Sophos XG Firewall 快速導覽手冊

Sophos XG Firewall快速導覽手冊

目錄 1

目　錄

第一章 Sophos XG Firewall說明及安裝 ..........................................3

第二章手動設定 Sophos XG Firewall ............................................23

第三章防火牆策略設定..................................................................31

第四章安全模組功能設定..............................................................40

第五章 VPN連線設定 .....................................................................55

第六章網路頻寬管理設定 (QoS) ...................................................70

第七章系統管理及紀錄檔檢視......................................................74

第八章 Sophos安全活動訊號 (Security Heartbeat) .......................78

第九章 Sophos Cloud Endpoint安裝 ..............................................80

附錄 A ...............................................................................................89

2

Sophos XG Firewall中文快速導覽手冊

第一章 Sophos XG Firewall 說明及安裝　 3

第一章 Sophos XG Firewall 說明及安裝

1.認識 Sophos XG Firewall

Sophos XG Firewall

Sophos的防火牆，結合了兩者的 Sophos和 Cyberoam提供

技術創新的一個前所未有的下一代防火牆。

所有新的用戶界面，新的 Security Heartbeat技術，和一個

強大的新的統一的政策模式，引入了許多即採取簡潔，保護和

性能提升到一個全新水平的重要創新。

Sophos Firewall OS可以安裝運作在現有的 Sophos SG系列

和 Cyberoam NG系列的硬體，以及可安裝在各種虛擬平台作為

軟體式的防火牆系統。

功能摘要

• 在主要畫面具有豐富的重要訊息控制中心

• 直觀的操作導航方式，具備有用的提醒和詳盡的說明指導

• 所有類型的策略是在一個畫面上同時管理

• 政策工具包括創新的新功能，如類型，模板，自然語言描述和

用戶身份

4


• 用戶威脅商數，基於過去的行為用以識別用戶的風險係數

• Discover模式，使得評估企業網路環境，應用程式以及威脅更

加容易

• 快速路徑優化的掃描

AdministrativeAccess

本節提供有關如何訪問管理者可以連接，並通過 HTTP，

HTTPS，TELNET或 SSH服務訪問設備的信息。根據用於訪問

管理者登錄帳戶配置，管理者可以訪問管理界面的數量和管理

控制台配置出廠時的一個管理者帳戶和四個管理者配置。

管理者類型登入帳號

及密碼

連線存取方式

Access權限

SuperAdministrator admin/admin

Adminconsole CLIconsole

這兩個方式都提供了

完整權限，包括讀寫、

設定等等的相關操作

Note:我們建議您更改預設管理者的密碼以確保安全性。.

Web管理介面 (Web Console)管理控制台是一個基於Web的應用程序，管理者可以使用

配置，監控和管理的以使用 HTTP或使用Web瀏覽器的 HTTPS

連接來連接到和接入設備的管理控制台

• HTTP login: http://<LAN IP Address of the device>

• HTTPS login: https://<LAN IP Address of the device>

第一章 Sophos XG Firewall說明及安裝　 5

命令模式 (CLI)ConsoleCLI可以進行設備的設定以及查詢設備狀態，該裝置可以

遠端使用以下連接來存取：

1.Remote login Utility – TELNETlogin

2.SSH Client(SerialConsole)

