oder eine Person, die ein OTP für die Registrierung erzeugen kann.
  • Geplantes Admin-Passwort und Speicherort im Passwortmanager.
  • Entscheidung, ob die Firewall direkt neu eingerichtet oder per Backup wiederhergestellt wird.

Die Firewall braucht für Registrierung, Lizenzabgleich, Pattern Updates und Central-Anbindung eine funktionierende Internetverbindung. Wenn ein Upstream-Gerät den ausgehenden Traffic filtert, muss mindestens der notwendige HTTPS-Zugriff funktionieren. Bei komplexeren Provider-Setups sollte der WAN-Zugang zuerst bewusst geplant werden, statt während des Wizards zu raten.

Anschlüsse und Netzwerkkonfiguration

Je nach Modell unterscheiden sich Portnamen und Standardzuordnung. Bei vielen Hardware-Appliances ist der erste LAN-Zugriff über die Standardadresse möglich, während grössere Modelle zusätzlich einen dedizierten Management-Port haben können.

Typische Erstzugriffe:

ZugangTypische Verwendung
LAN-Port mit https://172.16.16.16:4444Ersteinrichtung über das lokale Setup-Netz
MGMT-Port mit https://10.0.1.1:4444Dedizierter Managementzugang bei Modellen mit MGMT-Port
Serielle Konsole oder lokaler ZugriffNotfall- oder Reimage-Szenarien

Der Client für die Ersteinrichtung sollte direkt oder über ein kontrolliertes Setup-Netz verbunden sein. Alte DHCP-Server, falsche VLANs oder ein produktiver Switch-Port mit unerwarteter Port-Konfiguration können die Ersteinrichtung unnötig erschweren.

Zugriff auf das Web-Interface

Zum Konfigurieren greift man über einen Webbrowser auf die WebAdmin Console zu. Je nach Interface wird eine dieser Adressen verwendet:

  • LAN-Port: https://172.16.16.16:4444
  • Management-Port: https://10.0.1.1:4444

Beim ersten Zugriff verwendet die Firewall ein lokal signiertes Zertifikat. Die Browserwarnung ist in diesem Moment normal, sollte aber später nicht ignoriert bleiben. Für den produktiven WebAdmin-Zugriff sollte ein passendes Zertifikat geplant werden, besonders wenn mehrere Admins, Central Management oder ein Management-FQDN verwendet werden.

Ersteinrichtung mit dem Einrichtungsassistenten

Der Setup Wizard fragt die Grunddaten ab und bringt die Firewall in einen startfähigen Zustand. Dabei sollten diese Punkte bewusst gesetzt werden:

  1. Sophos End User Terms of Use akzeptieren.
  2. Setup starten.
  3. Admin-Passwort setzen und sicher ablegen.
  4. Firewall-Name und Zeitzone festlegen.
  5. Seriennummer oder vorhandene Lizenzdaten angeben.
  6. Firmware-Update während der Einrichtung nur dann automatisch installieren lassen, wenn Internetzugang und Wartungsfenster dafür passen.
  7. Secure Storage Master Key erstellen und im Passwortmanager dokumentieren.
  8. Registrierung und Lizenzabgleich durchführen oder bewusst auf später verschieben.

Der Secure Storage Master Key ist wichtig für geschützte Daten und Restore-Szenarien. Er gehört nicht in ein lokales Textfile auf dem Admin-Notebook, sondern in ein kontrolliertes Passwort- oder Recovery-Verfahren. Wenn er verloren geht, kann man ihn technisch zurücksetzen, aber bestehende geschützte Backups oder Daten lassen sich dadurch nicht automatisch wieder entschlüsseln.

Internetverbindung und DNS-Überprüfung

Im Wizard wird geprüft, ob die Firewall das Internet erreicht. Wenn die Prüfung fehlschlägt, sollte nicht nur “irgendein DNS” eingetragen werden. Besser ist eine saubere Eingrenzung:

  • Hat das WAN-Interface eine gültige IP-Adresse?
  • Ist das Default Gateway korrekt?
  • Wird PPPoE, VLAN oder statisches Routing benötigt?
  • Kann die Firewall DNS auflösen?
  • Wird ausgehender HTTPS-Traffic durch ein vorgeschaltetes Gerät blockiert?
  • Stimmen Datum, Uhrzeit und Zeitzone?

