Was ist Sophos XGS?
Die Sophos XGS-Serie (XGS 87, 107, 126, 136, 216, 316, etc.) ist Sophos' aktuelle Next-Generation-Firewall-Linie, die auf SFOS (Sophos Firewall OS) läuft. SFOS kombiniert:
- Next-Generation Firewall (NGFW): Stateful Inspection + Deep Packet Inspection
- IPS (Intrusion Prevention System): Erkennt und blockiert bekannte Angriffsmuster
- Application Control: 4000+ Applikationen identifizieren und steuern
- Web Filtering: URL-Kategorisierung, HTTPS-Inspektion
- VPN: IPsec, SSL-VPN, WireGuard (ab SFOS 21), RED-Tunnel
- Synchronized Security: Integration mit Sophos Central für XDR
Für KMU in der Rhein-Neckar-Region ist Sophos XGS eine populäre Wahl: lokaler Support durch Sophos-Partner, einfache Verwaltung, SFOS-Oberfläche in Deutsch verfügbar.
Ersteinrichtung – Schritt für Schritt
Schritt 1: Physischer Anschluss
- Port 1 (LAN): Mit LAN-Switch verbinden
- Port 2 (WAN): Mit Internet-Router/Modem verbinden
- Verwaltungs-PC: Direkt oder über Switch an Port 1
Standard-IP der XGS: 172.16.16.16 (LAN)
Schritt 2: Weboberfläche aufrufen
Browser öffnen: https://172.16.16.16:4444
Login: admin / admin (Standard, sofort ändern!)
Beim ersten Login: Setup-Wizard startet automatisch.
Schritt 3: Grundeinstellungen im Setup-Wizard
- Hostname: z. B.
xgs-mannheim-01 - Zeitzone: Europe/Berlin
- Admin-Passwort: Starkes Passwort (16+ Zeichen)
- WAN-Interface: DHCP oder statische IP (je nach Internet-Anschluss)
- LAN-IP: Ihr internes Netzwerk (z. B. 192.168.1.1/24)
Netzwerk-Zonen konfigurieren
Vorhandene Standard-Zonen
Sophos XGS kennt diese Standard-Zonen:
- LAN: Vertrauenswürdiges internes Netzwerk
- WAN: Internet-Anbindung
- DMZ: Demilitarisierte Zone für externe Dienste
- VPN: VPN-Verbindungen
- WiFi: Drahtlose Netzwerke
Eigene Zonen erstellen
Für bessere Segmentierung eigene Zonen anlegen:
Netzwerk → Zonen → Hinzufügen:
- Name:
Server-VLAN - Typ: LAN
- Member-Interfaces: VLAN10-Interface
Firewall-Regeln erstellen
Grundprinzip: Deny All, Allow Exception
Standardmäßig blockiert Sophos allen Traffic den keine explizite Regel erlaubt. Sie müssen benötigten Traffic explizit freischalten.
Regel: Interner Zugang zum Internet
Firewall → Regeln → IPv4 hinzufügen:
- Regelname: LAN_to_Internet
- Quellenzone: LAN
- Quellennetze: Any
- Zielzone: WAN
- Zielnetze: Any
- Dienste: Any
- Aktion: Erlauben
- NAT: Masquerading aktivieren (wichtig für Internet-Zugang!)
Regel: DMZ-Webserver aus Internet erreichbar
- Regelname: Internet_to_Webserver
- Quellenzone: WAN
- Quellennetze: Any
- Zielzone: DMZ
- Zielnetze: IP des Webservers
- Dienste: HTTP, HTTPS
- Aktion: Erlauben
DNAT (Port-Weiterleitung)
Für Server hinter der XGS:
Firewall → NAT-Regeln → DNAT hinzufügen:
- Original-IP: WAN-IP der XGS
- Original-Port: 443
- Übersetztes Ziel: 192.168.1.100 (interner Server)
- Übersetzter Port: 443
IPS (Intrusion Prevention) aktivieren
Schützende Profile erstellen:
Schutz → Intrusion Prevention → IPS-Profile:
- Klonen Sie das Standard-Profil
- Empfehlung: "Empfohlen"-Signaturliste aktivieren
- Aktion bei Treffer: Blockieren (für Produktiv) oder Protokollieren (zum Testen)
IPS in Firewall-Regel aktivieren:
Bestehende Internet-Zugangsregel bearbeiten → IPS-Richtlinie: Ihr erstelltes Profil auswählen.
Application Control
Bestimmte Applikationen blockieren (z. B. Torrents, Social Media):
Application Control → Kategorien:
Erstellen Sie eine Applikations-Richtlinie:
- Kategorie
Peer-to-Peer→ Blockieren - Kategorie
Soziale Netzwerke→ Protokollieren (oder Blockieren)
Richtlinie in Firewall-Regel einbinden.
HTTPS-Inspektion (SSL/TLS Inspection)
Für vollständige Sichtbarkeit in verschlüsseltem Traffic:
Schutz → SSL/TLS-Inspektion → Regeln:
- CA-Zertifikat erstellen:
Verwaltung → Zertifikate → Eigene CA - CA auf alle Clients ausrollen (via GPO oder manuell)
- SSL-Inspection-Regel für ausgehenden HTTPS-Traffic aktivieren
Achtung: Banking-Websites, Online-Updates und PIN-gesicherte Apps aus der SSL-Inspection ausschließen!
Firmware-Updates
Verwaltung → Firmware:
- Prüfen Sie monatlich auf neue SFOS-Versionen
- Updates beinhalten Sicherheitspatches und neue Features
- Snapshot vor dem Update erstellen (automatisch bei manchen Modellen)
Aktuelle SFOS-Version (Stand 2025): SFOS 21.x
Syslog und Logging
Verwaltung → Protokolleinstellungen:
Logs an externen Syslog-Server senden (Graylog, Wazuh, SIEM):
- Syslog-Server-IP eintragen
- UDP Port 514 (Standard) oder TCP für zuverlässigere Übertragung
- Protokollkategorien auswählen: Firewall, IPS, System
FAQ
Was ist der Unterschied zwischen Sophos XGS und SG (UTM)?
SG/UTM ist die ältere Produktlinie (UTM 9.x). XGS läuft auf dem moderneren SFOS OS mit besserer Performance und neueren Features. Sophos stellt die UTM ein – Migration zu XGS wird empfohlen.
Kann ich Sophos XGS ohne Sophos Central verwalten?
Ja, vollständig lokal verwaltbar. Sophos Central ist optional für zentrale Verwaltung mehrerer Firewalls und XDR-Features.
Benötige ich eine Lizenz für SFOS?
Die Basisversion (Firewall) ist kostenlos. IPS, Application Control, Web Filtering und Support erfordern Subscriptions (XStream, Standard/Enhanced).
Fazit
Die Sophos XGS ist eine ausgezeichnete NGFW für KMU. Mit der richtigen Grundkonfiguration schützen Sie Ihr Netzwerk professionell ohne Enterprise-Budget.
Als Sophos-Partner in Heidelberg konfigurieren wir Sophos XGS für Unternehmen in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt Firewall-Beratung anfragen.