ファイアウォール
Sophos Central に接続可能な Sophos Firewall すべてを表示して、設定できます。
はじめに
Sophos Central に追加したファイアウォールは、Sophos Central で監視し、ファイアウォールの Web 管理コンソールで管理できます。詳細は、Sophos Central から Sophos Firewall を管理する (英語) を参照してください。
ファイアウォールは、個別またはグループとして管理できます。個別に管理するファイアウォールは、「グループ化解除」というグループに配置されます。ファイアウォールを管理するには、「マイプロダクト > Firewall Management > ファイアウォール」を参照します。
Sophos Central には、必要な数だけファイアウォールを追加できます。Sophos Central は、クラウドベースで、ニーズに合わせて拡張できます。たとえば、ファイアウォールで多数のログが生成される場合、ライセンスで許可されているストレージ容量が十分であれば、このデータを保存してレポートを生成することができます。Sophos Central で、ファイアウォールのログデータは、先入先出で保存されます。これによって、データストレージが満杯になると、古いデータが削除されます。詳細は、レポートハブを参照してください。
ファイアウォールの詳細は、次を参照してください。
ファイアウォール情報
各ファイアウォールについて表示される情報は、次のとおりです。
名前
グループ化されていないファイアウォールとグループ化されたファイアウォールのリストを表示します。ファイアウォールを表示するには、リスト名の横にある矢印をクリックします。
ファイアウォール名をクリックして、ファイアウォールの Web 管理コンソールを開きます。そこから、ファイアウォールを設定することができます。
ファイアウォールの Web 管理コンソールを開くには、Sophos Central の管理者またはスーパー管理者である必要があります。これにより、ファイアウォールのローカル「管理者」アカウントと同じ権限が与えられます。また、「管理者」アカウントのパスワードを変更することもできます。これは、ゼロタッチを使用してファイアウォールを導入する際に必要となります。
注
グループ化されていないファイアウォールはグループ未所属という名前のリストにあります。
ファイアウォール名の横にある冗長化 (HA) アイコン をクリックすると、HA クラスタに関する次の詳細が表示されます。
- HA クラスタ内のファイアウォールのロール。プライマリまたは補助にすることができます。
- ファイアウォールノード番号。例: "Node1"。
- ファイアウォールノード情報。例: "初期プライマリ。クラスタのライセンスを保持します。"
-
前回の状態の変更。ファイアウォールノードによる前回のロールの変更。例: "Friday, April 14, 2023, 11:42 AM".
注
この時刻は、ブラウザの現地時間に対応しています。これは、ファイアウォールの時刻とは多少異なる場合があります。
-
ファイアウォールノード名:ファイアウォールノードに付けた名前。
- HA モードファイアウォールが属する HA クラスタの種類。例: "HA: アクティブ-パッシブモード。"
次に、ファイアウォールの HA 詳細の例を示します。
注
ファイアウォール名の横にある HA アイコンをクリックして、新しいファイアウォールグループを作成するときに、 使用可能なファイアウォールおよび割り当て済みファイアウォールの下にある HA の詳細を表示することもできます。
警告
過去 24時間の警告数。
アイコン | 説明 |
---|---|
CPU 使用率警告: 過去 2時間の CPU 使用率のグラフを表示するには、アイコンをクリックします。 | |
管理およびレポート警告: 詳細を表示するは、アイコンをクリックします。 |
同期と管理
状態 | 説明 |
---|---|
同期 | ファイアウォールがオンラインで、定期的にハートビートを送信しています。ファイアウォールの設定が、グループポリシーと一致しています。 |
接続 | ファイアウォールのグループ化が解除されている場合、この状態は、ファイアウォールがオンラインで、定期的にハートビートを送信していることを示します。 ファイアウォールがグループに所属しており、この状態が 1分以上経過しても変わらない場合、ファイアウォールはオンラインで、定期的にハートビートを送信していますが、グループポリシーとの同期は開始していません。これは、同期タスクが作成されていないか、またはタスクが作成されているが、ファイアウォールによってプルされていないことが原因である可能性があります。この場合、タスクキューを参照して、保留中のトランザクションを確認してください。 |
対処が必要なエラーあり | ファイアウォールの設定が、グループポリシーと一致していません。管理者は、タスクキューを参照して、適用できないポリシーを特定する必要があります。 |
同期中 | ファイアウォールがグループに追加されたばかりです。Sophos Central は、グループポリシーをファイアウォールに適用しています。 |
最終表示 X時間前 (Sophos Firewall 18.0 以降の場合)、または切断 | ファイアウォールがオフラインです。 |
承認保留中 | ファイアウォールの Web 管理コンソールで、ファイアウォールがローカル管理者によって Sophos Central に登録されました。Sophos Central 管理者による承認を待機しています。承認されると、ファイアウォールに対して、グループおよび個別のデバイス管理を実行できます。 |
