Übersicht
Sophos XG Firewall (SF) bietet Administratoren die Flexibilität, einem Benutzer mehrere Zugriffsrichtlinien gleichzeitig über den Arbeitsbereich oder die Abteilung des Benutzers zuzuweisen. Administratoren können Benutzerrichtlinien, die von der Benutzergruppe geerbt wurden, mithilfe von identitätsbasierten oder zonenbasierten Firewallregeln außer Kraft setzen. Beide Richtlinien können koexistieren, wenn SF die Richtlinie basierend auf dem Ort implementiert, von dem aus der Benutzer auf das Internet zugreift.
Szenario:
Betrachten Sie das hypothetische Beispiel unten, in dem SF in der Zentrale (HO) eingesetzt wird und alle Mitarbeiter der Zweigstelle (BO) über die Zentrale auf das Internet zugreifen. Der HO-Mitarbeiter localuser hat keinen Zugriff auf IM, wenn er von HO aus zugreift, aber wenn er BO besucht, soll er Zugang zu IM erhalten. Das Netzwerkschema ist unten gezeigt.
Der gesamte Internetverkehr der Zweigstelle (BO) verläuft über das Gateway HO GW durch die Zentrale (HO). Zwei (2) Anwendungsfilterrichtlinien, nämlich Block_IM und Allow_IM, sollen auf Benutzer John Smith angewendet werden.
- Block_IM-Richtlinie: Blockiert IM-Anwendungen und wird auf den Benutzer angewendet, wenn er von HO auf das Internet zugreift.
- Allow_IM-Richtlinie: Erlaubt IM-Anwendungen und wird auf den Benutzer angewendet, wenn er auf Internet von BO zugreift
Im Folgenden werden diese Themen behandelt:
- Konfiguration
- Blockieren Sie IMs für Mitarbeiter localuser von HO
- Schritt 1: Erstellen Sie die Block_IM-Anwendungsfilterrichtlinie
- Schritt 2: Wenden Sie die Richtlinie auf den Benutzer an
- Erlauben Sie Instant Messaging von der Zweigstelle zum lokalen Benutzer
- Schritt 1: Erstellen Sie die Allow_IM-Anwendungsfilterrichtlinie
- Schritt 2: Wenden Sie die Richtlinie auf den Benutzer an
Diese Anleitung gilt für folgende Sophos Produkte und Versionen:
Sophos Firewall
Konfiguration
Die gesamte Konfiguration erfolgt über die Admin-Konsole der Sophos Firewall, die bei HO bereitgestellt wird. Darüber hinaus müssen Sie als Administrator mit Lese- / Schreibberechtigung für die relevanten Funktionen in der Admin-Konsole angemeldet sein.
Blockieren Sie IMs für Mitarbeiter localuser von HO
Wenden Sie die Blockrichtlinie auf localuser an, wenn er von HO auf das Internet zugreift
Schritt 1:
1. Rufen Sie Protect > Application auf und klicken Sie auf Add, um eine neue Richtlinie hinzuzufügen
2. Geben Sie den Namen als Block_IM an und klicken Sie auf Speichern, um die Richtlinie zu erstellen.
3. Wählen Sie die Block_IM-Richtlinie aus und klicken Sie auf Hinzufügen, um der Richtlinie Regeln gemäß den folgenden Parametern hinzuzufügen.
| Parameter | Wert | Beschreibung |
| Application Filter Criteria | Category: Instant Messenger | Wählen Sie die Kriterien aus, nach denen Anwendungen ausgewählt werden sollen |
| List of Applications | Category: Select All | Basierend auf den Anwendungsfilterkriterien werden Anwendungen aufgelistet. Wählen Sie die Option "Alle auswählen", um alle aufgelisteten Anwendungen auszuwählen |
| Action | Deny | Wählen Sie die Aktion: Zulassen oder Verweigern |
| Schedule | All the Time | Wählen Sie den Zeitplan aus der Liste der verfügbaren Zeitpläne aus |
4. Klicken Sie auf Save, um die Regel der Block_IM Richtlinie hinzuzufügen
5. Klicken Sie auf Save, um die aktualisierte Version der Richtlinie zu speichern
Schritt 2: Wenden Sie die Richtlinie auf den Benutzer an
1. Sie können die Richtlinie über Sicherheitsrichtlinien anwenden, sodass sie auf den gesamten Datenverkehr angewendet wird, der dieser Regel entspricht. Gehen Sie auf Protect und klicken Sie auf + Add Firewall Rule, um eine neue Benutzer- / Netzwerkregel zu erstellen. Wie unten gezeigt, wenden Sie die in Schritt 1 erstellte Richtlinie an.
2. Klicken Sie auf Save, um die Regel zu speichern
3. Die Standardrichtlinie für den Anwendungsfilter wird auf den Benutzer localuser angewendet, der Block_IM ist.
Erlauben Sie Instant Messaging von der Zweigstelle zum lokalen Benutzer
Schritt 1: Erstellen Sie die Allow_IM Anwendungsfilterrichtlinie
1. Rufen Sie Protect > Applications auf und klicken Sie auf Add um eine neue Richtlinie zu erstellen
2. Setzen Sie den Namen als Allow_IM und klicken Sie auf Save, um die Richtlinie zu erstellen
3. Lokale Benutzer wählen die Richtlinie Allow_IM aus und klicken auf Add, um der Richtlinie Regeln gemäß den folgenden Parametern hinzuzufügen.
| Parameters | Werte | Beschreibung |
| Application Filter Criteria | Category: Instant Messenger | Wählen Sie die Kriterien aus, nach denen Anwendungen ausgewählt werden sollen |
| List of Applications | Category: Select All | Basierend auf den Anwendungsfilterkriterien werden Anwendungen aufgelistet. Wählen Sie die Option "Alle auswählen", um alle aufgelisteten Anwendungen auszuwählen |
| Action | Allow | Wählen Sie die Aktion: Zulassen oder Verweigern. |
| Schedule | All the time | Wählen Sie den Zeitplan aus der Liste der verfügbaren Zeitpläne aus |
4. Klicken Sie auf Save, um die Regel der Allow_IM Richtlinie hinzuzufügen
5. Klicken Sie auf Save, um die neue Version der Allow_IM Richtlinie hinzuzufügen.
Schritt 2: Wenden Sie die Richtlinie auf den Benutzer an
1. Sie können die Richtlinie über Sicherheitsrichtlinien anwenden, sodass Sie auf den gesamten Datenverkehr angewendet wird, der dieser Regel entspricht. Rufen Sie die Seite Protect auf und klicken Sie auf +Add Firewall Rule, um eine neue User/Network Regel zu erstellen. Wie unten gezeigt, wenden Sie die in Schritt 1 erstellte Richtlinie an.
2. Klicken sie auf Save, um die Regel zu speichern.