Sophos XG: MS365 Objekte importieren

Sophos XG Firewall Serie

Die Sophos XG Firewall bietet eine leistungsstarke Kombination aus Sicherheit und Flexibilität, die sowohl für Unternehmen als auch für private Netzwerke geeignet ist. In diesem Artikel führen wir Sie Schritt für Schritt durch die Einrichtung und Konfiguration der Firewall sowie die Implementierung von Webfilter-Ausnahmen für Office 365, um eine reibungslose Nutzung zu gewährleisten.

1: Anmeldung an der Sophos XG Firewall

  1. Verbindung herstellen: Geben Sie die IP-Adresse der Sophos XG Firewall in Ihrem Browser ein und klicken Sie auf „Open“.
  2. Sicherheitsmeldung: Bestätigen Sie etwaige Sicherheitswarnungen mit „Ja“.
  3. Login: Melden Sie sich mit den Standard-Anmeldedaten (Benutzername: admin, Passwort: Ihrer Firewall entsprechend) an.

2: Anpassungen über die CLI vornehmen

  1. CLI-Zugang: Wählen Sie im Hauptmenü der Sophos-Konsole den Punkt 5: Device Management und bestätigen Sie mit Enter.
  2. Konfiguration starten: Im nächsten Menü wählen Sie 3: Advanced Shell und drücken erneut Enter.
  3. Script herunterladen: Führen Sie den folgenden Befehl aus, um ein benötigtes Skript herunterzuladen:wget https://raw.githubusercontent.com/iaasteamtemplates/XgOnAzurePOC/master/createInternetIPv4Group.sh
  4. Script ausführen: Nach Abschluss des Downloads starten Sie das Skript mit:sh createInternetIPv4Group.sh
  5. CLI beenden: Schließen Sie das CLI-Fenster, um zur Weboberfläche zurückzukehren.

3: Überprüfen und Konfigurieren in der GUI

  1. Weboberfläche: Melden Sie sich erneut über die GUI an der Firewall an.
  2. Hosts und Services: Navigieren Sie in der linken Spalte zu Hosts and Services.
  3. IP Host Group: Wählen Sie auf der rechten Seite den Punkt IP Host Group.
  4. Überprüfen: Prüfen Sie, ob die neue Gruppe Internet IPv4 erfolgreich importiert wurde.

Einrichtung von Office 365 Webfilter-Ausnahmen

Damit die Nutzung von Office 365 über die Sophos XG Firewall reibungslos funktioniert, sollten Webfilter-Ausnahmen konfiguriert werden. Dies löst potenzielle Timeout-Probleme oder Konflikte bei der HTTPS-Inspektion.

Importieren der Ausnahmeliste

  1. Liste herunterladen: Besuchen Sie die Sophos-Website und laden Sie die Office 365-Ausnahmeliste im .tar-Format herunter. Die Datei enthält drei Varianten:
    • API-O365-all.tar: Alle von Microsoft gelisteten URLs.
    • API-O365-required.tar: 50 wesentliche URLs.
    • API-O365-minimal.tar: 10 minimal erforderliche URLs.
  2. Importieren: Navigieren Sie zu Backup & Firmware → Import Export und laden Sie die gewünschte Datei hoch.
  3. Aktivieren: Wechseln Sie zu Web → Ausnahmen und aktivieren Sie die importierten Regeln.