支援的瀏覽器

您可以使用 HTTP或使用以下Web瀏覽器之一任何管理電

腦安全的 HTTPS連接連接到設備的管理控制台：

（推薦）最新版本的 Firefox，最新的 Chrome，Safari瀏覽器的

最新版本，或Microsoft Internet Explorer9日開始的版本。必須

啟用 JavaScript。

用於管理電腦的最低營幕解析度為 1280×768

功能選單

最左側導覽頁面提供訪問各種配置頁面。選單包括子選單

和各項選項。在點選導覽欄中的選單項，相關的管理功能都顯

示為子選單項。在點選子選單項目，將顯示所有相關的選項。

要查看與標籤相關的頁面，單擊所需的選項。

當沒有導覽到子選單上點選左側導覽欄中的展開和收隴動

態。當您點選左側導覽欄中標題，它會自動開展為您當前所瀏

覽網頁的標題，但它不會從瀏覽當前頁面的路程。要導覽到一

個新的頁面，首先點選標題，然後點選您要瀏覽的子選單

6


2.部署架構說明閘道模式，Sophos XG Firewall提供區域型篩選及掃描，

並當作其他網路與子網路的入口和出口點。在大多數情況下，

Sophos XG Firewall是它所保護的內部網路上的電腦的預設閘道

橋接模式又稱為透通模式，將 Sophos XG Firewall內置，如

此它可以監控及掃描所有流量並保護網路，不過它是以透通地

讓流量通過的方式來執行這項作業。

混合模式是橋接模式與閘道模式的組合，其中，兩個或更

多介面透通地橋接在一起，但是 Sophos XG Firewall依舊使用部

署於閘道部分的連接埠來作為閘道。


閘道模式

當 Sophos XG Firewall必須管理多個網路和區域之間的路

由，而且是網路的進入點和出口點時，將會在閘道模式下使用

Sophos XG Firewall。

網際網路

LAN IP：192.168.0.1/24DMZ IP：172.16.1.1/24WAN IP：61.0.5.2/29

WAN區域

網路：

192.168.0.0/24閘道：

192.168.0.1

網路：

172.16.1.0/24閘道：

172.16.1.1

DMZ 區域LAN 區域

8


安裝設備所需環境介紹

橋接模式

Sophos XG Firewall

支援多個橋接配對。您

也可以建構一個包含 2

個以上連接埠的多重連

接埠橋接。

透過在橋接模

式下新增 Sophos XG

Firewall，我們不必移除

現有的防火牆，就能夠

使用新設備提供的額外

安全功能。Sophos XG

Firewall將會當做現有

網路與現有防火牆之間

的透通橋接。

防火牆 LAN IP： 192.168.0.1/24

Sophos XG Firewall IP192.168.0.100/24

網路：

192.168.0.0/24預設閘道：

192.168.0.1


混合模式

具網路閘道並使用橋接功能。在一般橋接情況中，只有一

對連接埠可以橋接，但是在混合模式中，一對連接埠可以橋接，

其他連接埠可以閘道模式運作，或是用於建立其他橋接配對。

br0

網際網路

WAN 區域

LAN IP：192.168.0.1/24DMZ IP：172.16.1.1/24WAN IP：61.0.5.2/29

網路：

172.16.1.0/24閘道：

172.16.1.1

DMZ 區域

網路：

192.168.0.0/24閘道：

192.168.0.1

LAN 區域

10


3.設備註冊

用標準 RJ45網路線 (平行線或跳線 )連接到 XG設備的

LAN介面

預設連線資訊

□ 預設網頁連線：https://172.16.16.16:4444

□ 預設管理帳號：admin

□ 預設管理密碼：admin

預設 LAN介面


EULA授權同意書

請點選此按鈕接受 EULA

12


選取此選項

啟用新設備

若無DHCP 環境，可以點選此按鈕

設定 WAN 介面網路位址

網路位址配置方式網路位址

網路遮罩

預設閘道

名稱伺服器


啟動設備

選取此選項

啟用新設備

若設定完成網路資訊，

點選此按鈕啟用設備

啟用設備前，須確認連線到防

火牆的主機可以瀏覽網際網路

14


註冊設備

成功啟用設備後，可以看到

綠色的通知訊息。若跳出

SOPHOS ID 登入畫面，請使用先前註冊好的 SOPHOS ID 登入繼續即可

設備啟用成功後，點

選此按鈕註冊設備

若跳出 SOPHOS ID 登入畫面，請使用先前註

冊好的 SOPHOS ID 登入繼續即可

點選此按

鈕繼續註

冊設備


註冊成功

點選此按鈕同步

授權資訊

點選此連結開始設定

16


4.安裝精靈

登入管理介面

□ 預設網頁連線：https://172.16.16.16:4444

□ 預設管理帳號：admin

□ 預設管理密碼：admin


點選此連結開始設定精靈

若不使用設定精靈，可以

點選此連結直接進入系統

點選此連結進入下一步

18


選取需要設定的介面


設定名稱伺服器點選此連結進入下一步



設定防火牆規則

設定應用程式規則設定入侵防護規則

設定 URL 過濾規則

設定郵件轉送伺服器網路位址設定郵件伺服器通訊埠 (預設 25)設定通知信寄件人資訊

設定事件通知信箱


20



設定系統時區，請

選擇 Asia/Taipei

確認設定資訊是否正確

點選此連結完成精靈設定


22


第二章手動設定Sophos XG Firewall　 23

第二章手動設定 Sophos XG Firewall

1.設定內部網路組態請點選系統→網路→介面，並點選 Port1(預設 LAN是在

Port1)

