Konfigurieren Sie Sicherheit, Backend-Authentifizierung, Client-Verbindung, Dienstqualität (QoS), Netzwerkverfügbarkeit und Captive-Portal.
Legen Sie Einstellungen fest, um Ihr Netzwerk sicherer zu machen.
Synchronized Security: Bei Aktivieren dieser Option wird sichergestellt, dass Clients mit Sophos Endpoint Protection und Sophos Mobile Protection mit Access Points von Sophos Central Wireless kommunizieren können. Wenn Synchronized Security sowohl auf Sophos XG Firewall als auch auf Sophos Central Wireless aktiviert ist, haben die Einstellungen von Sophos XG Firewall Vorrang.
Für diese Funktion ist eine Lizenz für Endpoint Advanced Protection für Ihre Endpoints erforderlich. Bei Mobile Protection rufen Sie auf und wählen Sophos Wireless aus.
Security Heartbeat grün: Zeigt an, dass der Systemzustand des Endpoints einwandfrei ist und der gesamte Verkehr zugelassen wird.
Security Heartbeat gelb: Weist darauf hin, dass eine potenziell unerwünschte Anwendung (PUA) oder inaktive Malware entdeckt wurde. Der gesamte Verkehr wird zugelassen.
Security Heartbeat rot: Zeigt an, dass aktive Malware oder Ransomware erkannt wurde oder der Endpoint keine Security-Heartbeat-Meldungen von den Sophos Endpoint-Diensten des Endpoints empfangen kann. Der Access Point blockiert den gesamten Internetverkehr. Es ist nur Datenverkehr aus der gesicherten Browser-Umgebung (kontrollierte Umgebung oder sichere URL-Liste) zulässig.
Sophos Mobile (UEM): Ist standardmäßig aktiviert. Ermöglicht das Senden von Heartbeat-Informationen von mit Sophos verwalteten Mobilgeräten. Sie können Richtlinien für diese Geräte auch in Sophos Central verwalten.
Sophos Central Endpoint Protection: Aktivieren Sie diese Option, wenn Sie Endpoint-Richtlinien in Sophos Central verwalten möchten. Alternativ können Sie Endpoint-Richtlinien in XG Firewall verwalten.
Diese SSID nur auf mit Sophos verwaltete Geräte beschränken. Wenn ein nicht verwaltetes Gerät eine Verbindung zur SSID herstellt, stellen wir nach der Authentifizierung fest, dass das Gerät nicht verwaltet wird, und eine Landing Page wird angezeigt, die Sie konfigurieren müssen. Das Gerät wird in eine kontrollierte Umgebung überführt. Das Verhalten des Geräts ist vergleichbar mit einem roten Security Heartbeat-Status. Das Gerät darf nur auf Sophos-Websites oder auf URLs und IP-Adressen zugreifen, die auf der Liste erlaubter URLs und IP-Adressen stehen.
Bei einem verwalteten Gerät handelt es sich um ein von Sophos geschütztes Mobil- oder Endpointgerät.
Wenn Sie diese Option aktivieren, wird die Konfiguration der Landing Page angezeigt. Geben Sie folgende Informationen ein:
Erlaubte Domänen: Geben Sie hier Domänen ein, auf die Clients mit rotem Synchronized Security-Status weiterhin zugreifen sollen, sowie beliebige „.sophos.com“-Domänen. Diese Domänen sind auch für nicht verwaltete Geräte zugänglich, wenn Sie die Option SSID nur auf mit Sophos verwaltete Geräte beschränken aktiviert haben. Sowohl IP-Adressen als auch Domänennamen werden unterstützt.
Verdeckte SSID: Blendet die SSID für Netzwerk-Scans aus. Wenn die SSID verborgen ist, ist sie immer noch verfügbar, aber Sie müssen für eine direkte Verbindung den SSID-Namen kennen. Auch wenn eine SSID verborgen ist, können Sie diese einem Access Point zuordnen.
Client-Isolierung: Blockiert die Kommunikation zwischen Clients innerhalb derselben Funkfrequenz. Dies ist in einem Gast- oder Hotspot-Netzwerk nützlich.
MAC-Filterung: Bietet minimale Sicherheit, indem Media Access Control (MAC)-Adressverbindungen eingeschränkt werden.
