Sophos Firewall Sizing Guide: XGS richtig dimensionieren
Sophos Firewall Sizing hängt nicht nur von Benutzerzahl ab. Entscheidend sind Bandbreite, TLS Inspection, IPS, VPN, HA, Logging und Reserve.
Praxisnahe deutsche Sophos-Firewall-Anleitungen für Einrichtung, Härtung, VPN, Netzwerkregeln, Lizenzen, Updates, Logs und Troubleshooting.
Die Artikel sind nach typischen Admin-Aufgaben geordnet: auswählen, einrichten, absichern, veröffentlichen, remote anbinden, analysieren und wiederherstellen.
Sizing, XGS-Auswahl, Base License, Bundles, Air Gap, Lifecycle, Portale und Lizenzbetrieb.
Sophos Firewall Sizing hängt nicht nur von Benutzerzahl ab. Entscheidend sind Bandbreite, TLS Inspection, IPS, VPN, HA, Logging und Reserve.
Beim Kauf oder Renewal einer Sophos Firewall müssen Standard Protection, Xstream Protection und Epic Protection fachlich zum Schutzbedarf passen.
Die Base License ist Grundlage der Sophos Firewall, ersetzt aber keine Support- oder Security-Subscription. Wichtig sind Lizenzstatus, Support, …
Ein Sophos Firewall Lizenzschlüssel verknüpft oder verlängert Subscriptions. Wichtig sind Seriennummer, Account, Synchronisierung, HA und …
Air-Gap-Betrieb auf Sophos Firewall braucht Freigabe, Lizenzdatei, manuelle Synchronisation, Pattern-Updates und klare Betriebsroutine.
Sophos Firewall Datenblattwerte sind Vergleichswerte. Entscheidend sind Firewall, IMIX, IPS, NGFW, TLS Inspection, VPN und Reserven.
Hardware, virtuelle Appliance, Software Appliance und Cloud Deployment unterscheiden sich bei Betrieb, HA, Recovery, Sizing und Verantwortlichkeiten.
Der Artikel erklärt XG-End-of-Life, XG-vs-XGS-Unterschiede, SFOS-21/22-Grenzen und wie man die Migration auf XGS sauber vorbereitet.
Sophos Lifecycle-Planung braucht End-of-Sale, Last Renewal, End-of-Life, Nachfolgeprodukte und klare Prüfungen vor Renewal, Migration oder …
Garantie, Supportvertrag und RMA sind bei Sophos Hardware getrennt zu prüfen: Seriennummer, Kaufdatum, Lifecycle, Vertrag und Ersatzprozess.
SophosID, Central, Support Portal und Firewall-Portale haben unterschiedliche Aufgaben. Wichtig sind Login, Lizenzierung, Zugriff und Remote Access.
Die Seriennummer identifiziert eine Sophos Firewall eindeutig. Man braucht sie für Support, Lizenzierung, RMA, Central-Registrierung, HA und Inventar.
Die Account-Übertragung verschiebt Lizenz- und Registrierungszuordnung einer Firewall. Wichtig sind Zielkonto, Annahmefrist, Management-Abgrenzung und …
Setup Wizard, Central-Anbindung, Active Directory, STAS, SATC, Device Access und Supportzugänge.
Nach dem Setup Wizard ist die Firewall erreichbar, aber noch nicht produktionsreif. Danach zählen Backup, Firmware, Device Access, Regeln, Logs und …
Eine Sophos Firewall kann lokal laufen, bietet mit Sophos Central aber zusätzliche Funktionen für Management, Backups, Reporting und Security.
Active Directory liefert Sophos Firewall Benutzer, Gruppen und Authentifizierung. Wichtig sind LDAPS, Suchbasis, Gruppenimport, Main Group und AD SSO.
Nicht jede Umgebung nutzt Active Directory. LDAP verbindet Sophos Firewall mit OpenLDAP, 389-ds, FreeIPA oder Google Secure LDAP. Wichtig sind Bind …
RADIUS verbindet Sophos Firewall mit NPS, MFA-Systemen oder anderen Identity-Diensten. Wichtig sind Shared Secret, Services, Gruppen, Timeouts und …
STAS ordnet AD-Anmeldungen Client-IPs zu, damit Sophos Firewall Benutzerregeln nutzen kann. Wichtig sind Agent, Collector, Audit Events und Tests.
