Łączenie Sophos Firewall z Sophos Central
Nie ma konieczności łączenia Sophos Firewall z Sophos Central. Pojedyncza zapora może być w pełni zarządzana lokalnie przez WebAdmin. Jednak w wielu środowiskach warto połączyć ją z Sophos Central, ponieważ oferuje to dodatkowe funkcje zarządzania, kopii zapasowych, raportowania i bezpieczeństwa.
Ten artykuł pomoże podjąć decyzję, kiedy Sophos Central jest przydatne, a kiedy wystarczy lokalne zarządzanie.
Krótka odpowiedź
Jeśli zarządzasz tylko jedną lokalną Sophos Firewall i nie chcesz korzystać z funkcji Central, Sophos Central nie jest konieczne.
Jeśli zarządzasz wieloma zaporami, chcesz centralnie analizować dane logów, przechowywać kopie zapasowe konfiguracji w chmurze lub używasz innych produktów Sophos, takich jak Sophos Endpoint, Sophos Central przynosi wyraźne korzyści.
Decyzja nie powinna jednak sprowadzać się tylko do: połączyć czy nie połączyć. Ważniejsze jest, które funkcje Central naprawdę chcesz aktywować. Zapora może być zarejestrowana w Sophos Central, bez konieczności aktywnego korzystania z każdej funkcji zarządzania, raportowania czy kopii zapasowych.
Korzyści z połączenia z Sophos Central
Centralny przegląd
W Sophos Central można zobaczyć zarejestrowane zapory w jednym miejscu. Jest to szczególnie pomocne, gdy zarządzasz wieloma lokalizacjami lub urządzeniami tej samej organizacji.
Typowe korzyści:
- Przegląd statusu zapór
- Numery seryjne i informacje o licencjach
- Status oprogramowania i bezpieczeństwa
- Centralne raporty
- Szybkie przełączanie między wieloma zaporami
Zarządzanie przez Sophos Central
Dzięki Manage from Sophos Central można uzyskać dostęp do zarządzania zaporą przez Sophos Central. Jest to często bezpieczniejsze niż publikowanie WebAdmin Console bezpośrednio z internetu.
Dostęp do zarządzania nie zastępuje jednak solidnej strategii administracyjnej. Konta administratorów, MFA, role, Device Access i reguły ACL muszą być nadal świadomie konfigurowane. Według Sophos Central Firewall Management wymaga dodatkowo aktywnej płatnej subskrypcji innej niż Base Firewall albo aktywnego kontraktu wsparcia.
Często pomija się jeden punkt techniczny: Sophos Central może zarządzać firewallami tylko wtedy, gdy firewall ma dostęp do internetu przez IPv4. W środowiskach IPv6-only albo bardzo ściśle odseparowanych tę ścieżkę trzeba sprawdzić przed aktywacją.
Jeśli zmiany przez Central nie są odbierane na zaporze zgodnie z oczekiwaniami, należy dodatkowo sprawdzić Sophos Central Firewall Management Task Queue. Tam można zobaczyć, czy zadania grupowe lub zadania zapory oparte na API są w toku, nie powiodły się lub zostały pominięte.
Ograniczenia Central Firewall Management
Central Firewall Management jest dodatkową ścieżką administracji, ale nie zastąpi w pełni lokalnej obsługi firewalla, lokalnych logow ani przetestowanego dostępu awaryjnego. Zwłaszcza przy wielu administratorach, grupach firewalli i klastrach HA warto znać najważniejsze ograniczenia, aby normalnego zachowania platformy nie traktowac jak błędu konfiguracji.
- Dwaj administratorzy otwierają ten sam firewall przez Central jednocześnie: Central może się ładować bez konca albo pokazac nieoczekiwany stan. Zamknąć równoległe sesje, odczekac kilka minut i sprawdzic lokalny WebAdmin.
- Rola read-only albo helpdesk nie widzi zgrupowanych firewalli: Role w Central nalezy przetestowac na prawdziwych kontach przed uzyciem operacyjnym. Nie wszystkie widoki i funkcje grup sa widoczne dla kazdej roli.
- Pary HA pojawiaja sie podwojnie albo na kilku stronach: Zaleznie od widoku Central czlonkowie klastra HA moga byc pokazani osobno. W operacjach decydujacy pozostaje lokalny status HA.
