Sophos XG Firewall in einem ProfitBricks-VDC einrichten

Mittwoch, 21. Juni 2017, in Application Platform, von Benjamin Schmidt

Sophos XG Firewall in einem ProfitBricks-VDC einrichten

Einleitung

In diesem Tutorial wird Ihnen in detaillierten Schritten erklärt, wie Sie in einem virtuellen Data Center (VDC) von ProfitBricks eine Sophos XG Firewall hochladen, provisionieren, installieren und konfigurieren.

Für die Einrichtung werden folgende Schritte durchlaufen:

Voraussetzungen

Zunächst benötigen Sie die ISO-Datei der Sophos XG Firewall, die Sie kaufen und herunterladen können, wenn Sie sich bei Sophos registrieren. Alternativ können Sie eine kostenfreie Testversion bei Sophos anfordern.

Sie erhalten in beiden Fällen

  • ein ISO-Image und
  • eine gültige Seriennummer.

ISO-Image hochladen

Laden Sie zunächst die Sophos-XG-ISO-Datei in den iso-Ordner in Ihrem ProfitBricks-Account hoch. Wenn Sie zum Image-Hochladen nicht die Betriebssystem-internen Mittel verwenden möchten, können Sie einen FTP-Client wie FileZilla verwenden. Ein Beispiel, wie Sie mit Windows 10 Images hochladen können, finden Sie in unserer Online-Hilfe.

Sobald das Hochladen abgeschlossen ist, erhalten Sie eine E-Mail.

Virtuelles Data Center vorbereiten

Loggen Sie sich nun in den Data Center Designer (DCD) ein und erstellen Sie ein neues Data Center oder wählen Sie ein bestehendes aus, in welchem Sie die Firewall einrichten möchten.

IP-Adresse reservieren

Da die Firewall ein dauerhafter Bestandteil Ihres Netzwerk ist, empfiehlt es sich, eine statische IP-Adresse zu verwenden. Um eine IP-Adresse zu reservieren, gehen Sie folgendermaßen vor:

  1. Öffnen Sie in der Menüleiste des DCD den IP-Manager.
  2. Klicken Sie im IP-Manager auf IPs reservieren.
  3. Vergeben Sie im sich daraufhin öffnenden Dialog einen Namen für die IP und setzen Sie die Anzahl der IPs auf 1. Achten Sie darauf, dass die hier eingestellte Region mit der Region Ihres gewählten Data Centers übereinstimmt.
  4. Bestätigen Sie Ihre Eingaben, indem Sie IPs jetzt reservieren klicken.
    IP-reservieren im IP-Manager

Jump-Server-Instanz erzeugen

Die Sophos XG Firewall kann initial nur über eine Webseite konfiguriert werden, die auf der XG läuft. Diese Webseite ist nur über das interne LAN-Interface der XG erreichbar und nicht von deren öffentlicher Schnittstelle, dem Internet. Um auf die Webseite zuzugreifen, wird daher ein Jump-Server benötigt, der sich in demselben internen LAN befindet wie die XG.

  1. Fügen Sie Ihrem VDC eine Komposit-Instanz hinzu, um einen Windows-2012-Server einzurichten, der als Jump-Server verwendet wird.
  2. Verwenden Sie die Standardeinstellungen für die Serverkonfiguration.
  3. Wählen Sie das ProfitBricks-Image windows-2012-r2-server als Boot-Device.
    Jump-Server-Instanz erzeugen
  4. Geben Sie ein Administrator-Passwort für das Image ein.
  5. Verbinden Sie den Server mit dem Internet, indem Sie die entsprechenden Elemente (Server und Internetzugang) miteinander verbinden.

Server für die Sophos XG Firewall erzeugen

  1. Erzeugen Sie nun im DCD einen Sophos-XG-Server.
  2. Verwenden Sie die folgenden Einstellungen für die Serverkonfiguration, die auf den von Sophos empfohlenen Voraussetzungen basieren:
    • Cores: 2,
    • RAM: 4 GB,
    • HDD: 64 GB.