Für produktive Umgebungen sollte DNS nicht zufällig auf öffentliche Resolver gesetzt werden, wenn interne Namensauflösung benötigt wird. Nach der Ersteinrichtung sollten interne Domains über DNS request routes auf Sophos Firewall sauber an interne DNS-Server weitergeleitet werden.

Registrierung der Sophos Firewall

Die Registrierung verbindet die Firewall mit dem Sophos Lizenz- und Central-Kontext. Man kann sie direkt im Wizard oder später im laufenden Betrieb durchführen. Für produktive Firewalls sollte dieser Schritt nicht unnötig lange offen bleiben, weil Lizenzstatus, Support, Subscriptions und Central-Funktionen davon abhängen.

Sophos unterstützt für die Registrierung mehrere Wege. In Partner- oder Kundenumgebungen ist OTP besonders praktisch, weil nicht jeder Admin die Sophos-Central-Super-Admin-Zugangsdaten kennen muss.

Typischer Ablauf:

  1. Seriennummer der Firewall bereithalten.
  2. Firewall in Sophos Central claimen oder OTP durch einen Sophos Central Administrator erzeugen lassen.
  3. OTP in der Firewall eintragen.
  4. Registrierung abschliessen.
  5. Danach unter Administration > Licensing prüfen, ob die Firewall korrekt registriert ist.

Wichtig: Sophos Central Firewall Management setzt eine bezahlte Subscription oder einen passenden Support-/Bundle-Kontext voraus. Die reine Base Firewall License reicht nicht für alle Central-Management-Funktionen.

Aktivierung von Lizenzen

Nach der Registrierung prüft die Firewall ihre Lizenzen beim Sophos Lizenzserver. Wenn die Firewall Internetzugriff hat, werden Lizenzinformationen regelmässig synchronisiert. Zusätzlich kann man den Abgleich in der WebAdmin Console manuell anstossen.

Unter Administration > Licensing sollte man prüfen:

  • Ist das richtige Modell mit korrekter Seriennummer registriert?
  • Ist die Base License aktiv?
  • Sind Support, Xstream Protection, Standard Protection oder einzelne Subscriptions korrekt sichtbar?
  • Sind Ablaufdaten plausibel?
  • Wurde ein neuer Lizenzschlüssel wirklich angewendet oder nur im Portal hinterlegt?
  • Zeigt die Firewall nach Synchronize denselben Stand wie Sophos Central?

Ohne passende Lizenz funktionieren viele Schutzfunktionen nicht oder nur eingeschränkt. Das betrifft je nach Funktion zum Beispiel IPS, Web Protection, Zero-Day Protection, DNS Protection, Central Orchestration, Active Threat Response oder Supportleistungen. Die Grundlagen zu Support und Modulen stehen in Sophos Firewall OS Base License verstehen und Welche Sophos Firewall Bundles gibt es?.

Verbindung zur Sophos Central Plattform

Für den lokalen Betrieb einer einzelnen Sophos Firewall ist Sophos Central nicht zwingend erforderlich. Die Firewall kann vollständig über WebAdmin betrieben werden. Sophos Central bringt aber Vorteile, wenn man diese Funktionen bewusst nutzt:

  • zentrale Übersicht über eine oder mehrere Firewalls,
  • Central Firewall Management ohne direkte WebAdmin-Veröffentlichung aus dem Internet,
  • Central Backups,
  • Central Firewall Reporting,
  • je nach Lizenz längere Log-Aufbewahrung und zusätzliche Reporting-Funktionen,
  • Security Heartbeat und Synchronized Application Control in Sophos-Endpoint-Umgebungen,
  • Einbindung in weitere Sophos-Central-Prozesse.

Wichtig ist die richtige Erwartung: Sophos Central ersetzt keine lokale Betriebsdokumentation und keinen sauberen Admin-Prozess. Wer Central Management aktiviert, sollte Rollen, MFA, Zugriff, Backup-Ablage und Reporting-Aufbewahrung bewusst festlegen.

Mehr dazu steht im Artikel Sophos Firewall mit Sophos Central verbinden: Vorteile und Grenzen.