24


請依下圖紅框部份依客戶環境輸入 IP並選擇子網路遮罩

更改所需的 IP位址及網路遮罩 (如：192.168.100.254/24)，

此部份需依照客戶環境所使用的 IP修改，請注意，修改完 IP後

需要更改電腦 IP為同一網段並重新連到管理介面。

舉例 :客戶環境的 LAN IP網段為 192.168.100.0/24，將防火

牆 LAN IP設定成 192.168.100.254/24後，若要連到管理介面需

改成 https://192.168.100.254:4444


2.設定外部網路組態

請點選系統→網路→介面，並點選 Port2(預設WAN是在

Port2)

26


固定式 IP客戶

輸入寬頻網路業者所提供的 IP位址資料，如 59.126.210.20

並選擇子網路遮罩 /24(255.255.255.0)，請注意需輸入寬頻業者

所提供閘道 IP位置如 59.126.210.254，方可成功完成設定。

點選儲存完成設定。


非固定 IP客戶 (PPPoE)

請點選 PPPoE，輸入寬頻網路業者所提供的帳號密碼資料，

需要先進行儲存後方可點選連線進行撥號。

請注意連線後是否有成功撥號取得 IP位址以及預設網路閘

道 IP位址。

28


DHCP制客戶

系統預設值即為 DHCP設定，選擇 DHCP後點選儲存，設

備即會自動連絡到寬頻網路業者並取得 IP位址以及預設網路閘

道 IP位址。


設定 DNS

點選系統→網路→ DNS

輸入欲使用的 IPv4的 DNS主機 (IPv6為 Optional，若有需

要解析 IPv6主機才需要輸入 )，結束後按套用儲存。

30


第三章防火牆策略設定　 31

第三章防火牆策略設定

1.設定 LAN TO WAN的防火牆政策

點選政策按鈕進入政策頁面，並點選“使用者及 /網路規

則”新增網路政策

輸入防火牆策略名稱並關閉使用者身份比對 (若需要結合身

份驗證如 AD或 Radius等等，請參閱 Help文件 )

32


設定來源網路

選擇來源區域並勾選 LAN後再按套用項目，將 LAN放置

在來源區域 (如下圖 )

設定目的網路

選擇目的區域並勾選WAN後再按套用項目，將WAN放置

在來源區域 (如下圖 )並將規則動作選擇”接受”

[Note]若要阻檔 LAN的電腦訪問WAN，動作要改成”丟

棄”或是”拒絕”


設定網路位址轉換

預設啟用網路位置轉換，內部 LAN的電腦上網的時候會將

IP轉成WAN的 Public，此皆為預設值。

[Note]通常有兩個以上的WAN才需要視需求修改出埠的 IP

位址

啟用安全防護選項

惡意軟體掃瞄 -啟動 FTP傳輸流量以及 HTTP上網防毒掃

瞄，當使用者上網的時候會自動使用 Sophos XG Firewall裡面的

防毒引擎掃瞄此兩種通訊協定

應用程式政策 –選擇 Allow All的應用程式控管以及網頁過

濾控管政策，不做任何阻檔；使用者的所有上網行為以及存取

網站的類型都會被 Sophos XG Firewall所紀錄下來，管理者可以

由報表的部份得知相關資訊

34


入侵偵測選擇 LAN TO WAN，阻檔內部電腦可能含有後門

程式會向外部發起攻擊行為

[Note]管理者可以視需求建立自訂不同的應用程式政策，

再套用在防火牆規則中

完成設定

啟用流量紀錄，未來在查找事件的時候會相對方便許多，

最後請點選 Save按鈕儲存設定


從政策的檢視畫面得知該防火牆政策的細節內容

2.設定WAN TO LAN的網路轉址 (NAT)

