Sophos Firewall Hardening: Best Practices für eine sichere Konfiguration
Sophos Firewall Hardening bedeutet, die Firewall selbst und die darüber veröffentlichten Dienste bewusst gegen unnötige Angriffsfläche abzusichern. Es geht nicht um eine einzelne magische Einstellung, sondern um einen wiederholbaren Betriebsprozess: Managementzugriffe begrenzen, MFA erzwingen, Firmware aktuell halten, Regeln prüfen, Schutzfunktionen aktivieren und Logs auswerten.
Dieser Artikel ist der zentrale Einstiegspunkt. Er ersetzt nicht die Detailanleitungen, sondern ordnet die wichtigsten Best Practices ein und verlinkt auf die passenden Avanet-KB-Artikel.
Was zuerst geprüft werden sollte
Beim Hardening zählt die Reihenfolge. Eine perfekt getunte IPS-Policy hilft wenig, wenn WebAdmin weltweit über WAN erreichbar ist oder ein altes VPN-Portal ohne MFA offensteht.
Die wichtigsten Sofortprüfungen:
- Ist WebAdmin aus der WAN-Zone erreichbar?
- Ist SSH nur aus vertrauenswürdigen Managementnetzen erlaubt?
- Ist MFA für Admins, VPN Portal und Remote Access aktiv?
- Sind Firmware, Hotfixes und Pattern-Updates aktuell?
- Gibt es DNAT-, WAF- oder VPN-Zugriffe, die nicht mehr benötigt werden?
- Haben veröffentlichte Dienste IPS, WAF, Threat Feeds, Logging und klare Zuständigkeit?
- Werden sicherheitsrelevante Logs zentral gespeichert oder wenigstens regelmässig geprüft?
- Gibt es ein aktuelles, getestetes Backup inklusive Secure Storage Master Key?
Managementzugriff absichern
Der wichtigste Hardening-Bereich ist der Zugriff auf die Firewall selbst. WebAdmin, SSH, User Portal, VPN Portal, Captive Portal und lokale Dienste sind keine normalen Firewall-Regeln, sondern lokale Dienste der Firewall. Diese Dienste müssen über Device Access und Local Service ACL bewusst begrenzt werden.
Device Access und Local Service ACL
Unter Administration > Device access wird pro Zone festgelegt, welche lokalen Dienste erreichbar sind. Für die WAN-Zone sollte nur aktiv sein, was wirklich gebraucht wird. Admin-Zugriff und SSH gehören normalerweise nicht breit ins Internet.
Wenn Remote-Administration nötig ist, sind diese Varianten sauberer:
- Verwaltung über Sophos Central.
- Zugriff über ein dediziertes Managementnetz.
- Zugriff über VPN oder ZTNA.
- Eng begrenzte Local Service ACL Exception Rules für feste Admin-Quell-IP-Adressen.
Die konkrete Umsetzung beschreibt Sophos Firewall Zugriff absichern: Device Access richtig konfigurieren. Wenn SSH benötigt wird, hilft zusätzlich Sophos Firewall per SSH verbinden.
MFA, Rollen und Login Security
MFA sollte für Administratoren und Remote-Access-Benutzer Pflicht sein. Besonders kritisch sind lokale Admin-Konten, VPN Portal, User Portal und Remote Access VPN. MFA ist aber nur ein Teil des Login-Hardenings. Ebenso wichtig sind eigene Admin-Konten, klare Rollen, starke Passwortrichtlinien, begrenzte Login-Versuche und kurze Session-Timeouts.
Die praktische Einrichtung steht in MFA für Sophos Firewall WebAdmin, VPN Portal und Remote Access aktivieren. Für WAF-Szenarien mit Benutzeranmeldung passt Sophos Firewall WAF mit MFA absichern.
Firmware, Hotfixes und Recovery
Eine Firewall ist ein Edge-System. Verzögerte Updates sind deshalb kein kleiner Schönheitsfehler, sondern ein echtes Angriffsfenster. Gleichzeitig dürfen Updates nicht blind erfolgen, weil Remote-Standorte, HA-Cluster, VPNs und produktive NAT-Regeln betroffen sein können.
Updates planbar machen
Firmware-Updates sollten mit Backup, Wartungsfenster, Release-Notes-Prüfung, HA-Planung und Rollback-Kriterien vorbereitet werden. In aktuellen SFOS-22-Versionen erscheint auf der WebAdmin-Seite Backup & Firmware > Firmware kein separater Hotfix-Block mehr. Die Hotfix-Funktion besteht aber weiterhin: Sophos installiert Hotfixes standardmässig automatisch und empfiehlt, diese Einstellung nicht zu ändern. Wenn der Status geprüft werden muss, erfolgt das über die Device Console mit system hotfix show. Hotfixes ersetzen aber keinen regulären Update-Prozess. Der Ablauf ist in Sophos Firewall Firmware Update: Vorbereitung und Best Practices beschrieben.