Abschluss der Einrichtung

Nach Abschluss der Einrichtung startet die Firewall neu oder leitet zur Anmeldemaske weiter. Danach sollte man nicht direkt mit produktivem Traffic starten, sondern zuerst den Grundzustand kontrollieren.

Direkt nach dem ersten Login prüfen:

  • Datum, Uhrzeit und Zeitzone.
  • Firmware-Version und Pattern Updates.
  • Lizenzstatus unter Administration > Licensing.
  • WAN-Status und Internetzugang.
  • Admin-Passwort und Secure Storage Master Key im Passwortmanager.
  • Backup-Konfiguration.
  • Erreichbarkeit der WebAdmin Console nur aus gewünschten Netzen.
  • Default-Regeln, NAT und DNS.
  • Erste Logs im Log viewer.

Warum der Setup Wizard nicht reicht

Der Wizard erstellt eine erste Grundkonfiguration, aber keine fertige Sicherheitsarchitektur. Interfaces, Zonen, Device Access, DNS, DHCP, Firewall-Regeln, NAT, Logs, Backups und Schutzprofile müssen bewusst geprüft werden.

Eine Sophos Firewall ist kein Consumer-Router, bei dem man nach dem Wizard fertig ist. Richtig geplant kann sie ein Netzwerk sehr gut absichern, aber nur, wenn die Architektur stimmt: Zonen müssen zur Sicherheitslogik passen, Management-Zugriffe müssen eingeschränkt sein, Regeln sollten bewusst und dokumentiert erstellt werden, und Schutzfunktionen wie Webfilter, IPS, Application Control oder TLS Inspection müssen gezielt aktiviert und getestet werden. Eine falsch konfigurierte Firewall kann ein trügerisches Sicherheitsgefühl erzeugen.

Als Erstes lohnt sich ein Blick ins Control Center. Dort sieht man Systemzustand, Traffic, Benutzer- und Geräteinformationen, aktive Firewall-Regeln, Reports und Hinweise wie neue Firmware oder Health-Check-Findings. Warnungen und Hinweise in diesem Bereich sollte man nicht einfach wegklicken, sondern als praktische Checkliste für die Nacharbeit verwenden.

Firmware, Lizenz und Backup prüfen

Unter Backup & firmware prüft man, ob die aktive Firmware aktuell ist. Firmware-Updates sind sicherheitsrelevant, weil darüber Fehlerbehebungen, Stabilitätsverbesserungen und Security Fixes eingespielt werden. Updates sollten nicht dauerhaft aufgeschoben, aber auch nicht unvorbereitet installiert werden.

Sophos Firewall arbeitet mit zwei Firmware-Slots. Dadurch kann bei Problemen wieder auf eine vorherige Firmware gebootet werden. Trotzdem sollte vor jeder grösseren Änderung ein manuelles Backup erstellt werden. Bei produktiven Firewalls plant man ein Wartungsfenster, prüft Release Notes, HA-Status, freien Speicherplatz, VPN-Abhängigkeiten und externe Erreichbarkeit.

Unter Backup & firmware sollte zudem ein regelmässiges Backup eingerichtet werden. Für verschlüsselte Backups braucht es ein Backup-Passwort. Für die Wiederherstellung sensibler Daten ist zusätzlich der Secure Storage Master Key relevant. Dieser Key gehört unbedingt in einen Passwortmanager. Wird er verloren, kann man ihn zwar über die Konsole zurücksetzen, bestehende geschützte Backups lassen sich damit aber nicht mehr normal wiederherstellen.

Anschliessend prüft man unter Administration > Licensing, ob Registrierung, Base License und gebuchte Subscriptions korrekt angezeigt werden. Für das Update-Thema helfen die Artikel Sophos Firewall Firmware Update: Vorbereitung und Best Practices und Aktualisierung der Firmware auf der Sophos Firewall. Backups werden im Artikel Sophos Firewall Backup erstellen oder wiederherstellen genauer erklärt.

Zonen und Interfaces sauber planen

Der Wizard kann bei Hardware-Appliances mehrere LAN-Ports zu einer Bridge zusammenfassen. Das ist für den schnellen Start praktisch, aber nicht immer die beste Zielarchitektur. Unter Network > Interfaces sollte geprüft werden, welche Ports, VLANs, Bridges oder LAGs wirklich benötigt werden.

