1. Home
  2. Anleitungen
  3. Sophos XGS
  4. Sophos Firewall: Internetzugang einrichten

Sophos Firewall: Internetzugang einrichten

erstellt am:

für Versionen:

  • 19.5
  • 20.0

In der folgenden Anleitung erklären wir Ihnen, wie Sie eine einfache Firewall- und NAT-Regel erstellen, um Ihren internen Clients Internetzugang zu ermöglichen.

1. Loggen Sie sich in der Weboberfläche Ihrer Sophos Firewall ein und navigieren Sie zu „Rules and policies --> Firewall Rules --> Add firewall rule“.

  • Vergeben Sie nun dieser Regel einen Namen unter „Rule name“. 
  • Aktivieren Sie den Punkt "Log Firewall traffic", damit die Nutzung dieser Regel im Log ersichtlich ist. Wir empfehlen, diese Option immer zu aktivieren.

2. Wählen Sie unter "Action", wie mit dem Datenverkehr verfahren werden soll, auf den die Regel zutrifft: 

  • Accept - Der Datenverkehr wird akzeptiert
  • Drop - Der Datenverkehr wird gedropped, der Absender erhält keine Rückmeldung
  • Reject - Der Datenverkehr wird fallengelassen und der Absender bekommt eine Meldung das der Verkehrblockiert wurde, wenn die Quelle und das Ziel übereinstimmt.
  • Protect with web server protection - Mit dieser Auswahl wechseln Sie zur WAF-Protection dies wird in der Web Application Firewall näher beschrieben.

3. Mit „Rule position“ können Sie bestimmen, ob diese Regel an oberster Stelle oder an unterster Stelle erscheinen soll. 

4. Mittels "Rule Group" legen Sie fest, ob die Regel einer Regelgruppe zugeordnet werden soll.

Hier haben Sie auch die Option eine neue Regelgruppe zu erstellen. Wird die Regel einer Regelgruppe zugeordnet, bezieht sich die Option "Rule Position" auf die Position der Regel innerhalb der gewählten Gruppe. Soll die Firewallregel also insgesamt ganz oben stehen, muss die Regelgruppe ebenfalls ganz oben stehen.

5. Geben Sie als nächstes an, auf welchen Datenverkehr die Regel angewendet werden soll.

  • Mit "Source Zones" geben Sie die Quellzonen an, für deren Verkehr die Regel gelten soll.
  • Mit "Source Networks and Devices" können Sie weiter spezifizieren, für welche Netzwerke und Hosts aus den gewählten "Source Zones" die Regel angewendet werden soll.
  • "Destination Zones" und "Destination Networks" arbeiten analog zu "Source Zones" und "Source networks and devices" und geben die Ziele an, für welche die Regel greifen soll.
  • Für den Internetzugang tragen Sie als Zielzone "WAN" ein. Für "Destination Networks" kann "Any" belassen werden, die Regel Einstellung umfasst so alle Netzwerke außerhalb Ihres Netzwerks. 
  • Mittels "Services" können Sie zuletzt noch festlegen für welche Dienste die Regel angewandt wird. Für einfaches WebSurfing können Sie hier auf "HTTP" und "HTTPS" einschränken.
Die Firewallregel greift, sobald alle Verbindungsbedingungen, Quelle, Ziel und Dienst, erfüllt sind.

6. Das Kästchen "Match known users" wird genutzt, um die Firewallregel nur auf die angegebenen Benutzer zu beschränken.

Voraussetzung hierfür ist, das Ihre Active-Directory-Benutzer mit der Firewall synchronisiert wurden und Sophos Transparent Authentication Suite auf dem Active Directory Server installiert und konfiguriert ist.
Internet F W1
  • Über "Add Exclusion" können Sie Datenverkehr festlegen, der nicht von der Regel betroffen sein soll, auch wenn er die Quell-, Ziel- und Dienstbedingungen erfüllt.
  • Mittels "Create Linked NAT rule" können Sie eine verknüpfte NAT-Regel erstellen. Beachten Sie, dass die NAT-Regel trotz der Verknüpfung auch für andere Firewallregeln verwendet werden wird, sofern die Datenverkehrsbedingungen erfüllt sind.
  • Richten Sie die "Security Features", wie Webfiltering, Application Control und Intrusion Prevention (IPS) nach Bedarf ein. Wir empfehlen, zumindest die IPS mit der Richtlinie "lantowan_strict" zu verwenden. Beachten Sie, das die IPS hierfür aktiv sein muss.
Internet F W2

7. Speichern Sie die Regel mit dem "Save Button".

8. Navigieren Sie zum Reiter "NAT Rules".

Haben Sie hier keine Veränderungen vorgenommen, existiert unter anderem bereits eine "Default SNAT IPv4". Diese Standardregel übernimmt die Maskierung der Clients um Zugang zum Internet zu ermöglichen. Im Zuge dieser Anleitung erstellen wir jedoch eine weitere NAT-Regel, die genau den Datenverkehr widerspiegelt, den wir in unserer Firewallregel angegeben haben.

9. Klicken Sie auf "Add NAT rule --> New NAT rule"

  • Vergeben Sie der Regel einen Namen.
  • Setzen Sie "Rule Position" auf "Top".

10. Geben Sie an für welchen Datenverkehr die NAT-Regel angewandt werden soll und wie der Datenverkehr verändert wird:

  • Unter "Original Source" geben Sie die Quell-Hosts und -Netzwerke an, die Sie in der Firewallregel angegeben haben.
  • Unter "Original Destination" geben Sie die Hosts und Netzwerke an, die Sie in der Firewallregel angegeben haben.
  • Unter "Original Service" geben Sie die Dienste an, die Sie in der Firewallregel angegeben haben.
  • Ändern Sie den Punkt "Translated Source (SNAT)" zu "MASQ".
  • Geben Sie unter "Outbound Interface" Ihre WAN-Schnittstellen an.

11. Speichern Sie die Regel mittels "Save".

Die Regel maskiert nun sämtlichen Datenverkehr, der die Quell-, Ziel-, Dienst- und Interface-Voraussetzungen erfüllt mit den Adressen der angegebenen Interfaces.Internet Nat
Sie können die Funktion der Regel gegenprüfen, indem Sie den "Usage"-Counter prüfen.