Für grössere Versionssprünge sollte man zusätzlich Upgrade-Pfad, Lizenz, Plattform und bekannte Einschränkungen prüfen. Dafür passt Sophos Firewall vor SFOS 22 Upgrade prüfen.
Backup und Restore prüfen
Hardening endet nicht bei Prävention. Eine gehärtete Firewall muss auch wiederherstellbar sein. Dazu gehören ein aktuelles Backup, das Backup-Passwort, der Secure Storage Master Key, ein dokumentierter Zugriffspfad nach Restore und ein Abnahmetest.
Die Details stehen in Sophos Firewall Backup erstellen oder wiederherstellen. Besonders vor Firmware-Updates, Migrationen, Reimage und Hardwaretausch ist ein vollständiges Recovery-Paket Pflicht.
Angriffsfläche im Regelwerk reduzieren
Viele Risiken entstehen nicht durch exotische Angriffe, sondern durch zu breite Regeln, alte Ausnahmen und veröffentlichte Dienste, die niemand mehr wirklich verantwortet.
NAT, WAF und veröffentlichte Dienste
Jeder per DNAT oder WAF veröffentlichte Dienst ist ein bewusst geöffneter Eingang. Das kann nötig sein, muss aber eng geplant werden: Quelle, Ziel, Service, NAT-Reihenfolge, Firewall-Regel, IPS/WAF-Policy, Logging, Test und Owner gehören zusammen.
Für veröffentlichte Server helfen Server per DNAT auf Sophos Firewall veröffentlichen und NAT auf Sophos Firewall verstehen. Wenn Webserver veröffentlicht werden, ist Sophos Firewall WAF: Webserver sicher veröffentlichen die passendere Grundlage.
Firewall-Regeln und Segmentierung
Regeln mit Any bei Source, Destination oder Service sind nicht automatisch falsch, aber immer erklärungspflichtig. Für Hardening sind besonders diese Fragen wichtig:
- Ist die Regel noch nötig?
- Ist Logging aktiv?
- Gibt es eine klarere Source oder Destination?
- Ist die Regel vor breiteren Regeln richtig positioniert?
- Sind Admin-, Server-, Client-, IoT-, Gast- und Backup-Netze sauber getrennt?
Grundlagen dazu stehen in Sophos Firewall-Regeln verstehen und sicher konfigurieren. Zum Prüfen einer konkreten Regel passt Sophos Firewall-Regel sauber testen.
Schutzfunktionen bewusst aktivieren
Schutzfunktionen bringen nur dann etwas, wenn sie zur Regel, zum Traffic und zum Betriebsprozess passen. Blind aktivierte Funktionen erzeugen False Positives, Performance-Probleme oder Supportfälle. Nicht aktivierte Funktionen lassen dagegen unnötig viel Angriffsfläche offen.
IPS, Spoof Protection und DoS
IPS sollte auf eingehendem, nicht vertrauenswürdigem Traffic und auf relevanten internen Übergängen eingesetzt werden. Wichtig sind passende IPS Policies, Logging, False-Positive-Prozess und Performance-Blick. Die Umsetzung steht in Sophos Firewall IPS einrichten und sicher testen.
Spoof Protection und DoS Settings reduzieren unplausible Quellen und einfache Flooding-Muster. Die Aktivierung muss aber vorsichtig getestet werden, besonders bei VoIP, VPN, hoher Paketlast oder speziellen Routing-Designs. Der passende Artikel ist Sophos Firewall Spoof Protection und DoS Settings prüfen.
Threat Feeds für WAF und DNAT
Threat Feeds sind eine sehr sinnvolle Ergänzung, wenn Dienste über WAF, DNAT, VPN-Portal oder andere öffentliche Zugänge erreichbar sind. Dadurch lassen sich bekannte bösartige IPs, Domains oder URLs früher blockieren, bevor sie die eigentliche Anwendung oder Regel erreichen.
Besonders wertvoll sind Threat Feeds bei:
- öffentlichen Webservern hinter WAF oder DNAT,
- RDP-, SSH- oder Admin-Zugängen, die noch nicht vollständig durch ZTNA ersetzt wurden,
- VPN- und Portalzugriffen mit viel Internetrauschen,
- Umgebungen, in denen Länder-Blocking allein zu grob ist,
- Kunden, die neben Sophos X-Ops auch kuratierte Drittanbieter-Feeds nutzen möchten.
Wichtig ist der Betrieb: Feed-Qualität, Action Monitor oder Block, Allowlist, False Positives, Logging und Zuständigkeit müssen geklärt sein. Die Konfiguration ist in Sophos Firewall Threat Feeds einrichten und sicher betreiben beschrieben. Für kuratierte Feeds kann Cybora ein sinnvoller Baustein sein, besonders wenn veröffentlichte Dienste konsequent gegen bekannte schlechte Quellen geschützt werden sollen.