Jedes Interface ist genau einer Zone zugeordnet. Diese Zuordnung bestimmt später, wie Firewall-Regeln, Device Access und Schutzprofile greifen. Typische produktive Zonen sind zum Beispiel LAN, Server, DMZ, Guest, VoIP, Management oder VPN. Nicht jedes VLAN braucht zwingend eine eigene Zone, aber jede Zone sollte eine klare Sicherheitsbedeutung haben.

Mehr dazu steht im Artikel Sophos Firewall Zonen und Interfaces planen und konfigurieren.

Device Access absichern

Ein häufiger Fehler nach der Ersteinrichtung ist zu viel Management-Zugriff. Zugriffe auf lokale Dienste der Firewall, etwa WebAdmin, SSH, User Portal, VPN Portal, DNS oder Ping, werden nicht über normale Firewall-Regeln gesteuert. Dafür ist Administration > Device access zuständig.

Für produktive Systeme sollten HTTPS und SSH nicht breit aus unsicheren Zonen erlaubt werden. Wenn externer Zugriff nötig ist, sollte man mit einer Local service ACL exception rule arbeiten und den Zugriff auf feste IP-Adressen oder definierte Management-Netze begrenzen. Alternativ ist Sophos Central Firewall Management oft die sauberere Lösung.

Mehr dazu steht im Artikel Sophos Firewall Zugriff absichern: Device Access richtig konfigurieren.

Admin-Konten, MFA und Fallback festlegen

Nach dem ersten Login sollte nicht dauerhaft mit einem geteilten Admin-Zugang gearbeitet werden. Für den Alltag sind eigene Administratoren, klare Rollen und ein dokumentierter Notfallzugang besser. So lässt sich später nachvollziehen, wer eine Änderung vorgenommen hat, und ein einzelnes kompromittiertes Passwort wird nicht automatisch zum Vollzugriff auf die Firewall.

Für neue Firewalls ist diese Reihenfolge sinnvoll:

  1. Mindestens einen zweiten administrativen Zugang testen, bevor MFA breit aktiviert wird.
  2. Den lokalen default-Benutzer admin als Break-Glass-Konto behandeln und nicht als Tagesbenutzer verwenden.
  3. MFA für WebAdmin, VPN Portal und Remote Access geplant aktivieren.
  4. Rollen und Verantwortlichkeiten dokumentieren, besonders wenn Sophos Central Firewall Management genutzt wird.
  5. Token-Rücksetzung, Passwortablage und Zugriff ausserhalb der Bürozeiten festlegen.

MFA reduziert das Risiko gestohlener Zugangsdaten, ersetzt aber keine Zugriffsbeschränkung. Deshalb gehören MFA für Sophos Firewall WebAdmin, VPN Portal und Remote Access und Device Access zusammen. Wenn mehrere Personen über Sophos Central arbeiten, sollten zusätzlich die Sophos Central Administrationsrollen geprüft werden.

DNS, DHCP und interne Namensauflösung prüfen

Unter Network > DNS wird festgelegt, wie die Firewall DNS-Server erhält: per DHCP, über PPPoE-Angaben des Providers oder statisch. Für interne Domains sollte man DNS request routes verwenden, damit Anfragen für interne Zonen an den richtigen internen DNS-Server gehen.

Bei neuen Installationen sollte DNS mit echten internen und externen Namen getestet werden. Ein Test nur mit google.com reicht nicht, wenn später Active Directory, Fileserver, Drucker, Managementsysteme oder interne Anwendungen verwendet werden. Wichtig ist vor allem, ob Clients die richtigen DNS-Server erhalten und ob die Firewall interne Domains nicht versehentlich an öffentliche Resolver weiterleitet.