設定Web(網頁 )伺服器

點選政策按鈕進入政策頁面，點選 +新增防火牆規則，並

選擇業”業務應用程式規則”新增政策。

36


輸入策略名稱並選擇應用程式範本“Non-HTTP Based

Policy”

設定來源主機為”任何”，表示來自網路上的任何位置都

可以訪問到這台主機。

主控伺服器的來源區域選擇“WAN”以及位址選擇為WAN

Public IP，表示是連到WAN這個 IP位址

受保護區域指的是該台網頁伺服器所在的 Zone，如 LAN

或是 DMZ區域，再來指定該網頁伺服器。


選定通訊協定以及需要轉送的連接埠號為何 (可選擇單一連

接埠、連接埠範圍或是連接埠清單，可依需求不同自行調整。

其他設定可依預設值不需修改儲存即可。

設Mail(郵件 )伺服器

點選政策按鈕進入政策頁面，點選 +新增防火牆規則，並

選擇業”業務應用程式規則”新增政策。

38


輸入策略名稱並選擇應用程式範本“Email Server(SMTP)”

設定來源主機為”任何”，表示來自網路上的任何位置都

可以訪問到這台主機。主控伺服器的來源區域選擇“WAN”以

及位址選擇為WAN Public IP，表示是連到WAN這個 IP位址

也可以視需求啟動 SMTP及 SMTPS啟動郵件的掃毒機制

受保護區域指的是該台網頁伺服器所在的 Zone，如 LAN

或是 DMZ區域，再來指定該郵件伺服器。


該範本會自動將所需通訊協定以及需要轉送的連接埠號填

入，也可依需求不同自行調整。

其他設定可依預設值不需修改儲存即可。

40


第四章安全模組功能設定

1.入侵防禦 (IPS)

管理者可以在第三章的防火牆規則中選定入侵防禦的規則

範本來使用，以下說明如何自訂入侵防禦政策。

點選物件 >政策 >入侵防禦

第四章安全模組功能設定　 41

輸入規則名稱，請勿複製任何規則並直接點選儲存。

編輯新建立的入侵防禦政策並點選”新增”按照去增加 IPS

政策規則

42


輸入規則名稱已供辨識，在動作的地方可依需求自行選擇，

選擇完畢點選儲存離開。

再點選儲存確定保存此策略新增項目


此時可到防火牆規則中選擇新建立的入侵防禦政策

2.進階型威脅防護 (ATP)

進階型威脅防護 (Advanced Threat Protection)能夠幫助快速

檢測網路內部的感染或損害客戶發出警報或刪除相應的流量。

進階型威脅防護分析了一般網絡流量，例如 DNS請求，HTTP

請求，或 IP封包，包含了來往的所有網路，同時如果管理者啟

用了其他的安全模組，如入侵防禦和防病毒的功能，進階型威

脅防護可以統合所有的安全模組資料並提供給使用者得知目前

網路是否有風險存在。

44


預設進階型威脅防護是停用的。直接點選啟用，並視需求

選擇政策。(僅 Log或是 Log及 Drop)

。Log and Drop:封包將被丟棄並記錄

。Log Only:封包僅被並記錄


若要排除某些網路 /主機為例外清單，可直接增加或選擇來

源網路或主機，加到此例外清單會從該威脅防護的掃瞄中排除。

3.網頁保護 (Web Filtering)

管理者可以在第三章的防火牆規則中選定網頁篩選的規則

範本來使用。

Web內容過濾頁面允許您配置和管理Web過濾。您可以配

置掃描 HTTP/HTTPS/FTP流量選項。您還可以略過 HTTPS從

一個特定的來源或目的地的掃描。

46


一般設定可以選擇掃瞄時使用單一防毒引擎火是雙防毒引

擎 (預設防毒引擎為 Sophos)，並客製化網頁被阻檔後的顯示訊

息。


可依需求自訂網頁篩選器政策，從保護 >網頁保護 >網頁

篩選器政策點選新增

輸入政策名稱，複製網頁類別請選擇 Allow All並勾選啟用

報告，點選新增。

48


從網頁類別中挑選想要阻檔的類別並將動作改為”拒絕”

確定所新增項目正確後可直接點選儲存。


此時可到防火牆規則中選擇新建立的網路篩選政策做為使

用。

50


4.電子郵件保護 (Spam)