LAN: Überbrückt ein WLAN-Netzwerk mit dem Netzwerk eines Access Points. Die WLAN-Clients haben denselben IP-Adressbereich.
VLAN: Leitet den Client-Verkehr zu bestimmten VLANs. Der Uplink-Switch muss so konfiguriert sein, dass er VLAN-Pakete akzeptiert.
RADIUS VLAN-Zuweisung: Hier werden Benutzer separiert, ohne dass mehrere SSIDs erstellt werden müssen. Verfügbar im WPA/WPA2 Enterprise-Verschlüsselungsmodus.
Benutzer werden durch ein von einem RADIUS-Server bereitgestelltes VLAN getaggt. Der Traffic bleibt ungetaggt, wenn der RADIUS-Server kein VLAN bereitstellt.
Gastnetzwerk aktivieren: Aktiviert ein Gastnetzwerk Ein Gastnetzwerk stellt ein isoliertes Netzwerk für Clients dar, für das bestimmte Beschränkungen für den Datenverkehr gelten. Access Points können zu einem bestimmten Zeitpunkt über ein Gastnetzwerk verfügen. Folgende Betriebsarten stehen zur Verfügung:
Bridge-Modus: Verwendet den DHCP-Server aus demselben Subnetz.
Der gesamte Traffic wird gefiltert und es wird ausschließlich Kommunikation mit dem Gateway, dem DNS-Server und externen Netzwerken zugelassen. Sie können ein Gastnetzwerk zu einer Umgebung ohne VLAN hinzufügen und es ist dennoch eine Isolierung gegeben. Da sich der DHCP-Server noch in Ihrem Netzwerk befindet, funktioniert das Roaming zwischen Access Points.
NAT-Modus: Verwendet den integrierten DHCP-Server des Access-Points. Dies stellt den Gastnetzwerk-Clients lokal isolierte IP-Adressen zur Verfügung. Die Clients kennen das interne IP-Schema nicht.
Im NAT-Modus ist ein DNS-Server für eine Client-Adresse optional. Wenn dem Client vom DNS-Server keine DNS-Adresse zugewiesen wird, wird ihm dieselbe DNS-Adresse wie dem Access Point zugewiesen.
Der Bridge-Modus weist einen höheren Durchsatz und der NAT-Modus eine stärkere Isolierung auf.
Sie können SSIDs festlegen, die nur zu bestimmten Zeiten oder an bestimmten Wochentagen verfügbar sind. Zu anderen Zeiten sind die SSIDs nicht sichtbar.
Immer: Wählen Sie diese Option, um die SSID jederzeit verfügbar zu machen.
Geplant: Legen Sie fest, an welchen Wochentagen und in welchem Zeitraum das Netzwerk verfügbar sein soll.
Konfigurieren Sie Einstellungen, um Ihr Netzwerk zu optimieren.
Umwandlung Multicast in Unicast: Optimiert die Multicast-Pakete zu Unicast-Paketen. Der Access Point wandelt auf Grundlage des Internet Group Management Protocol (IGMP) für jeden Client einzeln Multicast-Pakete in Unicast-Pakete um.
Das funktioniert am besten, wenn weniger Clients mit einem Access Point verbunden sind.
Die Konvertierung in Unicast wird für das Streaming von Medien bevorzugt, da mit höheren Durchsatzraten gearbeitet werden kann.
Proxy-ARP: Ermöglicht dem Access Point, Address Resolution Protocol (ARP)-Anforderungen zu beantworten, die für die verbundenen WLAN-Clients bestimmt sind.
Fast Roaming: Optimiert die Roaming-Zeiten beim Wechsel zwischen verschiedenen Access Points. SSIDs mit WPA2-Verschlüsselung verwenden den IEEE 802.11r-Standard, um die Roamingzeiten zu verkürzen (bei Enterprise-Authentifizierung). Kommt zum Einsatz, wenn eine SSID verschiedenen Access Points zugewiesen ist. Clients müssen ebenfalls den Standard IEEE 802.11r unterstützen.
Broadcasting aktiviert lassen: Stellen Sie sicher, dass der Access Point weiter überträgt, wenn er nicht in der Lage ist, sich nach einem Neustart wieder mit Sophos Central zu verbinden. Wenn diese Option aktiviert ist, können Clients weiterhin eine Verbindung zum Access Point und (oder) zum Internet herstellen, und der Access Point arbeitet mit seiner alten Konfiguration.