SATC ordnet Benutzer auf Remote Desktop Session Hosts der Sophos Firewall zu. Wichtig sind Server Protection, Registry, Device Access und Live Users.
Device Access steuert lokale Firewall-Dienste. Wichtig sind Zonenfreigaben, ACL Exception Rules, WAN-Risiken, Lockout-Schutz, Logs und Reviews.
Avanet Support-Zugriff sollte zeitlich begrenzt und eng kontrolliert sein. Wichtig sind WebAdmin, optional SSH, Device Access, Quellen, MFA und …
Firewall-Regeln, Zonen, Interfaces, VLAN, NAT, DNS, DHCP, SD-WAN, NTP und VoIP.
Zonen und Interfaces sind die Basis für saubere Sophos Firewall Regeln. Wichtig sind Zone, Interface, IP-Objekt, Device Access, Routing und Tests.
Firewall-Regeln sind das Herzstück der Sophos Firewall. Wichtig sind Regelaufbau, Reihenfolge, Grenzen, Regeltypen, Praxisbeispiele, Tests und sichere …
Eine gute Regelbeschreibung spart im Betrieb Zeit. Wichtig sind Zweck, Owner, Ticket, Ablaufdatum, Risiko, Review und klare Description-Felder.
VLANs auf Sophos Firewall brauchen mehr als eine VLAN ID: Parent Interface, Switch-Tagging, Zone, IP-Objekte, DHCP, DNS, Regeln, NAT und Tests müssen …
Bridge-VLANs fallen nach SFOS 22 besonders bei Traffic zur oder von der Firewall auf. Wichtig sind CLI-VLAN-Tags, br0-Interfaces und Tests.
Ein LAG bündelt zwei bis vier physische Ports zu einem logischen Interface. Wichtig sind Bonding-Modus, Switch-Konfiguration, Hashing und …
FQDN-Hosts helfen bei dynamischen Cloud- und Dienstzielen. Wildcard-FQDNs sind spezieller, weil die Firewall passende IPs aus DNS-Traffic lernt.
Wenn eine Firewall-Regel nicht greift, sind meist Reihenfolge, Zone, Source, Destination, Service, User Matching, NAT, Routing oder Logging beteiligt.
Captive Portal mit Entra ID SSO ordnet lokale Benutzer per Browser-Login zu. Wichtig sind Redirect URI, Device Access, Primary Groups und Logs.
Regeltests brauchen klare Testdaten und echte Events. Log Viewer, Policy tester, Packet Capture, tcpdump, Central Reporting und Syslog beantworten …
IPv6 Prefix Delegation bringt Provider-Präfixe in interne Netze. Wichtig sind WAN-Konfiguration, Router Advertisement, Regeln und Troubleshooting.
NAT übersetzt Adressen oder Ports, erlaubt aber keinen Traffic. Wichtig sind SNAT, DNAT, MASQ, PAT, Loopback, Reflexive Rules und Troubleshooting.
DNAT veröffentlicht interne Dienste über öffentliche IPs oder Ports. Entscheidend sind enge Quellen, passende Firewall-Regeln, NAT-Reihenfolge, …
DNS Request Routes leiten bestimmte DNS-Anfragen an definierte DNS-Server weiter. Entscheidend sind Firewall als Resolver, interne Domains, …
MTU- und MSS-Probleme zeigen sich als hängende Downloads, RDP, HTTPS oder VoIP. Wichtig sind Pfadprüfung, DF-Tests, VPN-Overhead, PPPoE und XFRM.
DHCP-Optionen verteilen PXE-, WDS-, Thin-Client- oder RED-Parameter. Wichtig sind WebAdmin, CLI-Fallbacks und typische Fehlerbilder.
SD-WAN Routes steuern Traffic nach Kriterien statt nur per Routingtabelle. Wichtig sind Reihenfolge, DSCP, Anwendungen, Gateways, SLA, NAT, Logs und …
Route Precedence entscheidet, ob Static, SD-WAN oder VPN zuerst greift. Wichtig sind Direktnetze, IPsec-Sonderfälle, Tests und Rollback.