- Reguł firewall nie da się przesuwac na poziomie grupy tak jak lokalnie: Reguły zarządzane grupowo trzeba dobrze zaplanowac. Zmiany kolejności lub wyjątki czesto łatwiej kontrolowac bezpośrednio na firewallu.
- Importowane grupy lub reguły WAF zachowują się w Central nietypowo: Po imporcie konfiguracji, Full Sync albo imporcie reguł WAF trzeba sprawdzic widok Central, docelowy firewall i Task Queue.
W praktyce po zmianach z Central należy sprawdzić Task Queue, lokalny widok WebAdmin, Log Viewer i w razie potrzeby Audit Trail. Jeżeli interfejs Central tylko sie laduje, para HA wygląda na zdublowana albo reguły grupowej nie da się przesunąć, nie musi to oznaćzac problemu z regułą firewall.
Kopie zapasowe konfiguracji w Sophos Central
Zapora może wysyłać kopie zapasowe konfiguracji do Sophos Central. Jest to przydatne, gdy urządzenie musi zostać wymienione lub przywrócone, a lokalne kopie zapasowe nie są dostępne.
W Sophos Central można ustawić zaplanowane kopie zapasowe dla zarejestrowanych zapór. Dostępne są interwały Daily, Weekly i Monthly. Dzięki temu można na przykład określić, że wybrane zapory codziennie, co tydzień lub co miesiąc wysyłają kopię zapasową konfiguracji do Sophos Central.

Sophos Central nie przechowuje wszystkich automatycznych kopii zapasowych bez ograniczeń. Domyślnie zachowywanych jest pięć najnowszych kopii, a starsze są usuwane. Jedną kopię można dodatkowo oznaćzyć do trwałego przechowywania. W klastrach HA Primary i Auxiliary są widoczne w harmonogramie backupu, ale według Sophos tworzona jest tylko kopia z urządzenia Primary.
Dla operacji ważne są dwa szczegóły: Sophos Central próbuje wykonać backup maksymalnie pięć razy, a przy trwałym niepowodzeniu generuje alert oraz e-mail do administratora Central. Jeśli firewall zostanie usunięty z Sophos Central Management, Sophos Central usuwa powiązane pliki backupu. Backupy w chmurze są więc pomocne, ale nie zastępują własnej strategii backupu i odtwarzania.
Mimo to nie należy polegać tylko na jednej metodzie tworzenia kopii zapasowych. Dla systemów produkcyjnych nadal warto regularnie tworzyć lokalne lub zewnętrzne kopie zapasowe. Ważne są również hasło do kopii zapasowej i Secure Storage Master Key.
Central Firewall Reporting
Dzięki Central Firewall Reporting zapora wysyła dane logów i raportów do Sophos Central. Dzięki temu można analizować raporty przez dłuższe okresy i centralnie je przeszukiwać.
W Sophos Central dostępne są do tego pulpity nawigacyjne, Report Hub, Report Generator, zapisane szablony i zaplanowane eksporty. Można tworzyć raporty dla pojedynczych zapór lub wielu zapór, filtrować okresy, wyszukiwać określone zdarzenia i eksportować wyniki jako PDF, CSV lub HTML. Dla regularnych analiz można dodatkowo zaplanować raporty i automatycznie je udostępniać.

Typowe szablony raportów to:
- Antivirus
- Użycie przepustowości
- Ryzyka i użycie aplikacji w chmurze
- Zapora
- IPS
- Przegląd i wyszukiwanie logów
- SD-WAN
- Trend SLA SD-WAN
- Użycie przepustowości SD-WAN
- Ocena postawy bezpieczeństwa
- Synchronizacja aplikacji
- Aktywność geograficzna zagrożeń
- Zagrożenia i zablokowane zdarzenia
- Użycie VPN
- Użycie sieci Web
- Ryzyka użytkowników sieci Web
- X-Ops
- Ochrona przed zagrożeniami zerowego dnia
Czas przechowywania zależy od licencji:
- Aktywna subskrypcja zapory: Do 7 dni Dla podstawowych raportów i krótkich retrospekcji
- Xstream Protection / Central Orchestration: Do 30 dni W zależności od pakietu i uprawnień
- Sophos Central Firewall Reporting Advanced: Do 365 dni 100 GB dodatkowej przestrzeni na licencję
Dokładna aktywacja i wybór logów są opisane w szczegółowym artykule Central Firewall Reporting aktywacja.
