Sophos XG Firewall: Konfiguration einer standortbezogenen, auf Identität basierenden Zugriffssteuerungsrichtlinie

Übersicht

Sophos XG Firewall (SF) bietet Administratoren die Flexibilität, einem Benutzer mehrere Zugriffsrichtlinien gleichzeitig über den Arbeitsbereich oder die Abteilung des Benutzers zuzuweisen. Administratoren können Benutzerrichtlinien, die von der Benutzergruppe geerbt wurden, mithilfe von identitätsbasierten oder zonenbasierten Firewallregeln außer Kraft setzen. Beide Richtlinien können koexistieren, wenn SF die Richtlinie basierend auf dem Ort implementiert, von dem aus der Benutzer auf das Internet zugreift.


Szenario:

Betrachten Sie das hypothetische Beispiel unten, in dem SF in der Zentrale (HO) eingesetzt wird und alle Mitarbeiter der Zweigstelle (BO) über die Zentrale auf das Internet zugreifen. Der HO-Mitarbeiter localuser hat keinen Zugriff auf IM, wenn er von HO aus zugreift, aber wenn er BO besucht, soll er Zugang zu IM erhalten. Das Netzwerkschema ist unten gezeigt.

Diagram19xGcUq5UHnGQV

Der gesamte Internetverkehr der Zweigstelle (BO) verläuft über das Gateway HO GW durch die Zentrale (HO). Zwei (2) Anwendungsfilterrichtlinien, nämlich Block_IM und Allow_IM, sollen auf Benutzer John Smith angewendet werden.

  • Block_IM-Richtlinie: Blockiert IM-Anwendungen und wird auf den Benutzer angewendet, wenn er von HO auf das Internet zugreift.
  • Allow_IM-Richtlinie: Erlaubt IM-Anwendungen und wird auf den Benutzer angewendet, wenn er auf Internet von BO zugreift

Im Folgenden werden diese Themen behandelt:

  • Konfiguration
  • Blockieren Sie IMs für Mitarbeiter localuser von HO
    • Schritt 1: Erstellen Sie die Block_IM-Anwendungsfilterrichtlinie
    • Schritt 2: Wenden Sie die Richtlinie auf den Benutzer an
  • Erlauben Sie Instant Messaging von der Zweigstelle zum lokalen Benutzer
    • Schritt 1: Erstellen Sie die Allow_IM-Anwendungsfilterrichtlinie
    • Schritt 2: Wenden Sie die Richtlinie auf den Benutzer an

 

Diese Anleitung gilt für folgende Sophos Produkte und Versionen:

Sophos Firewall

Konfiguration

Die gesamte Konfiguration erfolgt über die Admin-Konsole der Sophos Firewall, die bei HO bereitgestellt wird. Darüber hinaus müssen Sie als Administrator mit Lese- / Schreibberechtigung für die relevanten Funktionen in der Admin-Konsole angemeldet sein.

Blockieren Sie IMs für Mitarbeiter localuser von HO

Wenden Sie die Blockrichtlinie auf localuser an, wenn er von HO auf das Internet zugreift

Schritt 1:

1. Rufen Sie Protect > Application auf und klicken Sie auf Add, um eine neue Richtlinie hinzuzufügen

 2017-11-01_21-47-33xRnH87TANJURl

2. Geben Sie den Namen als Block_IM an und klicken Sie auf Speichern, um die Richtlinie zu erstellen.

3. Wählen Sie die Block_IM-Richtlinie aus und klicken Sie auf Hinzufügen, um der Richtlinie Regeln gemäß den folgenden Parametern hinzuzufügen.

 p3Lo8gw62M0YB6I

 

Parameter

Wert

Beschreibung

Application Filter Criteria

Category: Instant Messenger

Wählen Sie die Kriterien aus, nach denen Anwendungen ausgewählt werden sollen

List of Applications

Category: Select All

Basierend auf den Anwendungsfilterkriterien werden Anwendungen aufgelistet. Wählen Sie die Option "Alle auswählen", um alle aufgelisteten Anwendungen auszuwählen

