Docs durchsuchen

Firewalls

Sophos Firewall einrichten

Fügen Sie Cybora Threat-Feeds zu Sophos Firewall über Active Threat Response und Third-party Threat Feeds für automatische Blockierung hinzu.

Zuletzt aktualisiert: 15. Juni 2026

Auf dieser Seite

Verwenden Sie diese Anleitung, um den Cybora-Feed in Sophos Firewall über Active Threat Response und Third-party threat feeds hinzuzufügen.

Voraussetzungen

  • Sophos Firewall 21.0 oder neuer.
  • Xstream Protection Bundle, das Sophos als erforderliche Lizenz für Third-party threat feeds angibt.
  • Für Domain- und URL-Feeds müssen die erforderlichen Firewall-Einstellungen gesetzt sein, einschliesslich der passenden Firewall-Regel, Application Classification oder IPS Policy sowie HTTPS Decryption / SSL/TLS Inspection, falls nötig.
  • Für die Validierung und Fehlersuche empfehlen wir ausserdem Active Threat Response Logging.

Schritte

  1. Gehen Sie zu Protect > Active threat response > Third-party threat feeds.
  2. Fügen Sie einen neuen Third-party threat feed hinzu.
  3. Geben Sie einen Namen ein und fügen Sie Ihre Cybora-Feed-URL hinzu.
  4. Wählen Sie den passenden Indikator-Typ, zum Beispiel IPv4 address, Domain oder URL.
  5. Wählen Sie die Aktion für passenden Traffic. Sie können für die erste Validierung zunächst Monitoring verwenden. Wir empfehlen jedoch, direkt Blocking zu nutzen, damit schädliche IPs, Domains oder URLs aktiv blockiert werden.
  6. Stellen Sie das Polling-Intervall exakt auf Ihren Cybora-Plan ein. Fragen Sie den Feed nicht häufiger ab, als Ihr Plan erlaubt. Innerhalb des erlaubten Intervalls ist nur eine Abfrage zulässig. Zu häufiges Polling kann dazu führen, dass der Feed blockiert wird.
  7. Speichern Sie den Feed und weisen Sie ihn der relevanten Policy oder dem passenden Regelwerk zu.

Versionshinweis

Unter Sophos Firewall 21.x gleicht Active Threat Response die Source IP bei bestimmten eingehenden Traffic-Typen, einschliesslich DNAT- und WAF-Traffic, nicht ab.

Ab Sophos Firewall 22.0 dokumentiert Sophos Source-IP-Matching für inbound forwarded traffic wie DNAT und WAF. Dadurch verbessert sich die Feed-Abdeckung für diese Szenarien.

Validierung

Bestätigen Sie, dass der Feed erfolgreich synchronisiert wird und Treffer in den Active Threat Response Logs erscheinen. Wenn Sie Domain- oder URL-Feeds über HTTPS verwenden, prüfen Sie ausserdem, ob Decryption und die benötigten Rule-Einstellungen korrekt gesetzt sind, damit die Firewall den Traffic wie erwartet identifizieren kann.