Praktische DNS-Prüfung:

TestErwartung
Firewall löst externe Namen aufRegistrierung, Lizenzabgleich, Updates und Central-Anbindung funktionieren
Client löst externe Namen aufDHCP, DNS-Server und Firewall-Regel passen zusammen
Client löst interne Namen aufInterner DNS oder DNS request route funktioniert
VPN- oder VLAN-Client löst interne Namen aufDNS-Server, Suchdomain und Zonenregel passen auch ausserhalb des ersten LANs

DHCP wird unter Network > DHCP pro Interface eingerichtet. Wichtig ist, DHCP-Bereiche sauber an die Interface- und VLAN-Struktur anzupassen. Der DHCP-Server sollte keine Adressen vergeben, die bereits statisch für Server, Switches, Access Points, Drucker oder Managementgeräte verwendet werden. Zusätzlich sollten Gateway, DNS-Server, Domain Name und Lease Time bewusst gesetzt werden, damit Clients nach der ersten Verbindung nicht nur irgendeine IP-Adresse erhalten, sondern wirklich im vorgesehenen Netz arbeiten.

Wenn DHCP über VPN-Strecken weitergeleitet werden soll, kann die Firewall auch als DHCP Relay arbeiten. Für DHCP-Sonderoptionen gibt es Sophos Firewall DHCP Options konfigurieren.

Erste Firewall- und NAT-Regeln prüfen

Die vom Wizard angelegte Default-Outbound-Regel sollte nicht blind übernommen werden. Unter Rules and policies > Firewall rules sollte man prüfen, welche Quellzonen erlaubt sind, welche Ziele erreichbar sein sollen und welche Security Features aktiv sind. Regeln werden von oben nach unten verarbeitet; die erste passende Regel gewinnt.

Für den Start sollte mindestens eine bewusst benannte Client-zu-Internet-Regel existieren. Diese Regel sollte nicht einfach Any zu Any erlauben, sondern Quellzone, Quellnetz, Ziele, Dienste, Logging und Security Features klar zeigen. Wenn die Regel später erweitert wird, sollte nachvollziehbar bleiben, ob sie für normale Clients, Server, Gäste, IoT oder Managementgeräte gedacht ist.

Eine erste Regelprüfung kann so aussehen:

  1. Testclient in der vorgesehenen Zone anschliessen.
  2. IP-Adresse, Gateway und DNS am Client prüfen.
  3. Einen externen HTTPS-Aufruf erzeugen.
  4. Im Log viewer nach Source-IP, Ziel, Service und Rule ID suchen.
  5. Prüfen, ob die erwartete Firewall-Regel und NAT-Regel getroffen wurden.
  6. Einen absichtlich nicht erlaubten Test durchführen, zum Beispiel aus einer Gast- oder Management-Zone.
  7. Dokumentieren, welche Regel produktiv bleibt und welche Wizard- oder Testregel entfernt wird.

Für NAT gilt: NAT erlaubt keinen Traffic von selbst. Es braucht immer auch eine passende Firewall-Regel. Für normale Clients ins Internet ist meistens eine Source-NAT-Regel mit MASQ relevant. Für veröffentlichte Server braucht es dagegen DNAT plus passende Firewall-Regel, Logging und einen externen Test von ausserhalb des eigenen LANs. Für neue Konfigurationen sind eigenständige NAT-Regeln meistens übersichtlicher als Linked NAT Rules. Die Grundlagen stehen in Sophos Firewall-Regeln verstehen und richtig konfigurieren und NAT auf Sophos Firewall verstehen: SNAT, DNAT, MASQ, PAT. Wenn ein interner Server veröffentlicht werden soll, passt der Artikel Server per DNAT auf Sophos Firewall veröffentlichen.

Schutzfunktionen bewusst aktivieren

Eine Firewall-Regel ist nicht automatisch eine vollständige Schutzregel. Je nach Lizenz und Ziel sollten IPS, Web Protection, Application Control, Malware-Scanning, TLS Inspection, Zero-Day Protection oder Threat Feeds bewusst aktiviert, getestet und dokumentiert werden.

Praktische Reihenfolge:

  1. Saubere Zonen und Regeln erstellen.
  2. Logging für wichtige Regeln aktivieren.
  3. IPS und Web Protection dort aktivieren, wo sie fachlich passen.
  4. Application Control für riskante oder unerwünschte Anwendungen ergänzen.
  5. TLS Inspection nur geplant einführen, mit Testgruppe, CA-Verteilung und Ausnahmen.
  6. Threat Feeds, NDR oder Active Threat Response erst aktivieren, wenn Monitoring und False-Positive-Prozess geklärt sind.