Synchronized Security i Security Heartbeat
Jeśli Sophos Endpoint i Sophos Firewall są zarządzane wspólnie przez Sophos Central, można korzystać z Synchronized Security. Zapora i Endpoint wymieniają informacje o bezpieczeństwie.
Przykłady:
- Zapora widzi Security Heartbeat z Endpointów.
- Urządzenia z czerwonym Heartbeat mogą być automatycznie ograniczane.
- Widok sieci i Endpointów jest lepiej połączony.
- W przypadku incydentów szybciej widać, który użytkownik lub urządzenie jest dotknięte.
To jedna z największych wartości dodanych, jeśli oprócz zapory używane są również Sophos Endpoint, MDR lub XDR.
Czego Sophos Central nie zastępuje
Sophos Central jest pomocne, ale nie zastępuje solidnej konfiguracji zapory.
Central nie zastępuje:
- solidnego planowania stref i interfejsów
- restrykcyjnych reguł zapory
- wzmocnienia dostępu do urządzeń
- MFA dla administratorów i portali
- lokalnego rozwiązywania problemów za pomocą Log Viewer i Packet Capture
- udokumentowanych kopii zapasowych i testów przywracania
- zewnętrznego systemu Syslog, jeśli wymagana jest zgodność lub długie przechowywanie
Sophos Central to dodatkowa warstwa zarządzania i raportowania, ale nie jest skrótem do bezpiecznej podstawowej konfiguracji.
Co sprawdzić przed rejestracją
Przed połączeniem z Sophos Central warto krótko wyjaśnić, co ma być osiągnięte dzięki rejestracji. Zapobiega to późniejszym niejasnym odpowiedzialnościom, podwójnym tenantom lub niepotrzebnie aktywowanym usługom.
Ważne pytania przed rejestracją:
- W którym tenancie Sophos Central ma być zarejestrowany firewall?
- Kto ma w tenancie wymagane uprawnienia do Firewall Management, Reporting, Backup i spraw licencyjnych?
- Czy firewall jest już zarejestrowany w innym koncie Central?
- Czy firewall ma aktywną płatną subskrypcję inną niż Base Firewall albo aktywny kontrakt wsparcia dla Central Management?
- Czy firewall ma działające połączenie IPv4 z internetem?
- Czy Central ma być używane tylko do przeglądu licencji i inwentaryzacji, czy także do zarządzania, raportowania i backupów?
- Czy używane są grupy firewalli i czy role Admin, Helpdesk oraz Read-only zostały praktycznie przetestowane?
- Czy logi firewalla mogą być wysyłane do Sophos Central z punktu widzenia ochrony danych lub zgodności?
- Czy istnieje aktualny lokalny backup i udokumentowany Secure Storage Master Key?
- Czy wiadomo, kto po rejestracji sprawdza alerty, raporty i nieudane zadania?
Jeśli zapora jest już w niewłaściwym koncie, najpierw należy sprawdzić Przenoszenie Sophos Firewall do innego konta Sophos Central. Dla zrozumienia różnych kont i portali pomocny jest artykuł Portale Sophos: SophosID, Central, Support i dostępy do zapory.
Kiedy nie trzeba łączyć zapory
Połączenie z Sophos Central nie jest konieczne, jeśli:
- zarządzasz tylko jedną lokalną zaporą
- nie potrzebujesz raportów Central
- nie planujesz integracji z Sophos Endpoint
- zarządzanie w chmurze nie jest pożądane z powodów organizacyjnych
- logi są już wysyłane do własnego SIEM lub serwera Syslog
W takich przypadkach można prowadzić zaporę lokalnie. Ważne jest wtedy, aby kopie zapasowe, aktualizacje oprogramowania, monitorowanie i logowanie były odpowiednio zorganizowane.