Reply Packets und systemgenerierter Traffic können SD-WAN Routing beeinflussen. Wichtig sind CLI-Status, Einsatzfälle, Risiken, Tests und Validierung.
VLANs mit Sophos Firewall und UniFi brauchen sauberes Tagging. Wichtig sind Gateway, Parent Interface, UniFi-Netzwerk, Access-Port, Trunk, DHCP und …
Cellular WAN ist meist Reserveleitung. Für 4G/5G-Failover zählen SIM, APN, PIN, Gateway, Signalqualität, SD-WAN-Checks und Rückfalllogik.
Sophos Firewall ist kein vollwertiger NTP-Server, kann NTP-Anfragen aber per NAT an externe oder interne Zeitserver weiterleiten.
Eine manuelle IPsec Route auf Sophos Firewall kann nötig sein, wenn Routing, NAT oder SFOS-22-Verhalten nicht zum VPN-Traffic passen.
Application Traffic Shaping priorisiert wichtige Anwendungen und begrenzt anderen Traffic. Wichtig sind Policy, Match, Richtung, Test und …
VoIP-Probleme entstehen oft durch SIP ALG, UDP Timeouts, NAT, RTP-Ports oder Routing. Wichtig sind SIP-/RTP-Analyse, Capture und CLI-Tests.
Sophos Connect, SSL VPN, Entra ID SSO, IPsec, SD-RED und VPN-Troubleshooting.
Sophos Connect mit IPsec, Sophos Connect mit SSL VPN, klassische OpenVPN-Clients und ZTNA passen zu unterschiedlichen Remote-Access-Szenarien.
Sophos Connect braucht passende IPsec/SSL-VPN-Profile, Benutzer, IP-Pool, DNS, MFA, Firewall-Regeln, Provisioning und Updateprozess.
SSL VPN Remote Access funktioniert nur sauber, wenn globale Einstellungen, Portal, Policy, aktuelles Profil, DNS, MFA, Device Access, Firewall-Regeln …
Legacy Remote Access IPsec blockiert SFOS 22 MR1 und neuer. Vor dem Upgrade braucht es Erkennung, Ersatzlösung, Restore-Prüfung und Entfernung.
Sophos Connect auf Windows braucht Clientversion, Profil, Plattform, MFA/SSO und Regeln. Danach müssen Verbindung, DNS und Zugriff passen.
Sophos Connect auf macOS hängt an Clientversion, Apple Silicon/Rosetta, IPsec- oder SSL-VPN-Profil, DNS, MFA und getesteten Firewall-Regeln.
Entra ID SSO verbindet Remote Access mit OAuth 2.0, OpenID Connect und Entra-MFA. Wichtig sind Redirect URIs, Gruppen und Device Access.
Sophos Connect Updates betreffen VPN-Profile, Plattformen, MFA, SSO, Helpdesk und Rollback. Wichtig sind Versionsprüfung, Pilot, Profiltest und Known …
SSL VPN mit Sophos Connect auf Windows braucht aktuelles OVPN-Profil, VPN-Portal-Zugriff, MFA, Clientversion, DNS-Test, Profilbereinigung und passende …
SSL VPN auf macOS läuft heute oft mit Sophos Connect statt Tunnelblick. Entscheidend sind OVPN-Profil, Apple Silicon/Rosetta, DNS, MFA und Pflege.
SSL VPN auf iPhone und iPad läuft über einen OpenVPN-kompatiblen Client. Wichtig sind OVPN-Profil, VPN Portal, MFA, DNS und Firewall-Regeln.
SSL VPN auf Android braucht OpenVPN-Client, aktuelles OVPN-Profil, VPN-Portal-Zugriff, MFA, DNS-Test, Firewall-Regeln und Gerätewechsel.
Für Sophos Connect gibt es keinen Linux-Client. Linux-Benutzer verbinden sich über den Standard-OpenVPN-Client oder über NetworkManager-strongSwan mit …
Der alte Sophos SSL VPN Client kann automatisch starten. Auto-Login mit password.txt ist riskant. Wichtig sind Risiko, Autostart und Alternativen.
