In diesem Artikel zeigen wir Ihnen, wie Sie auf Ihrer Sophos XGS eine neue Firewall Regel erstellen

1. Öffnen Sie den WebAdmin der Sophos Firewall

2. Navigieren Sie zu „Rules and Policies --> Firewall rules“

3. Wählen Sie „Add firewall rule“ und dann „New firewall rule“ aus

4. Zunächst konfigurieren wir die allgemeinen Regeldetails:

Rule status: Sie können auswählen, ob die Regel beim Speichern aktiviert werden soll oder zunächst deaktiviert bleiben soll.
Rule name: Geben Sie der Regel einen Namen, um sie später einfacher zu identifizieren.
Description: Sie können optional auch eine Beschreibung hinzufügen, um den Sinn der Regel für Kollegen oder Supporter schnell zu erklären.
Rule position: Standardmäßig wird Ihre Regel immer an letzter Stelle (vor dem Deny All) positioniert. Sie können Sie aber auch direkt an den Anfang Ihres Regelwerkes setzen.
Rule group: Standardmäßig wird die Regel Automatisch einer Gruppe zugeordnet. Dies geschieht nach den definierten Kriterien in einer Regelgruppe. Sie können aber auch manuell eine oder keine Gruppe auswählen.
Action: Hier legen Sie fest, ob die Regel den Datenverkehr Annehmen, Verwerfen oder Ablehnen soll. Sie können hier außerdem auswählen, ob Sie eine WAF-Regel erstellen wollen („Protect with web server protection“).
Log firewall traffic: Mit diesem Haken legen Sie fest, ob der Datenverkehr, auf den diese Regel zutrifft, protokolliert werden soll. ACHTUNG: Der Haken ist standardmäßig NICHT gesetzt.

Rule Status

5. Nun können wir die Selektoren konfigurieren, nachdem der Datenverkehr ausgewählt wird:

Source zones: Wählen Sie hier die Quellzone aus, aus der der Datenverkehr kommt.
Source networks and devices: Hier können Sie die Quellen weiter auf einzelne Netzwerke oder Geräte einschränken.
During scheduled time: Wählen Sie aus, in welchem Zeitraum die Regel aktiv sein soll. Sie haben bereits vorgefertigte Einstellungen, können jedoch auch eigene Zeiten konfigurieren.
Destination zones: Wählen Sie hier die Zielzonen aus, in die der Datenverkehr fließt.
Destination networks: Hier können Sie die Ziele weiter auf einzelne Netzwerke oder Geräte einschränken.
Services: Hier können Sie auswählen, für welche Dienste (anhand der Portnummern) diese Regel gelten soll. Sie haben bereits vorgefertigte Dienste, können jedoch auch eigene Dienste und Dienstgruppen anlegen.

Selektoren Firewall Regel

6. Userspezifische Regel erstellen

Sie können über den Haken „Match known users“ eine Userspezifische Regel erstellen. Diese wird nur für authentifizierte Benutzer angewandt. Dafür ist es erforderlich, einen Authentifizierungsserver anzubinden und entweder ein STAS zu installieren oder die Sophos Endpoints zu benutzen.

Exclude this user activity from data accounting: Wählen Sie diese Option, um den Datenverkehr der angegebenen Benutzer von der Datenerfassung auszuschließen. Standardmäßig fügt XGS-Firewall der Datenübertragung einzelner Benutzer Datenverkehr hinzu, der den Regelkriterien entspricht. Verwenden Sie diese Option, wenn Sie kein Datennutzungslimit für die angegebenen Benutzer festlegen wollen.

Userspezifisches Regel

7. Ausnahmen definieren

Sie können Ausnahmen für Ihre Regel definieren. Dafür haben Sie die oben genannten Selektoren:

Quellzonen
Quellnetzwerke und Geräte
Zielzonen
Zielnetzwerke
Dienste

Ausnahmen Firewall Regeln

8. Adressübersetzung

Mit „Create linked NAT rule“ können Sie eine Adressübersetzung für die Quellnetzwerke und -geräte dieser Regel erzwingen. Damit können Sie beispielsweise die Quellnetzwerke einer WAN-Regel maskieren.

Adressübersetzung

9. Security Features

Mit den Security Features können Sie den Datenverkehr filtern und auf Schadsoftware überwachen. Sie haben verschiedene Module, die durch Ihre Lizensierung freigeschalten werden und in separaten Menüs konfiguriert werden können.