Kiedy Sophos Central jest zalecane
Sophos Central jest szczególnie zalecane, jeśli:
- zarządzasz wieloma zaporami
- administratorzy pracują z różnych lokalizacji
- zapory nie powinny być bezpośrednio dostępne przez WebAdmin z internetu
- kopie zapasowe konfiguracji mają być przechowywane centralnie
- potrzebne jest raportowanie zapory
- używane są Sophos Endpoint, MDR, XDR lub inne produkty Sophos Central
- chcesz korzystać z Security Heartbeat i Synchronized Security
Aktywacja połączenia
Połączenie jest konfigurowane na firewallu w System > Sophos Central.
Istnieją dwie typowe metody rejestracji:
- OTP z Sophos Central: przydatne, gdy partner, zespół projektowy lub administrator firewalla nie powinien używać na firewallu danych Super Admin tenanta Central. W Sophos Central istniejący firewall dodaje się przez numer seryjny pod My Products > Firewall Management > Firewalls > Add Firewall i generuje OTP.
- Dane logowania Sophos Central: przydatne przy bezpośredniej rejestracji na firewallu z odpowiednim kontem administratora Sophos Central. Sophos określa to jako Central Super Admin.
Przy parach HA trzeba pracować szczególnie dokładnie. Przy rejestracji OTP w Sophos Central wpisuje się oba numery seryjne; przy nowych parach HA OTP używa się na urządzeniu Primary.
Typowy przebieg na firewallu:
- Zalogować się na firewallu.
- Otworzyć System > Sophos Central.
- Wybrać Register.
- Wybrać Use OTP albo Use email address.
- Wpisać OTP albo dane logowania Sophos Central.
- Zakończyć rejestrację.
- Włączyć Sophos Central services.
- Wybrać wymagane usługi.
W zależności od potrzeb można aktywować następujące opcje:
Use Sophos Central reporting/Send reports and logs to Sophos Central: wysyła dane logów i raportów do Sophos Central.Use Sophos Central management/Manage from Sophos Central: umożliwia dostęp do zarządzania przez Sophos Central.Send configuration backup to Sophos Central: zapisuje backupy konfiguracji w Sophos Central. W praktyce ta opcja jest związana z konfiguracją Central Management i musi zostać zaakceptowana w Sophos Central.
Należy aktywować tylko te funkcje, które są naprawdę używane. W środowiskach z wymaganiami ochrony danych lub zgodności trzeba wcześniej ustalić, które dane logów mogą być wysyłane do Sophos Central.
Po aktywacji usług uprawniony administrator musi zaakceptować usługi w Sophos Central:
- Zalogować się do Sophos Central.
- Otworzyć My Products > Firewall Management > Firewalls.
- Znaleźć firewall ze statusem Approval Pending.
- Wybrać accept-services.
- Na firewallu sprawdzić, czy status zmienia się z Waiting for approval from Sophos Central na Managed albo połączony.
Zmiana statusu może potrwać kilka minut. Jeśli wskazanie nie zmienia się od razu, nie należy rejestrować wielokrotnie. Najpierw sprawdzić status Central, połączenie internetowe, DNS i czas.
Kontrola po połączeniu
Po rejestracji należy nie tylko sprawdzić, czy zapora jest widoczna w Sophos Central. Kluczowe jest, czy aktywowane usługi naprawdę działają i czy odpowiedzialności są jasne.
Sensowna kontrola po rejestracji:
- W Sophos Central sprawdź, czy model, numer seryjny i status licencji są poprawnie wyświetlane.
- Na zaporze w System > Sophos Central sprawdź, czy pożądane usługi są aktywne i połączone.
- Jeśli używasz Manage from Sophos Central, przetestuj świadomie dostęp przez Sophos Central.
- Jeśli raportowanie jest aktywne, sprawdź w Log Viewer i w Sophos Central, czy aktualne zdarzenia są odbierane.
- Jeśli kopie zapasowe w chmurze są aktywne, skonfiguruj zaplanowaną kopię zapasową i udokumentuj ostatni udany czas kopii zapasowej.
- Sprawdź alerty, role i odpowiedzialności w Sophos Central.
- Jeśli zmiany są dystrybuowane przez Central, sprawdź Central Firewall Management Task Queue.
Zwłaszcza przy wielu zaporach rejestracja powinna znaleźć się w wewnętrznej dokumentacji: tenant, numer seryjny, lokalizacja, aktywna usługa Central, przechowywanie raportów, interwał kopii zapasowych i odpowiedzialna osoba.