Site-to-Site IPsec braucht klare Netze, Profile, Gateway type, IDs, Regeln, Routing, NAT und Abnahmetests. Route-based und policy-based bewusst …
Azure Site-to-Site VPN braucht Local Network Gateway, Virtual Network Gateway, passende IPsec/IKE-Parameter, Sophos XFRM, Routen und Firewall-Regeln.
AWS Site-to-Site VPN braucht Customer Gateway, Ziel-Gateway, zwei Tunnel, passende IPsec-Parameter, Routing und eine klare Abnahme auf beiden Seiten.
IPsec-Troubleshooting braucht eine klare Reihenfolge: IKE, Phase 2, Security Associations, StrongSwan-Logs, XFRM, Routing, NAT, Firewall-Regeln und …
Wenn Sophos Connect IPsec nach rund 4 Stunden trennt oder erneut OTP verlangt, zuerst Profil, IKE Key Life, Logs und Clientverteilung prüfen.
Sophos SD-RED verbindet Aussenstellen mit der Firewall. Wichtig sind Provisioning, NTP, Ports, LED-Status, RED-Interface, DHCP, VLANs und Regeln.
MFA, TLS Inspection, WAF, Threat Feeds, IPS, Web Protection, NDR, DNS Protection und Hardening.
Hardening reduziert die Angriffsfläche der Sophos Firewall. Wichtig sind Managementzugriff, MFA, Updates, veröffentlichte Dienste, Threat Feeds, …
Der Leitfaden ordnet alle 31 Health-Check-Findings nach echtem Risiko, Betriebsnutzen und optionalen Sophos-Diensten ein.
MFA schützt WebAdmin, VPN Portal und Remote Access nur dann gut, wenn Device Access, OTP-Token, Gruppen, Fallback, Tests und Betrieb zusammen geplant …
TLS Inspection erhöht Sichtbarkeit in verschlüsselten Verbindungen, braucht aber CA-Verteilung, klare Regelreihenfolge, DPI/Web-Proxy-Entscheid, …
TLS Inspection funktioniert ohne Browserwarnungen nur, wenn Clients der Firewall-CA vertrauen. Wichtig sind Download, Verteilung und Rollback.
Der XML API Zugriff auf Sophos Firewall sollte nur aus definierten Management-Netzen, Automationssystemen oder Integrationshosts erlaubt und …
Bypass-Regeln umgehen den normalen Stateful-Firewall-Pfad. Wichtig sind klare Abgrenzung, enge Netze, Gegenrichtung, Tests und Rückbau.
Web Server Protection veröffentlicht HTTP- und HTTPS-Anwendungen als Reverse Proxy. Wichtig sind WAF- oder DNAT-Wahl, DNS, Zertifikat, …
Sophos Firewall kann WAF-veröffentlichte Webanwendungen ab SFOS 22 mit MFA schützen. Wichtig sind Version, Authentication Policy, Token-Rollout, Tests …
Sophos Firewall kann Let's Encrypt Zertifikate direkt beziehen und erneuern. Entscheidend sind HTTP-Validierung, Hosted Address, Port 80, unterstützte …
Threat Feeds bringen bekannte bösartige IPs, Domains und URLs als IoCs in die Sophos Firewall. Entscheidend sind Lizenz, Indikatortyp, Feedformat, …
IPS braucht Lizenz, globale Aktivierung, passende Policy pro Firewall-Regel, Signaturverständnis, Logging, Tests, Performance-Blick und …
Web Protection braucht passende Firewall-Regel, Web Policy, Kategorien, Benutzerkontext, Web Exceptions, TLS-Sichtbarkeit, QUIC-Entscheidung, Logging …
NDR Essentials und NDR Active Threat Intelligence ergänzen Sophos Firewall um Netzwerk-Erkennung. Wichtig sind Einsatzgrenzen, Betrieb und Kontrolle.