Band Steering: Verteilt Clients basierend auf der Last in den zwei Frequenzbändern und der Funktionalität der Clients auf das 2,4 GHz- und 5 GHz-Band. Für Dual-Band-fähige WLAN-Clients erfolgt, wenn möglich, das Routing auf das 5-GHz-Band, um die Leistung für den Client zu verbessern. Dabei wird die ursprüngliche Zuweisungsanfrage des Clients für das 2,4 GHz-Band abgelehnt. Daraufhin versucht ein Dual-Band-Client eine Aushandlung für das 5 GHz-Band. Wenn sie sich nicht mit dem 5-GHz-Band verbinden, werden sie als „schwer steuerbar“ gekennzeichnet und es erfolgt kein erneutes Routing. Wenn ein Client zu weit vom Access Point entfernt ist, wird kein Routing versucht. Das verhindert das Routing von Clients auf 5 GHz, wo die Reichweite gewöhnlich unter der des 2,4-GHz-Bands liegt. Band Steering erfolgt auf Access Point-Ebene und hat Auswirkungen auf alle SSIDs an diesem Access Point.
Aktivieren und konfigurieren Sie einen Hotspot.
Hotspot aktivieren: Hier wird aus der SSID ein Hotspot. Diese Funktion bietet Cafés, Hotels oder Firmen die Möglichkeit, Gästen einen zeitlich und datenmäßig begrenzten Internetzugang zu gewähren.
Seitentitel: Sie können einen Titel für die Startseite angeben. Es ist für Benutzer sichtbar, die die Nutzungsbedingungen akzeptieren.
Begrüßungstext: Sie können einen Begrüßungstext für die Startseite angeben.
Nutzungsbedingungen: Benutzer müssen vor der Authentifizierung die Nutzungsbedingungen akzeptieren.
Backend-Authentifizierung: Bei diesem Authentifizierungstyp können Benutzer sich über Remote Authentication Dial-In User Service (RADIUS) authentifizieren.
Kennwortplanung: Sie können automatisch nach einem festen Zeitplan ein neues Kennwort erstellen. Wenn ein wöchentlicher oder monatlicher Zeitplan festgelegt ist, können Sie auch einen Wochentag oder eine Woche auswählen. Das alte Kennwort wird zum festgelegten Zeitpunkt ungültig, laufende Sitzungen werden beendet. Das neue Kennwort wird als Benachrichtigung an die angegebenen E-Mail-Adressen geschickt.
Voucher: Bei diesem Hotspot-Typ können Voucher mit Zeitbeschränkung erzeugt, ausgedruckt und an Kunden weitergegeben werden. Nach Eingabe des Codes können die Benutzer direkt auf das Internet zugreifen.
Anmeldeinformationen für soziale Medien: Sie können Ihren Benutzern erlauben, sich mit ihren Social-Media-Konten zu authentifizieren. Sie können sie ihre Facebook- oder Google-Konten verwenden lassen. Um die Google-Authentifizierung einzurichten, rufen Sie die Google Developer Console auf und rufen Sie die Client-ID und den Clientschlüssel für Google ab. Geben Sie diese Informationen hier ein. Um die Facebook-Authentifizierung einzurichten, gehen Sie zum Facebook Developer Account und rufen Sie App-ID und App-Geheimcode für Facebook ab. Geben Sie diese Informationen hier ein.
Um die Google Client-ID von der Google-Entwicklerkonsole abzurufen, müssen Sie folgende Schritte ausführen:
Autorisierte JavaScript-Quellen: https://www.myapsophos.com:8443
Autorisierten Weiterleitungs-URIs: https://www.myapsophos.com:8443/hotspot.cgi
Sitzungs-Zeitüberschreitung: Schränkt die Zugriffszeit der Benutzer für das Internet ein.
Timeout für erneute Anmeldung: Verhindert, dass sich Benutzer innerhalb von 24 Stunden nach der ersten Social Login-Anmeldung erneut beim Netzwerk anmelden.
Umleitungs-URL: Sie können die URL festlegen, auf die Benutzer von der Landing Page weitergeleitet werden. Benutzer können auf die Standard-Website des Mobilgeräts oder eine bestimmte Website Ihrer Wahl weitergeleitet werden. zum Beispiel Ihre Unternehmensseite.