Osobna weryfikacja usług Central
Po rejestracji nie należy sprawdzać tylko ogólnego statusu Central. Poszczególne usługi mają różne objawy błędów i dlatego wymagają osobnych testów odbiorczych.
- Rejestracja i inwentarz: zapora pojawia się we właściwym tenancie, a numer seryjny, model, licencja i lokalizacja są poprawne.
- Manage from Sophos Central: dostęp przez Central działa z przewidzianą rolą administratora, bez zbędnego otwierania WebAdmin z WAN.
- Central Reporting: celowo wywołane zdarzenie pojawia się w Report Hub z poprawną zaporą, czasem, ID reguły lub typem logu.
- Kopie zapasowe Central: zaplanowana lub ręczna kopia zapasowa kończy się powodzeniem, a interwał, hasło i Secure Storage Master Key są udokumentowane.
- Central Tasks: po zmianie w Central sprawdzana jest Task Queue, aż zadanie zakończy się powodzeniem lub zostanie poprawnie eskalowane.
- Alerty i odpowiedzialność: wiadomo, kto regularnie sprawdza nieudane zadania, problemy z kopiami zapasowymi, braki w raportowaniu i ostrzeżenia licencyjne.
Takie rozdzielenie zapobiega typowemu błędowi operacyjnemu: zapora może być widoczna w Sophos Central, a raportowanie, kopie zapasowe lub zadania Central nadal mogą nie działać poprawnie.
Typowe błędy
Zapora jest zarejestrowana w niewłaściwym koncie Central
To często zdarza się przy zmianach dostawców, kontach testowych lub wielu historycznych kontach SophosID. W takim przypadku nie należy po prostu próbować drugiej rejestracji. Najpierw ustal, gdzie obecnie znajduje się zapora, kto ma dostęp do tenanta i czy potrzebny jest transfer konta.
Central Management jest mylone z lokalnym WebAdmin
Manage from Sophos Central to dodatkowa ścieżka dostępu. Lokalna WebAdmin Console, lokalni użytkownicy administratorzy, MFA, Device Access i SSH pozostają nadal niezależnymi kontrolami bezpieczeństwa. Szczególnie ważne jest, aby WebAdmin nie pozostawał dostępny z WAN tylko dlatego, że Central Management nie został jeszcze przetestowany.
Widok Central nie jest weryfikowany lokalnie
Przy politykach grupowych, klastrach HA, regułach WAF i zadaniach firmware nie należy traktować Central jako jedynego źródła prawdy. Central może pokazywać, że zmiana jest zaplanowana, zastosowana lub widoczna. Decydujące jest jednak, czy dana zapora przetworzyła zmianę i czy rzeczywisty ruch lub usługa po niej działa.
W praktyce: po zmianach w Central należy sprawdzić Task Queue, lokalny widok WebAdmin, Log Viewer oraz w razie potrzeby Audit Trail. Jeśli interfejs Central tylko się ładuje, para HA wygląda na zdublowaną albo reguły grupowej nie można przesunąć, nie oznaćza to automatycznie problemu z regułą zapory.
Raportowanie jest aktywowane, ale nie docierają żadne użyteczne dane
W takim przypadku najpierw sprawdź, czy Send reports and logs to Sophos Central jest aktywne, czy odpowiednie typy logów są włączone i czy zapora może dotrzeć do Central. Następnie w artykule Central Firewall Reporting aktywacja sprawdź szczegóły dotyczące wyboru logów, przechowywania i raportów.
Kopia zapasowa w chmurze jest rozumiana jako jedyna kopia zapasowa
Central-Backups są praktyczne, ale nie zastępują pełnego planowania odzyskiwania. Dla krytycznych lokalizacji powinno być również jasne, gdzie znajdują się lokalne kopie zapasowe, kto zna hasło do kopii zapasowej, czy Secure Storage Master Key jest udokumentowany i jak przebiegałoby przywracanie lub ponowne obrazowanie.
Nikt nie sprawdza zadań i alertów Central
Central pomaga tylko wtedy, gdy komunikaty i nieudane zadania są również przetwarzane. Szczególnie przy politykach grupowych, zadaniach oprogramowania, raportowaniu i kopiach zapasowych powinno być jasne, kto sprawdza ostrzeżenia i jak błędy są eskalowane wewnętrznie.