    Wählen Sie kein Boot-Image aus.
    Server für Sophos XG Firewall erzeugen

ISO-Boot-Device auswählen

  1. Markieren Sie im DCD die zuvor erzeugte Sophos-XG-Server-Instanz.
  2. Öffnen Sie im Inspektor den Tab Storage und klicken Sie auf CD-ROM hinzufügen.
    CD-ROM-Laufwerk hinzufügen
  3. Im sich daraufhin öffnenden Dialog Neues CD-ROM-Laufwerk klicken Sie im Auswahlmenü Image auf den Eintrag Eigene Images und wählen das zuvor hochgeladene Sophos-XG-ISO-Image aus.
    Sophos-XG-Image hinzufügen
  4. Lassen Sie die Checkbox Von Gerät booten unselektiert.
  5. Bestätigen Sie Ihre Eingaben, indem Sie auf CD-ROM-Laufwerk hinzufügen klicken.
  6. Wenn Sie das hochgeladene Image zum ersten Mal verwenden, werden Sie aufgefordert, das Betriebssystem anzugeben. Wählen Sie Linux und bestätigen Sie die Eingabe mit OK.

Netzwerk konfigurieren

  1. Verbinden Sie die erste Netzwerkkarte (NIC 0) des Firewall-Servers mit der zweiten NIC (NIC 1) des Jump-Servers.
  2. Verbinden Sie die zweite NIC (NIC 1) des Firewall-Servers mit dem Internetzugang.
    Wichtig: Bauen Sie das Netzwerk unbedingt in genau dieser Reihenfolge auf, andernfalls funktioniert die Konfiguration nicht!
    Die Netzwerktopologie sollte nun wie folgt aussehen:
    Netzwerk-Topologie für Sophos XG Firewall
  3. Markieren Sie im DCD den Jump-Server und öffnen Sie im Inspektor den Tab Netzwerk.
  4. Definieren Sie für NIC 1 als Primäre IP: 172.16.16.10.NIC 1 des Jump-Servers konfigurieren
  5. Markieren Sie im DCD den Server mit der Sophos XG Firewall und öffnen Sie im Inspektor den Tab Netzwerk.
  6. Nehmen Sie folgende Einstellungen vor:
    • NIC 0:
      • Primäre IP: 172.16.16.16,
      • DHCP: deaktiviert.
    • NIC 1: Wählen Sie als Primäre IP die zuvor reservierte IP-Adresse.
      NICs des Sophos XG Firewall-Servers konfigurieren

Provisionieren

Provisionieren Sie alle Änderungen, wenn die Provisionierungsüberprüfung keine Fehler enthält. Die Provisionierung kann einige Minuten dauern. Sobald der Vorgang abgeschlossen ist, erscheint im DCD ein Dialog, der darauf hinweist.

Sophos XG Firewall installieren

Sie können nun die Firewall folgendermaßen installieren:

  1. Starten Sie im DCD die Remote Console für den Sophos-XG-Firewall-Server.
    Remote Console für Sophos XG Firewall-Server starten
  2. Klicken Sie in das sich neu öffnende Browserfenster.
  3. Tippen Sie y ein und drücken Sie die Enter-Taste. (Bitte beachten Sie, dass der Installer das US-Tastaturlayout verwendet.)
    ophos-Firmware-Installer
  4. Der Installer formatiert nun die leere Festplatte, erzeugt ein neues Dateisystem und installiert alle nötigen Dateien. Eine Fortschrittsanzeige hilft Ihnen dabei, den Installationsvorgang zu verfolgen.
    Fortschrittsanzeige des Sophos-Installers
  5. Nachdem alle Dateien installiert worden sind, drücken Sie die y-Taste, um die Firewall neu zu starten.
    Nun läuft auf dem System eine Sophos XG Firewall.
  6. Nach dem ersten Neustart zeigt das System Details zur Hardware-Konfiguration und fordert Sie auf, ein Passwort einzugeben. Geben Sie das Standardpasswort admin ein.
    Passworteingabe
  7. Bestätigen Sie die EULA, indem Sie a drücken.
    EULA
  8. Standardmäßig weist Sophos XG seiner ersten NIC die IP-Adresse 172.16.16.16 zu. Unter dieser IP-Adresse ist auch die web-basierte Sophos-Admin-Konsole erreichbar. Um die Firewall zu aktivieren, ist eine Internetverbindung nötig. Verifizieren Sie die Netzwerkkonfiguration, bevor Sie mit der eigentlichen web-basierten Konfiguration beginnen. Wählen Sie im Hauptmenü der Konsole die 1, um die Netzwerkkonfiguration zu starten.
    Sophos-Installation: Menüwahl
  9. Wählen Sie im nächsten Menü nochmals die 1 für die Schnittstellenkonfiguration.
    Sophos-Installation: Menüwahl
  10. Stellen Sie sicher, dass Port1 die IPv4-Adresse 172.16.16.16 enthält. Ein Gateway muss nicht konfiguriert werden. Drücken Sie die Enter-Taste, um fortzufahren.
    Port1-Konfiguration
  11. Stellen Sie sicher, dass die Schnittstelle Port2 die reservierte öffentliche IPv4-Adresse enthält, die der ProfitBricks-DHCP-Server zugewiesen hat. Diese IP-Adresse sollte derjenigen entsprechen, die im DCD in den Netzwerkeinstellungen für die Sophos-Instanz angezeigt wird. Für die externe Kommunikation wird auch eine Gateway-IP-Adresse benötigt. Diese sollte auch durch den ProfitBricks-DHCP-Server automatisch zugewiesen worden sein.
    Port2-Konfiguration
  12. Sollten die IP-Adressen nicht korrekt sein, geben Sie im folgenden Bildschirm y ein und geben Sie die korrekte IP-Adresse ein.