Alternative | Manuelles Hinzufügen von Ausnahmen

  1. Neue Ausnahme erstellen: Navigieren Sie zu Web → Ausnahmen und klicken Sie auf Neue Ausnahme.
  2. Name vergeben: Benennen Sie die Ausnahme z. B. Office365.
  3. Optionen aktivieren: Aktivieren Sie folgende Optionen:
    • HTTPS-Entschlüsselung überspringen.
    • Malware- und Inhaltsscans überspringen.
  4. Adressen
    • ^([A-Za-z0-9.-].)?office365.com/? ^([A-Za-z0-9.-].)?admin.microsoft.com/?
    • ^([A-Za-z0-9.-].)?portal.cloudappsecurity.com/? ^([A-Za-z0-9.-].)?us.portal.cloudappsecurity.com/?
    • ^([A-Za-z0-9.-].)?eu.portal.cloudappsecurity.com/? ^([A-Za-z0-9.-].)?eu2.portal.cloudappsecurity.com/?
    • ^([A-Za-z0-9.-].)?us2.portal.cloudappsecurity.com/? ^([A-Za-z0-9.-].)?us3.portal.cloudappsecurity.com/?
    • ^([A-Za-z0-9.-].)?onmicrosoft.com/? ^([A-Za-z0-9.-].)?account.office.net/?
    • ^([A-Za-z0-9.-].)?agent.office.net/? ^([A-Za-z0-9.-].)?delve.office.com/?
    • ^([A-Za-z0-9.-].)?home.office.com/? ^([A-Za-z0-9.-].)?portal.office.com/?
    • ^([A-Za-z0-9.-].)?suite.office.net/? ^([A-Za-z0-9.-].)?webshell.suite.office.com/?
    • ^([A-Za-z0-9.-].)?www.office.com/? ^([A-Za-z0-9.-].)?aria.microsoft.com/?
    • ^([A-Za-z0-9.-].)?portal.microsoftonline.com/? ^([A-Za-z0-9.-].)?clientlog.portal.office.com/?
    • ^([A-Za-z0-9.-].)?nexus.officeapps.live.com/? ^([A-Za-z0-9.-].)?nexusrules.officeapps.live.com/?
    • ^([A-Za-z0-9.-].)?amp.azure.net/? ^([A-Za-z0-9.-].)?o365weve.net/?
    • ^([A-Za-z0-9.-].)?auth.gfx.ms/? ^([A-Za-z0-9.-].)?appsforoffice.microsoft.com/?
    • ^([A-Za-z0-9.-].)?assets.onestore.ms/? ^([A-Za-z0-9.-].)?az826701.vo.msecnd.net/?
    • ^([A-Za-z0-9.-].)?c.microsoft.com/? ^([A-Za-z0-9.-].)?c1.microsoft.com/?
    • ^([A-Za-z0-9.-].)?client.hip.live.com/? ^([A-Za-z0-9.-].)?contentstorage.osi.office.net/?
    • ^([A-Za-z0-9.-].)?dgps.support.microsoft.com/? ^([A-Za-z0-9.-].)?docs.microsoft.com/?
    • ^([A-Za-z0-9.-].)?groupsapi-prod.outlookgroups.ms/? ^([A-Za-z0-9.-].)?groupsapi2-prod.outlookgroups.ms/?
    • ^([A-Za-z0-9.-].)?groupsapi3-prod.outlookgroups.ms/? ^([A-Za-z0-9.-].)?groupsapi4-prod.outlookgroups.ms/?
    • ^([A-Za-z0-9.-].)?msdn.microsoft.com/? ^([A-Za-z0-9.-].)?platform.linkedin.com/?
    • ^([A-Za-z0-9.-].)?products.office.com/? ^([A-Za-z0-9.-].)?prod.msocdn.com/?
    • ^([A-Za-z0-9.-].)?res.delve.office.com/? ^([A-Za-z0-9.-].)?shellprod.msocdn.com/?
    • ^([A-Za-z0-9.-].)?support.content.office.com/? ^([A-Za-z0-9.-].)?support.microsoft.com/?
    • ^([A-Za-z0-9.-].)?support.office.com/? ^([A-Za-z0-9.-].)?technet.microsoft.com/?
    • ^([A-Za-z0-9.-].)?templates.office.com/? ^([A-Za-z0-9.-].)?video.osi.office.net/?
    • ^([A-Za-z0-9.-].)?videocontent.osi.office.net/? ^([A-Za-z0-9.-].)?videoplayer.osi.office.net/?