DNS Protection ergänzt die Firewall um DNS-Policies und Central Reporting. Wichtig sind Location-Typ, DNS-Routen, Blockpage-Zertifikat, …
Spoof Protection und DoS Settings härten gegen unplausible Quellen und einfache Flooding-Muster. Wichtig sind Routing, Packet Rate, Burst Rate, …
Länder-Blocking, Black Hole DNAT, WAF Blocked countries und Threat Feeds haben unterschiedliche Aufgaben. Wichtig sind Regelposition, lokale Dienste …
Application Control erkennt Anwendungen jenseits reiner Ports. Wichtig sind Application Filter, Signaturen, Regelposition, TLS-Sichtbarkeit, Logging, …
Zero-Day Protection analysiert verdächtige Downloads und E-Mail-Anhänge. Wichtig sind Firewall-Regel, Web- und Mail-Pfad, TLS-Sichtbarkeit, Reports, …
Mail Protection im MTA Mode macht die Firewall zum SMTP-Annahmepunkt. Entscheidend sind MX, TLS, Relay, Policies, Quarantäne und Logs.
Web-Kategorien und Instant Alerts helfen bei Web-Policy-Kontrolle. Wichtig sind Einsatz, Voraussetzungen, Konfiguration, Logging und Fehlerbilder.
Eine Secure-Heartbeat-Datenbankwartung ist nur ein enger Supportfall. Vor VACUUM FULL braucht es Backup, Wartungsfenster, Disk-Check und …
QUIC läuft über UDP 80 und UDP 443. Auf der Sophos Firewall sollte man verstehen, wann Block QUIC protocol nötig ist und wie man die Wirkung prüft.
CAPTCHA reduziert automatisierte Loginversuche auf WebAdmin und User Portal. Wichtig sind Device-Console-Status, Risiko, Nachkontrolle und …
Log Viewer, Service-Logs, Audit Trail, SSH, CLI, Packet Capture, tcpdump, Syslog und SIEM.
Beim Troubleshooting muss man wissen, welcher Sophos Firewall Service zu welchem Modul gehört, welche Logdatei passt und wann Log Viewer, CTR, Debug …
Bei Störungen, VPN-Problemen oder unklaren Firewall-Ereignissen braucht ein Supportfall saubere Logs, Zeitangaben und bei Bedarf Captures.
Audit Trail Logs zeigen Konfigurationsänderungen auf der Sophos Firewall. Wichtig sind Aktivierung, Download, Auswertung und Aufbewahrung.
SSH ist ein mächtiger Supportzugang auf Sophos Firewall. Wichtig sind Device Access, ACL-Ausnahmen, Public Keys, Host Keys und Eingriffsgrenzen.
Wichtige CLI-Befehle helfen bei Troubleshooting, Loganalyse, Netzwerkprüfung, Service-Status und Debug-Logging. Entscheidend ist ein sicherer Ablauf.
Packet Capture zeigt, ob Pakete ankommen, weitergeleitet oder verworfen werden. Wichtig sind Testplanung, Filter, NAT und Auswertung.
tcpdump liefert genaue Paketmitschnitte auf der Firewall. Wichtig sind Advanced Shell, enge Filter, PCAP-Dateien, Interface-Vergleich, Supportkontext …
Sophos Firewall nutzt interne User IDs für Benutzer und Gruppen. Das 65'535-Limit kann VPN-Portal-Downloads in grossen Umgebungen stören.
Drops sind nicht automatisch Fehler. Für die Analyse zählen Log Viewer, Invalid Traffic, Packet Capture, Firewall ID 0, Rule ID, NAT ID, Routing und …
Nach einem Firewall-Wechsel können alte ARP-Einträge WAN- oder Alias-IP-Adressen blockieren. Wichtig sind ARP-Cache, Providergerät und Tests.
Missing Heartbeat Alerts entstehen, wenn die Firewall Traffic ohne passenden Security Heartbeat sieht. Wichtig sind Endpoint-Status, DNS und Logs.
iPerf misst TCP- oder UDP-Durchsatz zwischen Endpunkten. Aussagekräftig wird der Test erst mit sauberem Pfad, Richtung und Bewertung.
sFlow macht Traffic-Muster und auffällige Flows sichtbar. Wichtig sind Collector, Sampling, Interface-Auswahl, Grenzen und Betriebskontrolle.