管理: 無効 | ファイアウォールが Sophos Central に登録されています。ただし、ファイアウォールの Web 管理コンソールで、Sophos Central 管理がオンに設定されていません。 |
状態をクリックすると、詳細情報が表示されます。
追加情報 | 説明 |
---|---|
切断後の経過時間: x時間 | ファイアウォールは、毎分ハートビートメッセージを送信します。5つのハートビートメッセージが受信されなかった場合、Sophos Central はファイアウォールをオフラインと見なします。 |
ポリシーの適用に失敗: X日前 | ポリシーをファイアウォールに適用できませんでした。タスクキューで、失敗した理由の詳細を確認できる場合があります。 |
ファイアウォールが中断されました。 | ファイアウォールが、30日以上オフラインになっているか、またはグループポリシーと同期していません。これは、Sophos Central が現在の状態を検出できないことを意味します。詳細は、中断されたファイアウォールを参照してください。 |
Central レポートが無効になっています | Firewall Reporting は、ファイアウォールの Web 管理コンソールからオンにできます。 |
Synchronized Security
アイコン | 説明 |
---|---|
ファイアウォールによって検出されたアプリの数。 | |
レポートがオフになっています。 | |
レポートがオンになっています。 |
バージョン
ファイアウォールのファームウェアバージョンです。
バージョンの横には、ファイアウォールのアップグレード状態を示すアイコンがあります。アイコンをクリックして詳細を表示します。
アイコンの詳細は以下のとおりです。
アイコン | 説明 |
---|---|
ファームウェアのアップグレードがあります。 | |
ファームウェアのアップグレードに成功しました。 | |
ファームウェアのアップグレードに失敗しました。 | |
ファームウェアのアップグレードがスケジュール設定されました。 | |
ファームウェアのアップグレードが進行中です。 |
例: 青い矢印アイコンをクリックすると、次のように表示されます。
新しいファイアウォールの追加
新しいファイアウォールを追加するには、次の手順を実行してください。
- 「ファイアウォールの追加」をクリックして、新しいファイアウォールを追加するオプションを選択します。
-
シリアル番号を登録します。
登録とインストールの手順が表示されます。
既存のファイアウォールの追加
インストール済みのファイアウォールを追加するには、次の手順を実行してください。
- ファイアウォールにログインします。
- 「Central Synchronization」ページで、「Sophos Central から管理」をオンにします。
- Sophos Central の「ファイアウォール」ページで「グループ化解除」グループを展開し、ファイアウォールを参照して「サービスの許可」をクリックします。
グループの作成
ファイアウォールがファームウェアバージョン 18.0 以降の場合、それをグループに追加し、グループポリシーを使用してすべてを同時に設定できます。
グループを作成するには、Sophos Central で管理者またはスーパー管理者である必要があります。
- 「新しいグループの作成」をクリックします。
-
グループの初期設定オプションを選択します。「ソフォスのデフォルト設定を使用」を選択して新しい設定を作成するか、「既存の設定のインポート」を選択して既存のファイアウォールから設定をインポートします。
設定は後でカスタマイズできます。
-
グループの名前を入力します。
-
グループにファイアウォールを割り当てます。
グループの作成時にファイアウォールを割り当てる必要はありません。空のグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はグループポリシーと同期します。
-
「保存」をクリックします。
グループポリシーの編集
グループ内のファイアウォールすべてに適用されるポリシーを編集できます。
Sophos Central からファイアウォールにアクセスするには、Sophos Central で管理者またはスーパー管理者である必要があります。
ポリシーを編集するには、次の手順を実行します。
- ポリシーを編集するグループの右端にある省略記号ボタン (...) をクリックします。
-
「ポリシーの管理」を選択します。
ファイアウォール Web 管理コンソールの「ルールとポリシー」が表示されます。
-
ここで、ポリシーを編集できます。
ポリシーでファイアウォールゾーンやインターフェースが使用されている場合は、動的ゾーンや動的インターフェースの作成が必要になる場合もあります。
-
Sophos Central に戻るには、「ダッシュボード」または (左側のメニューにある)「概要に戻る」をクリックします。
Sophos Central で、「マイプロダクト > 全般設定 > ファイアウォール管理 > タスクのキュー」の順に選択します。ポリシーがファイアウォールに適用されたかどうかを確認できます。
警告
ファイアウォールまたは NAT ルールを追加する際、「最上位」および「最下位」の設定は、ファイアウォールでローカルに作成したルールではなく、Sophos Central 内のルールの表示順序のみに適用されます。Sophos Central からプッシュされたルールはすべて、ファイアウォールのルールリストの一番上に挿入されます。予期しないファイアウォールの動作を避けるため、ファイアウォールを Sophos Central から管理する場合は、ルールをすべて Sophos Central で作成してプッシュすることを推奨します。