Für den breiteren Hardening-Kontext passt Sophos Firewall Best Practices: Netzwerk, Regeln und Sicherheit. Für Zero-Day Protection gibt es Sophos Firewall Zero-Day Protection verstehen und betreiben, für TLS Inspection Sophos Firewall TLS Inspection einführen.

Logging und Troubleshooting vorbereiten

In wichtigen Firewall-Regeln sollte Log firewall traffic aktiviert werden, sonst fehlen später oft genau die Informationen, die man für die Fehlersuche braucht. Das ist vielen nicht bewusst: Wenn eine Firewall-Regel nicht loggt, erscheint der passende Traffic auch nicht sinnvoll im Log Viewer. Man sieht dann zwar vielleicht andere Systemereignisse, aber nicht die konkrete Regelentscheidung, die man eigentlich sucht.

Unter System services > Log settings kann definiert werden, welche Log-Typen lokal, an Syslog-Server oder an Sophos Central gesendet werden. Die Firewall besitzt lokale Logdateien und eine interne Reporting-Datenbank, diese sind aber nicht als langfristiges Archiv für Wochen, Monate oder Jahre gedacht. Wenn Logs dauerhaft aufbewahrt oder zentral durchsucht werden sollen, braucht es entweder einen externen Syslog-Server oder Sophos Central Firewall Reporting.

Für Sophos Central gilt grob: Mit einer aktiven Firewall Subscription stehen Central Firewall Reports für einen begrenzten Zeitraum zur Verfügung. Mit Xstream Protection beziehungsweise Central Orchestration sind längere Auswertungen möglich. Mit Sophos Central Firewall Reporting Advanced erhält man zusätzlichen Speicher und eine deutlich längere Aufbewahrung. Die Details sind in Central Firewall Reporting aktivieren beschrieben.

Für erste Analysen reichen meistens Log viewer, Policy tester und Packet capture. Für tiefere Analysen kann man zusätzlich CLI-Logs sichern, Debug-Logs aktivieren oder tcpdump verwenden. Debug-Logs sollte man nur gezielt und zeitlich begrenzt einschalten, weil sie deutlich mehr Daten erzeugen. Wie man Regeln testet, zeigt Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture. Für Packet Capture, Service-Namen und Logdateien gibt es die Artikel Packet Capture Tool im WebAdmin verwenden und Sophos Firewall Troubleshooting: Services und Logs. Wenn Logs für Support oder externe Analyse gesammelt werden sollen, hilft Sophos Firewall Logs für externe Analyse sichern.

Abnahmetest vor produktivem Traffic

Vor dem Go-live sollte man nicht nur prüfen, ob “Internet funktioniert”. Ein kleiner, dokumentierter Abnahmetest verhindert viele spätere Supportfälle.

Sinnvolle Tests:

TestWas geprüft wird
Admin-Login aus Management-NetzWebAdmin ist erreichbar, aber nicht aus unerwünschten Zonen offen
Zweiter Admin oder Break-Glass-ZugangZugriff bleibt möglich, wenn MFA, SSO oder ein Benutzerkonto ausfällt
Client aus LAN ins InternetFirewall-Regel, NAT, DNS und Security Policy greifen wie erwartet
Interner DNS-NameDNS request routes oder interne Resolver funktionieren
Blockierter TesttrafficLog Viewer zeigt die passende Regel oder den erwarteten Drop
Backup-Download und AblageBackup ist nicht nur erstellt, sondern auch auffindbar
Central- oder Syslog-ZielLogs und Reports kommen ausserhalb der Firewall an, falls geplant

Der Test sollte kurz dokumentiert werden: Datum, Firmwareversion, Standort, getestete Quell-IP, Ziel, erwartetes Ergebnis und offene Punkte. Das wirkt unspektakulär, spart aber Zeit, wenn Tage später ein VPN, eine NAT-Regel oder ein DNS-Problem untersucht werden muss.

Checkliste nach der Ersteinrichtung

Sofort prüfen

  • Admin-Passwort und Secure Storage Master Key sicher abgelegt.
  • Firewall registriert und Lizenzstatus geprüft.
  • Firmwarestand und Pattern Updates kontrolliert.
  • Manuelles Backup erstellt und extern abgelegt.
  • WebAdmin und SSH nur aus gewünschten Netzen erreichbar.
  • Zweiter Admin-Zugang und Break-Glass-Konzept getestet.
  • WAN, DNS und Zeitzone geprüft.
  • Default-Firewall-Regel bewusst bewertet.