Web-basierte Aktivierung der Sophos XG Firewall

Die web-basierte Admin-Konsole der Sophos XG Firewall ist unter https://172.16.16.16:4444 erreichbar.

  1. Verwenden Sie den Jump-Server, um die Seite der Firewall zu öffnen, indem Sie eine Remote-Desktop-Verbindung zu der öffentlichen IP-Adresse des Windows-Jump-Servers öffnen.
    Sie finden diese IP-Adresse im Feld Primäre IP-Adresse von NIC 0, wenn Sie den Tab Netzwerk im Inspektor des Jump-Servers öffnen.
    Primäre IP von NIC 0 des Windows-Jump-Servers
    Hinweis: Diese IP-Adresse wurde dynamisch zugewiesen und kann sich ändern, wenn der Server ausgeschaltet (Power-off) und neugestartet wird.
  2. Verwenden Sie den Browser des Jump-Servers, um die Seite https://172.16.16.16:4444 zu öffnen und sich an der Sophos-Admin-Konsole anzumelden.
    Hinweis: Es empfiehlt sich, Chrome auf Ihrem Jump-Server zu installieren, um die Sophos-Admin-Konsole effektiv nutzen zu können. Sollten Sie den Internet Explorer verwenden, reduzieren Sie die Sicherheitseinstellungen des Browsers auf das Minimum.
  3. Verwenden Sie für den Login die Standardanmeldedaten:
    • Benutzername: admin
    • Passwort: admin
      Es kann einige Minuten dauern, bis der HTTP-Server auf der Firewall korrekt geladen und die Webseite erreichbar ist.
  4. Den Zertifikatfehler des Browsers können Sie ignorieren.
    Sopphos-Login
  5. Wenn Sie sich zum ersten Mal einloggen, muss nun als nächstes das Device aktiviert werden. Geben Sie eine gültige Seriennummer ein und klicken Sie auf Activate Device.
    Startseite der Sophos-Device-Aktivierung
    Hinweis: In einigen Fällen ist die per DHCP konfigurierte, öffentliche IP-Adresse auf der Firewall nicht persistent. Die Aktivierung wird dann die Fehlermeldung No internet connection. Check your internet connection as described in the product documentation.” ausgeben. Um dies zu beheben, klicken Sie auf Basic Setup, wählen Sie für IP Assignment Static und geben Sie folgende Informationen ein:

    • IP address: Geben Sie die reservierte öffentliche IP-Adresse ein, die Sie NIC 1 Ihrer Sophos-Instanz zugewiesen haben
    • Subnet Mask: 255.255.255.0
    • Default Gateway: kann auch in den Einstellungen von NIC 1 im DCD gefunden werden, aber ist sonst immer .1 des Subnets des Devices
    • DNS: 8.8.8.8 (öffentliche Google-DNS)

    Speichern Sie mit Save Changes Ihre Eingaben.
    Sophos-Setup
    Versuchen Sie nun noch einmal, das Device zu aktvieren.