    • ^([A-Za-z0-9.-].)?manage.office.com/? ^([A-Za-z0-9.-].)?protection.office.com/?
    • ^([A-Za-z0-9.-].)?blob.core.windows.net/? ^([A-Za-z0-9.-].)?helpshift.com/?
    • ^([A-Za-z0-9.-].)?localytics.com/? ^([A-Za-z0-9.-].)?firstpartyapps.oaspapps.com/?
    • ^([A-Za-z0-9.-].)?outlook.uservoice.com/? ^([A-Za-z0-9.-].)?prod.firstpartyapps.oaspapps.com.akadns.net/?
    • ^([A-Za-z0-9.-].)?rink.hockeyapp.net/? ^([A-Za-z0-9.-].)?sdk.hockeyapp.net/?
    • ^([A-Za-z0-9.-].)?telemetryservice.firstpartyapps.oaspapps.com/? ^([A-Za-z0-9.-].)?wus-firstpartyapps.oaspapps.com/?
    • ^([A-Za-z0-9.-].)?liverdcxstorage.blob.core.windowsazure.com/? ^([A-Za-z0-9.-].)?telemetry.remoteapp.windowsazure.com/?
    • ^([A-Za-z0-9.-].)?vortex.data.microsoft.com/? ^([A-Za-z0-9.-].)?www.remoteapp.windowsazure.com/?
    • ^([A-Za-z0-9.-].)?hockeyapp.net/? ^([A-Za-z0-9.-].)?sharepointonline.com/?
    • ^([A-Za-z0-9.-].)?staffhub.office.com/? ^([A-Za-z0-9.-].)?api.office.com/?
    • ^([A-Za-z0-9.-].)?enterpriseregistration.windows.net/? ^([A-Za-z0-9.-].)?dc.applicationinsights.microsoft.com/?
    • ^([A-Za-z0-9.-].)?dc.services.visualstudio.com/? ^([A-Za-z0-9.-].)?forms.microsoft.com/?
    • ^([A-Za-z0-9.-].)?forms.office.com/? ^([A-Za-z0-9.-].)?graph.windows.net/?
    • ^([A-Za-z0-9.-].)?mem.gfx.ms/? ^([A-Za-z0-9.-].)?office365servicehealthcommunications.cloudapp.net/?
    • ^([A-Za-z0-9.-].)?securescore.office.com/? ^([A-Za-z0-9.-].)?signup.microsoft.com/?
    • ^([A-Za-z0-9.-].)?staffhub.ms/? ^([A-Za-z0-9.-].)?staffhubweb.azureedge.net/?
    • ^([A-Za-z0-9.-].)?staffhub.uservoice.com/? ^([A-Za-z0-9.-].)?forms.osi.office.net/?
    • ^([A-Za-z0-9.-].)?watson.telemetry.microsoft.com/? ^([A-Za-z0-9.-].)?wu.client.hip.live.com/?
    • ^([A-Za-z0-9.-].)?testconnectivity.microsoft.com/? ^([A-Za-z0-9.-].)?officecdn.microsoft.com.edgesuite.net/?
    • ^([A-Za-z0-9.-]*.)?officecdn.microsoft.com.edgekey.net/?

  • Hinweis: einige spezifische Anwendungen benötigen auch die folgenden Adressen:
    • ^([A-Za-z0-9.-].)?microsoft.com/? ^([A-Za-z0-9.-].)?msocdn.com/?
    • ^([A-Za-z0-9.-].)?office.com/? ^([A-Za-z0-9.-].)?office.net/?
    • ^([A-Za-z0-9.-]*.)?onmicrosoft.com/?

Fazit

Die Sophos XG Firewall bietet durch ihre umfangreichen Konfigurationsmöglichkeiten und die einfache Handhabung über CLI und GUI eine ideale Lösung zur Sicherung und Optimierung Ihrer Netzwerke. Mit den beschriebenen Schritten können Sie sowohl die grundlegende Einrichtung vornehmen als auch spezifische Anforderungen wie die Nutzung von Office 365 optimal integrieren. Eine korrekt konfigurierte Firewall erhöht nicht nur die Sicherheit, sondern sorgt auch für eine reibungslose Arbeitsumgebung.

Quellen


Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*