Web filtering

Web policy: Hier können Sie eine Web policy auswählen
Apply web category-based traffic shaping: Hiermit können Sie die in den Web policies festgelegte Bandbreitenbegrenzung für einzelne Kategorien in dieser Regel aktivieren.
Block QUIC protocol: Blockiert das QUIC-Protokoll, indem ausgehende UDP-Pakete an die Ports 80 und 443 für Datenverkehr verworfen werden, der den Kriterien der Regel entspricht.
Scan http and decrypted HTTPS: Wählen Sie diese Option, um den Internetverkehr auf Schadprogramme zu überprüfen. ACHTUNG: Diese Option aktiviert NICHT die HTTPS Entschlüsselung. Dafür nutzen Sie die SSL/TLS-Inspektionsregeln im DPI-Modus (Link) oder „Decrypt HTTPS during web proxy filtering“.
Use zero-day protection: Diese Option ist nur verfügbar, wenn Sie die obere Option auswählen. Sie sendet heruntergeladene Dateien (via http und HTTPS) an die Sandstorm-Analyse, um Sie vor unbekannten Exploits oder Malware zu schützen.
Scan FTP for malware: Diese Option überprüft FTP-Verkehr auf Schadprogramme.
Use web proxy instead of DPI engine: Mit dieser Option aktivieren Sie den Web-Proxy auf Port 80 und Port 443. Damit können Sie beispielsweise SafeSearch oder YouTube-Beschränkungen aktivieren. Die DPI Engine ist dabei weiterhin auf den anderen Ports aktiv.
Decrypt HTTPS during web proxy filtering: Mit dieser Option wird auch HTTPS im direkten Proxy-Modus entschlüsselt.

Security Features

Configure Synchronized Security Heartbeat

Der Heartbeat ist ein von dem Endpoint übertragenes Telemetrie-Signal, welches Auskunft über die „Gesundheit“ des Endpoints gibt. Wenn keine Verdächtigen Dateien oder Aktivitäten auf dem Endpoint zu finden sind, ist er grün. Wenn verdächtige Dateien, die aber nicht eindeutig einer Malware zuzuordnen sind, gefunden werden, wechselt er auf Geld. Wenn der Endpoint kompromittiert ist, wechselt er auf Rot. Dann wird auch der Endpoint isoliert.

Minimum source HB permitted: Die Mindestanforderung an den Heartbeat der Quelle.
Block clients with no heartbeat: Wenn ein Client kein Heartbeat aussendet, zum Beispiel wenn ein Angreifer sich mit einem Firmenfremden Gerät in ihr Netzwerk einwählt, können Sie die Verbindung über diese Option blocken.
Minimum destination HB permitted: Die Mindestanforderung für den Heartbeat des Ziels.
Block requests to destination with no heatbeat: Wenn ein Ziel keinen Heartbeat sendet, dann können Sie mit dieser Option Anfragen zu diesem Ziel unterbinden.

Heartbeat

Other security features

Identify and control applications (App control): Wählen Sie hier das Profil der Applikationskontrolle aus. Dieses können Sie hier bearbeiten.
Shape Traffic: Hier können Sie eine Traffic Shaping Policy auswählen. Diese können Sie in einem anderen Menü erstellen (Link zum Artikel). Wenn Sie eine Userbasierte Regel erstellen, dann wird zuerst die Traffic Shaping Policy des Users, oder wenn nicht vorhanden, der Usergruppe herangezogen.
DSCP marking: Wählen Sie die Stufe von DSCP-Markierung aus, um Pakete für die Priorisierung zu markieren. Beschleunigte Weiterleitung (Expedited Forwarding, EF): Warteschlangen basierend auf Priorität, die eine geringe Verzögerung und geringen Paketverlust gewährleisten. Geeignet für Echtzeitdienste. Gesicherte Weiterleitung (Assured Forwarding, AF): Sichere Lieferung, jedoch mit Paketverlust bei Überlastung. Weist eine höhere Priorität zu als „Best Effort“. Klassenauswahl (Class Selector, CS): Abwärtskompatibilität mit Netzwerkgeräten, die IP-Priorität in Type of Service verwenden.
Detect and prevent exploits (IPS): Wählen Sie eine IPS-Policy aus. Diese können Sie in einem anderen Menü konfigurieren (Link zu Artikel).
Scan email content: Wählen Sie hier die E-Mail Ports aus, welche überwacht werden sollen. Denken Sie daran, diese Ports auch in den Selektoren hinzuzufügen.

Andere Security Features