SFOS 22 erweitert SNMP um Temperatur, Lüfter, Netzteile und PoE. Wichtig sind Device Access, MIBs, SNMP-Version, Monitoring-Ziele und Alarme.
Ein Speedtest auf der Sophos Firewall grenzt WAN- und Clientprobleme ein. Wichtig sind SSH-Test, WAN-Pfad, Einheit, Testdatei und Interpretation.
Central Firewall Reporting verschiebt Firewall-Logs nach Sophos Central. Wichtig sind Logauswahl, Aufbewahrung, Report Hub und Syslog-Abgrenzung.
Syslog bringt Sophos-Firewall-Logs in SIEM, SOC oder zentrale Logserver. Wichtig sind Logtypen, Transport, TLS-Kompatibilität, Parser, Validierung und …
Backup, Firmware, SFOS-Upgrades, Task Queue, Services, Config Studio, Reimage, SSD, HA und RMA.
Backups helfen nur mit Datei, Passwort, Secure Storage Master Key, Zielversion, Managementzugang und Restore-Kompatibilität. Pflicht vor Updates, …
Firmware-Updates auf Sophos Firewall brauchen Vorbereitung, Backup, Upgrade-Pfad, Wartungsfenster, HA-Planung, Rollback-Kriterien und gezielte …
Vor einem SFOS 22 Upgrade sollten Plattform, Interface-Namen, Speicherplatz, Backup, HA, IPsec, STAS und Recovery vorbereitet sein.
Die Task Queue zeigt, ob zentrale Firewall-Änderungen verarbeitet wurden. Wichtig sind Verlauf, Status, Skip, Retry und lokale Validierung.
Die Installation ist nur der kurze Teil eines Firmware-Updates. Entscheidend sind passendes Image, Upgrade-Pfad, Backup, GUI-Aktion, HA-Verhalten, …
Service-Neustarts können Firewall-Module stabilisieren, ändern aber den Zustand. Vorher zählen Logprüfung, Risiko, Zugriff und Nachkontrolle.
Config Studio hilft beim Lesen, Vergleichen und Kontrollieren von Firewall-Konfigurationen. Wichtig sind Exportdatei, Review, API-Ausgabe und Grenzen.
WebAdmin GUI reagiert nicht? Oft hilft ein gezielter Neustart von tomcat und apache. Vorher sollte man Zugriff, Systemzustand und Logs prüfen.
Ein Reimage überschreibt die Firewall vollständig. Vorher zählen Backup, SSMK, Installer-Image, Restore-Kompatibilität, HA und Nachkontrolle.
Der SMART-Endurance-Wert hilft, SSD-Verschleiss einzuordnen. Entscheidend sind Trends, Symptome, Storage-Checks, HA-Nodes und Supportdaten.
Speicherwarnungen verlangen Ursachenklärung. Entscheidend sind /var, Reports, Event Logs, Troubleshooting Logs, Mailqueue, Warnschwellen und …
HA verbindet zwei Sophos Firewalls zu einem Cluster. Wichtig sind Voraussetzungen, Lizenzen, HA-Link, Monitored Ports, QuickHA, Updates, RMA und …
Lokale Skripte auf Sophos Firewall gefährden Support, HA, Updates und Fehlersuche. Wichtig sind Risiken, Alternativen und Mindestprüfungen.
Ein gutes Sophos Supportticket spart Rückfragen. Wichtig sind Seriennummer, Lizenzstatus, Fehlerbild, Logs, Screenshots und Portalablauf.
Bei einem Sophos Hardwaredefekt zählen Seriennummer, Garantie, Support Case, Backup, HA-Status, Ersatzgerät und Rücksendung.
Spezialfälle, ältere Clients und Themen, die nicht sauber in die Hauptbereiche passen.
Sophos Home Edition, XGS mit Base License und Sophos Home passen zu unterschiedlichen privaten Szenarien. Wichtig sind CPU-Limit, Nutzen, Grenzen und …
UniFi Geräte brauchen für L3-Adoption Controller-Adresse, passende ausgehende Ports und oft DNS. Wichtig sind Firewall-Regeln, Inform URL und Tests.