  6. Nach der erfolgreichen Aktivierung muss nun das Device registriert werden. Klicken Sie dafür Register Device, um die Registrierung zu starten.
  7. Sie werden nun auf die MySophos-Portalseite weitergeleitet. Wenn Sie bereits über ein MySophos-Konto verfügen, klicken Sie auf Login. Wenn Sie ein neuer Benutzer sind, legen Sie ein MySophos-Konto an, indem Sie auf Create SophosID klicken.
    Sophos-ID
  8. Nachdem Sie sich erfolgreich angemeldet haben, klicken Sie im sich darauf öffnenden Dialog auf Continue.
  9. Nach erfolgreicher Registrierung müssen noch die Lizenzinhalte mit dem Sophos-Server synchronisiert werden. Klicken Sie auf Initiate License Synchronization, um diesen Vorgang zu starten.
    Sophos-Registrierung: Lizenzsynchronisation starten
  10. Nachdem die Lizenz erfolgreich synchronisiert worden ist, sehen Sie im nächsten Schritt die Welcome-Seite. Starten Sie den Network Configuration Wizard, indem Sie auf Click here klicken.
    Startseite
    Der Wizard führt Sie durch die Schritte der initialen Konfiguration Ihrer Sophos XG Firewall, sodass Sie mit dem Erstellen Ihrer Sicherheitsregeln beginnen können.

Sophos Network Configuration Wizard

  1. Klicken Sie Start, um die Netzwerkkonfiguration zu starten.
    Sophos-Network-Configuration-Wizard-Start
  2. Wählen Sie im nächsten Schritt Gateway Mode als den Modus für die Einrichtung und klicken Sie auf >, um zum nächsten Schritt zu gelangen.
    Sophos Network Configuration Wizard: Modus wählen
  3. In der Port Configuration konfigurieren Sie die IP-Adressen der Schnittstellen. Normalerweise ist es nicht nötig, die Einstellungen zu ändern. Klicken Sie auf >, um zum nächsten Schritt zu gelangen.
    Sophos Network Configuration Wizard: Port-Konfiguration
  4. Auf der Seite DNS Configuration geben Sie die IP-Adressen der DNS-Server Ihrer Organisation ein oder fügen IP-Adressen öffentlicher DNS-Server hinzu. Im Beispiel werden die DNS-Server von Google verwendet. Klicken Sie auf >, um zum nächsten Schritt zu gelangen.
    Sophos Network Configuration Wizard: DNS Configuration
  5. Auf der Seite Default Network Policy wählen Sie den gewünschten Netzwerk-Regelsatz. Dies können Sie unkonfiguriert lassen und bei Bedarf, wie alle anderen im Sophos Network Configuration Wizard definierten Einstellungen, zu einem späteren Zeitpunkt konfigurieren. Klicken Sie auf >, um zum nächsten Schritt zu gelangen.
    Sophos Network Configuration Wizard: Network Policy
  6. Auf der Seite Mail Server Configuration konfigurieren Sie die folgenden Parameter:
    • Die E-Mail-Adresse, an die Systembenachrichtigungen geschickt werden sollen,
    • Die IP-Adresse und die Port-Nummer des Mail-Servers.
    • Die E-Mail-Adresse des Administrators, der die Benachrichtungen versendet.

    Klicken Sie auf >, um zum nächsten Schritt zu gelangen.
    Sophos Network Configuration Wizard: Mail-Server-Konfiguration

  7. Auf der Seite Date & Time Configuration wählen Sie die Time Zone entsprechend Ihres aktuellen Standortes und geben Datum und Zeit entsprechend ein. Aktivieren Sie vorzugsweise die Checkboxen Automatically Synchronize with NTP Server und Use pre-defined NTP Server. Klicken Sie auf >, um zum nächsten Schritt zu gelangen.
    Sophos Network Configuration Wizard: Date and Time
  8. Nun erscheint die Seite Configuration Overview und zeigt Ihnen eine Zusammenfassung der Konfiguration im Gateway-Modus an. Wenn Sie nicht möchten, dass Daten an Sophos gesendet werden, deaktivieren Sie die Checkbox App & Thread data. Klicken Sie auf Finish, um die Basiskonfiguration abzuschließen.
    Sophos Network Configuration Wizard: Configuration Overview
  9. Bestätigen Sie im anschließenden Dialog die Konfiguration mit OK.
    Sophos Network Configuration Wizard: Zusammenfassung
    Die Konfiguration wird einige Minuten dauern.
    Sophos Network Configuration Wizard: Abschluss der Konfiguration
    Danach wird der Wizard geschlossen, und Sie werden auf die Login-Seite weitergeleitet.

Ihre Sophos XG Firewall ist nun installiert und im Gateway-Modus vorkonfiguriert. Wie Sie die Firewall noch detaillierter konfigurieren, können Sie dem offiziellen Sophos XG Reference Guide entnehmen.

Hinterlasse eine Antwort

* Pflichtfeld

© 2012-2017 by ProfitBricks