主要提供電子郵件安全服務，預防復雜形式的零時威脅以

及包括垃圾郵件、殭屍病毒、誘騙、間諜軟體及其他在內的混

合攻擊。


一般設定

SMTP/S設定

POP/S與 IMAP/S設定

定義郵件內容惡意軟體掃描規則，選擇是否掃描郵件中所

有類型的資料 (較耗費系統效能 )，或是針對特定內容類型執行

惡意軟體掃描 (較節省系統效能 )，在設定條件的同時，可以將

寄件人或收件人做為過濾條件之一，針對不同的來源或目的做

不同的惡意掃描設定，並選擇掃描結果的動作，規則有先後順

序，可將黑名單或白名單的規則用滑鼠拖曳到最上方，先符合

比對先套用。

是否啟用郵件聲明，並將

聲明內容插入在郵件末端郵件聲明內容

郵件掃描大小上限，輸入 0預設不掃描大於 50MB的郵件

超過掃描大小上限郵件的處理行為

是否將成功驗證帳號後發送的

信件略過檢查

郵件掃描大小上限，輸入 0預設不掃描大於 10MB的郵件

在郵件表頭插入收件者資訊

52


惡意軟體掃瞄規則

保護 >電子郵件保護 >掃瞄規則，在惡意軟體掃瞄規則選

單中點選新增。

阻擋檔案類型和MIME白名單可以透過 Shift和 Ctrl案件做

多重選取。

規則名稱

寄收件人 /群組物件

檔案類型類別例外MIME Type 類型


開啟惡意軟體篩選，遞送選項針對收件者和系統管理者，

設定對帶有惡意軟體的信件和正常信件的傳遞行為。傳遞方式

分為三類

• 不傳遞

• 傳遞原稿 (遞送原信件 )

• 移除附件 /移除並傳遞

內容掃瞄規則

保護 >電子郵件保護 >掃瞄規則，在內容掃瞄規則選單中

點選新增

發現惡意軟體時，系統採取的動作

掃描完成後，針對已被感染

郵件和正常郵件的遞送行為

54


請依設定頁面中的欄位輸入相關值，可參考下圖的欄位說

明。

規則名稱

接收的郵件類型

遞送的郵件類型

接收郵件主機來源

遞送郵件主機目的

寄件來源 RBL 黑名單

郵件表頭內容

資料保護規則

收寄件人 /群組物件

是否隔離信件

第五章 VPN連線設定　 55

第五章 VPN連線設定

1. IPsec VPN (Site-to-Site)設定IPsec是一個在 Internet的網路層運行點對點的安全架構。

它是在保護的一對主機 (主機到主機 )之間的數據流所使用的。

Sophos防火牆的 IPsec VPN提供站點到站點的 VPN，可

以節省MPLS等專線的高昂費用，使用者可以採用目前通用的

ADSL線路搭派 IPsec VPN來建立起安全無虞的 VPN線路。

目前提供的 VPN的驗證機制有共享金鑰，數字證書和 RSA

金鑰。

本節介紹說明如何使用共享金鑰認證來建立兩個網路之間

的站點到站點的 IPSec VPN連接。

56


範例

按照以下步驟的站點 A和站點 B之間的 IPsec VPN連接。

在本例中，我們使用了下列參數來建立 VPN連接。

Site A (Local) Network Details:

WAN IP Address - 14.15.16.17

LAN - 10.5.6.0/24

Site B (Remote) Network Details:

WAN IP Address - 22.23.24.25

LAN - 172.23.9.0/24


Site A 設定

步驟 1: 建立 IPsec連接系統 > VPN > IPsec, 點選新增按紐增加一組 IPsec連線

a. 一般設定- 名稱 : SiteA_to_SiteB- 連線類型 : 站台對站台- 政策 : DefaultBranchOffice- VPN重新啟動時的動作 : 僅回應

