Hoppa till innehållet
Avanet
Sophos Central Firewall Management – funktioner med SFOS v18

Sophos Central Firewall Management – funktioner med SFOS v18

19. DECEMBER 2019

Den första kopplingen mellan brandväggen och Sophos Central tillkom i och med Synchronized Security. Kort därefter kom Sophos Central Firewall Manager. Funktionsomfånget i den första versionen var dock ganska begränsat, vilket gjorde att produkten initialt bara var delvis attraktiv. Med SFOS v18 har Central Firewall Manager nu byggts ut rejält.

Info: om du vill ta del av alla nyheter i den kommande SFOS v18 i detalj hittar du mitt utförliga inlägg här: Sophos SFOS v18 – nya funktioner i korthet

Central Firewall Management

Personligen tycker jag att Sophos Central Firewall Manager (SCFM) är ett mycket lyckat verktyg. Det funktionspaket som finns tillgängligt i dag är visserligen fortfarande relativt begränsat, men Sophos övergripande vision är övertygande. För oss är verktyget framför allt till hjälp för att behålla överblicken hos kunder som har flera brandväggar. I UTM‑världen är det Sophos UTM Manager (SUM) som fyller den rollen; för SFOS kan man dessutom använda Sophos Firewall Manager. Den sistnämnda är dock enligt vår erfarenhet endast delvis lämplig. Med tanke på hur SCFM utvecklas är det inte svårt att föreställa sig att den klassiska Sophos Firewall Manager så småningom kommer att fasas ut.

Låt oss titta på de viktigaste grundfunktionerna och hur man kommer i gång med Central Firewall Manager.

Ansluta en brandvägg

För att kunna använda brandväggshanteringen behövs ett Sophos Central‑konto. Kontot kan skapas kostnadsfritt och själva brandväggshanteringen kan också användas utan extra kostnad. I brandväggens administrationsgränssnitt kan du registrera dig mot Sophos Central via menyn ”Central synchronization”. Brandväggen kopplas då till Central.

Sophos Central Firewall Management – anslut till Central

Management

Efter hand byggs det upp en lista i ditt Central-konto med alla brandväggar du har lagt till. Med ett klick på brandväggens namn loggas du automatiskt in i dess backend och kan göra dina inställningar som vanligt. Inloggningen via Central är visserligen märkbart långsammare än en direktanslutning till brandväggen, men betydligt smidigare eftersom ingen extra inloggning krävs. Har brandväggen en dynamisk IP-adress? Inga problem. Eftersom brandväggen själv upprättar anslutningen till Central fungerar det utan problem.

Sophos Central Firewall Management – lista över alla kopplade brandväggar

Vilka funktioner som finns tillgängliga i Central Firewall Manager beror på vilken firmwareversion som är installerad på respektive brandvägg. Vissa funktioner aktiveras först från en viss version.

Firmwareuppdateringar

I brandväggsöversikten ser du direkt vilken firmwareversion som är installerad på respektive modell. Med ett klick på ”Upgrade” och sedan ”Upgrade Firmware” kan du rulla ut den senaste tillgängliga versionen.

Sophos Central Firewall Management – översikt över aktuella firmwareversioner
Sophos Central Firewall Management – uppdatera firmware

Jag kan inte säga det nog ofta: klicka på uppdateringsknappen med stor försiktighet. Förbered uppgraderingen noggrant och ta reda på i förväg vilka förändringar den nya versionen innebär. Vi ser gång på gång hur brandväggsuppdateringar installeras alltför lättvindigt. Med våra serviceavtal för brandväggar tar vi över patchhanteringen åt dig och skyddar dig mot obehagliga överraskningar. 😎

Säkerhetskopiering online

Via Sophos Central Firewall Manager kan du också skapa schemalagda eller manuella säkerhetskopior av brandväggskonfigurationen. Det är i vilket fall starkt rekommenderat att ha ett genomtänkt säkerhetskopieringskoncept. Tidigare kunde säkerhetskopior laddas ned manuellt från brandväggen, lagras direkt på en FTP‑server eller skickas via e‑post.

Trots dessa möjligheter uppstår i praktiken ofta problem just när en säkerhetskopia verkligen behövs. Hos kunder har vi bland annat stött på följande scenarier:

  • E‑postadressen dit säkerhetskopiorna skickades hade sedan länge upphört att existera – säkerhetskopiorna nådde därför aldrig inkorgen.
  • E‑postskyddet blockerade meddelandena eftersom de skickades från en dynamisk IP eller för att SPF‑posten var felaktig.
  • Säkerhetskopian fanns, men det tillhörande lösenordet gick inte längre att få fram.
  • Säkerhetskopian fanns, men var redan kraftigt föråldrad.

Det finns säkert ännu fler anledningar till att en säkerhetskopia kan visa sig värdelös i ett skarpt läge. Många av dessa risker minskar när säkerhetskopieringen flyttas till Central. Du får då en central, krypterad lagringsplats för säkerhetskopior i Sophos Central. Där hålls de aktuella och finns omedelbart tillgängliga när de behövs.

Sophos Central Firewall Management – hantera säkerhetskopior

Nya funktioner i v18

De funktioner som beskrivits ovan finns redan från version 17.5. I det följande tittar vi på de nyheter som tillkommer först med SFOS v18.

Rapportering

Tidigare fanns det en fristående Sophos‑produkt för central rapportering: iView. Strängt taget finns programvaran fortfarande kvar, men i praktiken betraktar vi en produkt som inte har utvecklats vidare på flera år som i realiteten avvecklad. Att Sophos ännu inte officiellt har deklarerat detta ändrar inte mycket. 😅 För oss har iView ingen framtid – men idén bakom lever vidare i Central Reporting.

Om du aktiverar rapportering på brandväggen skickas loggdata till Sophos Central. Utifrån dessa data kan sedan informativa rapporter genereras.

Sophos Central Firewall Management – aktivera Central Reporting
Sophos Central Firewall Management – rapportdashboard
Sophos Central Firewall Management – bandbreddsanvändning

Central Reporting för brandväggar befinner sig för närvarande fortfarande i betafas. Trots detta ger den aktuella implementationen redan en mycket bra bild av vad man kan vänta sig av den slutliga versionen.

Globala brandväggsinställningar

I miljöer med många brandväggar blir hanteringen snabbt komplex. Med omkring tio brandväggar går det oftast fortfarande att administrera allt mer eller mindre manuellt, men vid runt femtio system blir det en riktig utmaning. Med v18 är det möjligt att smidigt gruppera brandväggar i Central.

Sophos Central Firewall Management – gruppera brandväggar

I gruppolicyerna finns ett välbekant brandväggsgränssnitt där du kan definiera och spara centrala inställningar. Dessa konfigurationer distribueras sedan till alla brandväggar i respektive grupp.

Sophos Central Firewall Management – uppgiftskö för brandväggsgrupper

Även den här funktionen är fortfarande i betafas, vilket märks tydligt vid testning. Det är ännu en bit kvar till en helt mogen lösning och vissa detaljer återstår att lösa. På det hela taget är vi dock övertygade om att globala brandväggsinställningar i framtiden kommer att vara ett viktigt stöd vid hanteringen av stora brandväggsmiljöer.

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.