サブグループの作成
グループ内にサブグループを作成できます。これによって、サブグループごとに個別にグループポリシーを編集できます。
たとえば、「Boston」、「London」、および「Hyderabad」というサブグループを含む「Acme Corporation」というグループがある場合、Acme Corporation 用に作成されたポリシーは、すべてのサブグループ内のすべてのファイアウォールに自動的に適用されます。しかし、Boston のポリシーを編集した場合、変更は Boston サブグループ内のファイアウォールのみに適用され、London および Hyderabad サブグループのファイアウォールには適用されません。
サブグループを作成するには、次の手順を実行します。
- サブグループを作成するグループの右端にある省略記号ボタン (...) をクリックします。
- 「サブグループの追加」を選択します。
- サブグループの名前を入力します。
-
サブグループにファイアウォールを割り当てます。
サブグループの作成時にファイアウォールを割り当てる必要はありません。空のサブグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はサブグループポリシーと同期します。
-
「保存」をクリックします。
オブジェクトと設定のサブグループポリシーでの継承
「オブジェクト」は、通常、グループ ポリシー エディタ内で、「追加 」および「削除」ボタンのあるページです。たとえば、ファイアウォールルール、NAT ルール、FQDN ホスト、IP ホストなどです。
サブグループポリシーは、親グループ用に作成されたオブジェクトを変更できません。たとえば、Acme Corporation ポリシー用にカスタム「FQDN ホスト」オブジェクトを作成したとします。Boston、London、Hyderabad の各ポリシーは、オブジェクトの読み取り専用のコピーを継承し、これは、それらの各ポリシーではグレーアウト表示されます。ただし、サブグループポリシーは、親オブジェクトをテンプレートとして使用して独自のルールを作成できます。サブグループポリシーは、独自のオブジェクトを自由に作成することもできます。このようなオブジェクトは、そのサブグループポリシーと、そのサブグループのポリシーのみに表示されます。
親グループポリシーからオブジェクトを削除する場合、そのオブジェクトがサブグループポリシーで使用されていない場合は、サブグループポリシーから自動的に削除されます。ただし、使用されている場合、削除は行われず、オブジェクトが使用されているサブグループとルールが通知されます。
「設定」は、通常、グループ ポリシー エディタ内で、「適用」ボタンのあるページです。設定を削除することはできません。設定して、オンまたはオフにすることのみが可能です。設定の例として、「高度な脅威」設定があります。
設定は、最上位の親グループポリシーのみで設定できます。サブグループポリシーでは設定できません。設定が最上位の親グループポリシーに適用されると、すべてのサブグループポリシーに自動的に適用されます。
ラベルの貼り付け
Sophos Firewall にラベルを追加することができます。これによって、ゲートウェイがアップまたはダウンしたときなど、さまざまな警告に関するメール通知を受信した際に、ファイアウォールを識別するのみに役立ちます。
ファイアウォールにラベルを追加するには、次の手順を実行してください。
-
ファイアウォールの横にある 3つのドットをクリックして、「ラベルの貼り付け」をクリックします。
-
ポップアップが表示されます。ダイアログボックスで、ファイアウォールラベルの名前を入力し、「追加」をクリックします。
ファイアウォールラベルは、ファイアウォール名やシリアル番号とは異なるものにする必要があります。
ファイアウォールラベルは、ファイアウォールの横に表示されます。
-
ファイアウォールラベルを編集または削除するには、ファイアウォールの横にある 3つのドットをクリックして、「ラベルの編集/削除」をクリックします。
ファイアウォール用のファームウェアのアップグレード
注
アップグレードのスケジュール設定は、Sophos Firewall バージョン 18.0 MR3 以降を使用している場合のみに実行できます。
Sophos Firewall 用のファームウェアをアップグレードできます。アップグレードがある場合は、対象となるすべてのファイアウォールの横にダウンロードボタン が表示されます。
ファイアウォールをアップグレードするには、次の手順を実行してください。
- ダウンロードボタンをクリックします。
-
「アップグレードのスケジュール設定」をクリックします。
-
ファームウェアバージョンが複数ある場合は、適切なバージョンを選択します。
-
アップグレードの日付と時刻を選択します。
ファームウェアは、今すぐアップグレードすることもできます。
-
「アップグレードのスケジュール設定」をクリックします。
各ファイアウォールは、ファイアウォールのタイムゾーンに基づいてアップデートされます。アップグレードは、ファイアウォールでスケジュールされた時刻に開始されます。アップグレードの進行中は、ファイアウォールの横に回転アイコンが表示されます。
アップグレードが完了すると、回転アイコンは消えます。
一度に複数のファイアウォールをアップグレードすることができます。スケジュール設定されたアップグレードは、編集したりキャンセルしたりできます。
アップデート処理中にファイアウォールの設定の移行に問題が発生した場合、ファームウェアバージョンが自動的にロールバックされます。詳細は、Sophos Firewall: ファームウェアの自動ロールバックを参照してください。。