b. 驗證詳細資訊- 驗證類型 : 預共用 (Preshared)金鑰- 預共用 (Preshared) 金鑰 : 0123456789

c. 端點詳細資訊-本機 : Port2-14.15.16.17-遠端 : 22.23.24.25

d. 網路詳細資訊- IP家族 : IPv4- 本機子網路 : 10.5.6.0/24- 遠端 LAN網路 : 172.23.9.0/24

58



步驟 2: 啟動連線

完成上述設定後存檔，即會顯示所建立的 IPsec連線，點

選”使用中”紅點將該連線轉為啟用。

啟用後會顯示綠燈，表示該連線成功設定為啟用。

60


Site B 設定

步驟 1: 建立 IPsec連接

a. 一般設定- 名稱 : SiteB_to_SiteA

- 連線類型 : 站台對站台

- 政策 : DefaultBranchOffice

- VPN重新啟動時的動作 : 起始

b. 驗證詳細資訊- 驗證類型 : 預共用 (Preshared)金鑰

- 預共用 (Preshared) 金鑰 : 0123456789

c. 端點詳細資訊-本機 : Port2-22.23.24.25

-遠端 : 14.15.16.17

d. 網路詳細資訊- IP家族 : IPv4

- 本機子網路 : 172.23.9.0/24

- 遠端 LAN網路 : 10.5.6.0/24


62


步驟 2: 啟動連線

完成上述設定後存檔，即會顯示所建立的 IPsec連線，點

選”使用中”紅點將該連線轉為啟用。

啟用後會顯示綠燈，再將”連線”的紅點轉為啟動，成功

與 SiteA連線成功會出線綠色燈號。

建立完 VPN後，需設定防火牆規則允許 LAN to VPN和

VPN to LAN的流量可以互通。請到防火牆策略頁面進行配置。


2. SSL VPN設定

a. 啟動 SSLVPN系統 > VPN > SSLVPN設定

64


覆寫主機指的是使用者撥 SSLVPN所連線的位置，預設

不填會使用WAN的 IP地址，管理者可填入 IP或是 FQDN如

firewall.company.com.tw

b. 設定 SSLVPN設定檔系統 > VPN > SSLVPN (遠端存取 )


在政策成員的地方選擇 Open Group，新建立的使用者請加

入 Open Group群組。

允許的網路資源請加入要讓使用者能夠透過 SSLVPN連回

時所存取的網段。

結束後按套用完成設定。

66


c. 建立使用者物件 >身份 >使用者點選新增用以增加新的使用者

輸入名稱、密碼以及選擇群組為”Open Group”


d. SSLVPN用戶操作 (Windows)預設 Partner Portal 為 HTTPS:// 防火牆 WAN IP 如

https://172.16.16.16

登入後下載 SSLVPN的用戶端軟體及設定

68


安裝 SSLVPN用戶端，完成後按下角 SSLVPN圖示並右鍵

點選 Connect，輸入密碼即可完成撥號動，成功後會出現連接訊

息。


70


第六章網路頻寬管理設定 (QoS)

物件 >政策 >流量塑形

預設有提供範本可供使用，或是可依自身需求新增 QoS流

量塑形策略。

第六章網路頻寬管理設定(QoS)　 71

1.依應用程式做頻寬管理

限制每個使用者瀏覽 Youtube時最多只能用 512K的頻寬。

a.政策關聯設定為應用程式

b.規則設定為保留

c.保證頻寬為 256K且使用不得超過 512K

d.使用類型改為個別，每個使用者瀏覽 Youtube時最多只能

用 512K的頻寬。

將選單移動到物件 >政策 >整體 App流量塑形

將剛剛設定的 QoS政策套用在 Youtube Video Streaming 應

用程式上

72


最後到防火牆規則中勾選”套用應用程式型的流量塑形政

策”