Web, DNS, TLS und Zero-Day Protection
Web Protection, DNS Protection, TLS Inspection und Zero-Day Protection erhöhen die Sichtbarkeit und Blockierwirkung, brauchen aber saubere Planung. TLS Inspection sollte nicht als Alles-oder-nichts-Projekt gestartet werden. DNS Protection muss zu den verwendeten DNS-Pfaden passen. Zero-Day Protection hilft nur, wenn die betroffenen Dateitypen und Policies sinnvoll eingebunden sind.
Passende Detailartikel sind Sophos Firewall Web Protection mit Web Policies einrichten, Sophos DNS Protection mit Sophos Firewall einrichten, Sophos Firewall TLS Inspection richtig einführen und Sophos Firewall Zero-Day Protection verstehen und betreiben.
Erkennung, Logging und Review
Hardening ist kein einmaliger Projektpunkt. Regeln, Benutzer, Portale, NAT-Ausnahmen und Firmwarestände verändern sich. Deshalb braucht es regelmässige Reviews und Logs, die nicht erst nach einem Vorfall gesucht werden.
Health Check als Einstieg
Der Sophos Firewall Health Check ist ein guter Startpunkt, weil er riskante Konfigurationen sichtbar macht. Findings sollten nicht blind abgearbeitet werden, sondern nach Risiko, Betriebswirkung und lokaler Architektur bewertet werden.
Gute Zeitpunkte für einen Health Check:
- nach dem initialen Setup,
- nach Migrationen,
- vor und nach Firmware-Upgrades,
- nach grösseren Regeländerungen,
- vor Audits,
- quartalsweise im Betrieb.
Logging, Alerts und SIEM
Firewall-Regeln ohne Logging sind bei Fehlersuche und Incident Response oft wertlos. Für längere Aufbewahrung reicht der lokale Log Viewer meist nicht aus. Je nach Umgebung sind Sophos Central Reporting, Syslog, SIEM, MDR, XDR oder NDR sinnvoll.
Die technische Einrichtung von Syslog beschreibt Sophos Firewall Syslog sicher an SIEM senden. Für zentrale Reports passt Sophos Firewall Central Reporting aktivieren und betreiben. Wenn NDR und Active Threat Response relevant sind, hilft Sophos Firewall NDR und Active Threat Response betreiben.
Kompakte Hardening-Checkliste
Für einen ersten Review reicht diese Reihenfolge:
- WAN-Zugriff auf WebAdmin, SSH, User Portal und VPN Portal prüfen.
- MFA für Admins und Remote Access aktivieren.
- Lokale Admin-Konten, Rollen und Passwortrichtlinien bereinigen.
- Firmware, Hotfixes, Pattern-Updates und Supportstatus prüfen.
- Backup, SSMK, Restore-Pfad und Recovery-Test dokumentieren.
- DNAT-, WAF- und VPN-Veröffentlichungen auf Notwendigkeit prüfen.
- Regeln mit
Any, fehlendem Logging oder unklarem Owner bereinigen. - IPS, Spoof Protection, DoS Settings und Threat Feeds gezielt aktivieren.
- Web-, DNS-, TLS- und Zero-Day-Policies stufenweise einführen.
- Health Check, Syslog, Alerts und regelmässige Reviews als Betriebsprozess etablieren.
Häufige Fehler
WAN-Zugriff bleibt aus Bequemlichkeit offen
Ein WebAdmin- oder SSH-Zugang wird für einen Supportfall geöffnet und danach vergessen. Genau solche temporären Ausnahmen sollten mit Ablaufdatum, Owner und Nachkontrolle dokumentiert werden.
Threat Feeds werden ohne Betriebskonzept aktiviert
Threat Feeds sind stark, aber nicht wartungsfrei. Ohne Monitoring, Allowlist und False-Positive-Prozess kann ein legitimer Partner, Dienstleister oder Cloud-Dienst blockiert werden. Deshalb zuerst mit Monitor oder begrenztem Scope testen, dann sauber auf Block wechseln.
Logging fehlt bei kritischen Regeln
Wenn eine öffentliche DNAT-Regel, WAF-Regel oder VPN-Regel kein Logging hat, sieht man im Vorfall zu wenig. Mindestens sicherheitsrelevante Eingänge, Admin-Zugriffe, Deny-Regeln und kritische Segmentübergänge sollten nachvollziehbar sein.
Health Check wird als einmalige Aufgabe betrachtet
Ein guter Score nach dem Setup ist kein dauerhafter Zustand. Neue Regeln, neue VPN-Benutzer, temporäre Ausnahmen und Firmwareänderungen können die Lage verändern. Hardening braucht einen Review-Rhythmus.