In den ersten Tagen prüfen

  • Zonen, VLANs, Bridges und LAGs sauber geplant.
  • DNS request routes und DHCP-Bereiche kontrolliert.
  • Firewall-Regeln und NAT-Regeln dokumentiert.
  • Logging auf wichtigen Regeln aktiviert.
  • Central Backup oder lokaler Backup-Prozess eingerichtet.
  • Central Reporting, Syslog oder anderes Logziel entschieden.
  • Erste Regeln mit Log Viewer, Policy Test und Packet Capture validiert.

Vor Produktivbetrieb oder Go-live prüfen

  • Managementzugriff gehärtet.
  • MFA und Admin-Rollen geprüft.
  • IPS, Web Protection, Application Control und weitere Schutzfunktionen bewusst aktiviert.
  • TLS Inspection nur mit Test- und Ausnahmeprozess geplant.
  • Remote Access, IPsec, WAF, RED oder SD-WAN separat getestet, falls verwendet.
  • Rollback- und Supportpfad dokumentiert.

Typische Fehler

FehlerAuswirkungBessere Vorgehensweise
Wizard-Konfiguration wird direkt produktiv genutztZu breite Regeln, falsche Zonen oder offene Managementdienste bleiben bestehenNach dem Wizard eine eigene Betriebscheckliste abarbeiten
Secure Storage Master Key nicht dokumentiertRestore oder Migration wird unnötig schwierigSSMK sofort im Passwortmanager ablegen
WebAdmin aus WAN oder Client-Netzen erreichbarBots, Brute-Force und unnötige AngriffsflächeDevice Access und Local Service ACL Exception Rules eng setzen
MFA ohne Fallback aktiviertAdmins können sich bei Token-, Zeit- oder Gruppenproblemen aussperrenZweiten Admin, Break-Glass-Zugang und Token-Prozess vorher testen
Logging in Regeln vergessenSpätere Fehlersuche wird blindLog firewall traffic bei wichtigen Regeln aktivieren
DNS nur mit öffentlichem Resolver gelöstInterne Namen funktionieren nicht zuverlässigInterne DNS-Server und DNS request routes planen
NAT ohne passende Firewall-Regel erwartetServer oder Dienste sind trotz NAT nicht erreichbarNAT und Firewall-Regel gemeinsam prüfen
Firmware-Update ohne Backup installiertRückweg bei Problemen fehltVor Updates Backup, Release Notes und Wartungsfenster prüfen

FAQ

Ist die Sophos Firewall nach dem Setup Wizard sicher konfiguriert?

Nein. Der Setup Wizard erstellt eine Grundkonfiguration. Danach müssen Zonen, Device Access, Firewall-Regeln, NAT, Logging, Backup, Firmware und Schutzfunktionen bewusst geprüft werden.

Muss man Sophos Central für eine Sophos Firewall verwenden?

Nein. Eine einzelne Firewall kann lokal über WebAdmin betrieben werden. Sophos Central ist nützlich für zentrale Verwaltung, Backups, Reporting und mehrere Firewalls, ersetzt aber keine lokale Betriebsdokumentation.

Welche Adresse verwendet man für den ersten Zugriff auf Sophos Firewall?

Häufig erfolgt der erste Zugriff über https://172.16.16.16:4444. Bei Modellen mit dediziertem Management-Port kann auch https://10.0.1.1:4444 relevant sein. Das genaue Verhalten hängt vom Modell und Anschluss ab.

Warum ist der Secure Storage Master Key wichtig?

Der Secure Storage Master Key schützt sensible Konfigurationsdaten und ist für bestimmte Restore-Szenarien wichtig. Er sollte direkt nach der Einrichtung sicher dokumentiert werden.

Was sollte man nach der Ersteinrichtung zuerst absichern?

Zuerst sollten Admin-Passwort, Secure Storage Master Key, Backup, Lizenzstatus, Firmwarestand, Device Access, zweiter Admin-Zugang und MFA-Plan geprüft werden. Danach folgen Zonen, Regeln, NAT, DNS, DHCP, Logging und Schutzprofile.