2.依規則做頻寬管理

限制每個 IP上網時最多只能用 1024K的頻寬。

a.政策關聯設定為規則

b.規則設定為保留

c.保證頻寬為 768K且使用不得超過 1024K

d.使用類型改為個別，每個 IP上網時最多只能用 1024K的

頻寬。

第六章網路頻寬管理設定(QoS)　 73

到防火牆規則中選擇剛剛所設定的流量塑形政策。

74


第七章系統管理及紀錄檔檢視

1.更新韌體

系統 >管理 >韌體

韌體管理顯示可下載的韌體版本的列表。Sophos XG防火

牆至多支援兩個韌體版本，可以選擇其中之一的韌體來做為主

要韌體開機使用，使用中的韌體會有如下圖的圓點圖示表示正

在使用中。

第七章系統管理及紀錄檔檢視　 75

若有新的韌體釋出時，防火牆會自動通知管理者有新的韌

體可以下載，點選下載後可進行安裝，此時上面的版本會僅包

留最新的兩個版本，最舊的版本將直接被移除。

76


2. 設定檔備份

系統 >管理 >備份與還原

備份包括所有策略和所有其他相關設定的，Sophos XG

Firewall採取幾種不同備份模式，無論是通過定時自動備份或使

用手動備份，還原時都需要手動上傳檔案才能進行還原動作。

• 本機

• FTP

• 電子郵件

第七章系統管理及紀錄檔檢視　 77

先選擇備份模式，然後選擇所需要的頻率，”絕不”指的

是一次性備份，點選立即備份後請自行下載到電腦中保存。

若選擇每日、每週或每月的備份頻率，需指定排程時間

還原時請手動將備份檔案上傳到設備上，再點選”上載及

還原”選項即可完成。

78


第八章 Sophos安全活動訊號 (Security Heartbeat)

為了阻擋複雜的威脅，您需要可以像一個系統般運作的各

種安全產品─以保護使用者和網路上所有端點的企業資料。

透過 Sophos 可同步的安全性，您可以達成這個目的。Sophos

Security Heartbeat 會在您的端點和防火牆間，使用一個可信任通

道即時共用情報。這個簡單的步驟可同步過去各自為政的安全

產品，產生更有效的保護來阻擋進階型惡意軟體和目標型攻擊。

系統 >系統服務 >安全活動訊號

第八章 Sophos安全活動訊號 (Security Heartbeat)　 79

輸入 Sophos Cloud的電子郵件地址並按註冊，將設備與

Sophos Cloud註冊。

成功後會出現如下畫面

80


第九章 Sophos Cloud Endpoint安裝

1. 登入 MySophos帳號

第九章 Sophos Cloud Endpoint安裝　 81

2. 派送用戶端安裝

選請依照要部署的作業系統選擇安裝檔進行下載，或是寄

送下載連結發送給使用者，讓使用者自行安裝軟體。

Option 1. 安裝檔

82


Option 2. 發送 Email下載連結給使用者

輸入紅框內要發送給使用者的資訊並展開下方的”Email

Setup Link”


勾選要發送給使用者的下載連結並點選 Save即可。

勾選剛剛建立的使用者並點選 Email Setup Link

84


3. 用戶端安裝步驟使用者會收到安裝通知信，請依作業系統選擇連結

下載後請點選安裝檔繼續


開始進行安裝

86



勾選以移除其他廠牌防毒軟體 (若不在 Sophos移除清單

內，建議安裝前手動移除現有防毒軟體 )

88


安裝檔為線上直接下載，一般約 10-15分鐘內完成，視網路

速度而定

附錄A　 89

附錄 A

入侵防護 (IPS)和應用程式管控 (Application Control)注意事

項

雖然 XG系統的入侵防護系統和應用程式管控的特徵檔案

是室兩套獨立的資料集，但使用的程序還是都會透過入侵防護

引擎作為處理端口，所以跟其相關的設定項目有 3處。其中兩

處在安全政策的規則中，在 <針對使用者應用程式的政策 >的

區塊中，<應用程式控制 >和 <入侵防護 >即是設定應用程式

管控規則和入侵防護規則的位址。如果您需要關閉這兩項功能

的話，只需要在此將其設定為 <無 >即可。

90


但其實，在關閉上述兩處的設定後，系統還是會保留記錄

的功能，將比對到的流量記錄在入侵防護和應用程式篩選的記

錄中。假如您還是希望可以將記錄關閉，則需要到第 3處設定

的位置，將該設定關閉。此處的設定須進入系統的主控台介面，

如下紅框的部分

進入之後，按下 Enter，輸入 admin 帳號的密碼進入選單，

選擇 4 進入命令模式。進入之後輸入如下命令：

system application_classification off

完成後，輸入 exit 離開，並選擇 0 結束主控台。設定完成

並等待一段時間後，相關記錄便不會再出現。



Documents

Sophos XG Firewall 快速導覽手冊