Action

Deny

Wählen Sie die Aktion: Zulassen oder Verweigern

Schedule

All the Time

Wählen Sie den Zeitplan aus der Liste der verfügbaren Zeitpläne aus

 2017-11-01_21-49-22vOit1zLjslXBs

 2017-11-01_21-50-2640DeJajdoiq9f

4. Klicken Sie auf Save, um die Regel der Block_IM Richtlinie hinzuzufügen

 2017-11-01_21-51-56d3WzvlgpPlVFc

5. Klicken Sie auf Save, um die aktualisierte Version der Richtlinie zu speichern

 2017-11-01_21-53-59-1SiLIra2rARO6F

 

Schritt 2: Wenden Sie die Richtlinie auf den Benutzer an

1. Sie können die Richtlinie über Sicherheitsrichtlinien anwenden, sodass sie auf den gesamten Datenverkehr angewendet wird, der dieser Regel entspricht. Gehen Sie auf Protect und klicken Sie auf + Add Firewall Rule, um eine neue Benutzer- / Netzwerkregel zu erstellen. Wie unten gezeigt, wenden Sie die in Schritt 1 erstellte Richtlinie an.

 2017-11-01_21-53-59-1SiLIra2rARO6F

 

2. Klicken Sie auf Save, um die Regel zu speichern

3. Die Standardrichtlinie für den Anwendungsfilter wird auf den Benutzer localuser angewendet, der Block_IM ist.

Erlauben Sie Instant Messaging von der Zweigstelle zum lokalen Benutzer

Schritt 1: Erstellen Sie die Allow_IM Anwendungsfilterrichtlinie

1. Rufen Sie Protect > Applications auf und klicken Sie auf Add um eine neue Richtlinie zu erstellen

 2017-11-01_21-47-33xRnH87TANJURl

2. Setzen Sie den Namen als Allow_IM und klicken Sie auf Save, um die Richtlinie zu erstellen

3. Lokale Benutzer wählen die Richtlinie Allow_IM aus und klicken auf Add, um der Richtlinie Regeln gemäß den folgenden Parametern hinzuzufügen.

Parameters

Werte

Beschreibung

Application Filter Criteria

Category: Instant Messenger

Wählen Sie die Kriterien aus, nach denen Anwendungen ausgewählt werden sollen

List of Applications

Category: Select All

Basierend auf den Anwendungsfilterkriterien werden Anwendungen aufgelistet. Wählen Sie die Option "Alle auswählen", um alle aufgelisteten Anwendungen auszuwählen

Action

Allow

Wählen Sie die Aktion: Zulassen oder Verweigern.

Schedule

All the time

Wählen Sie den Zeitplan aus der Liste der verfügbaren Zeitpläne aus

 

 2017-11-01_22-18-08BMyl9EgyH6FM4

4. Klicken Sie auf Save, um die Regel der Allow_IM Richtlinie hinzuzufügen

 2017-11-01_22-20-06AL57lwKIa9ZmA

5. Klicken Sie auf Save, um die neue Version der Allow_IM Richtlinie hinzuzufügen.

 

Schritt 2: Wenden Sie die Richtlinie auf den Benutzer an

1. Sie können die Richtlinie über Sicherheitsrichtlinien anwenden, sodass Sie auf den gesamten Datenverkehr angewendet wird, der dieser Regel entspricht. Rufen Sie die Seite Protect auf und klicken Sie auf +Add Firewall Rule, um eine neue User/Network Regel zu erstellen. Wie unten gezeigt, wenden Sie die in Schritt 1 erstellte Richtlinie an.

 2017-11-01_22-22-010WT9Aiuz0bBbs

2. Klicken sie auf Save, um die Regel zu speichern.

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.