ファイアウォール

Sophos Central に接続可能な Sophos Firewall すべてを表示して、設定できます。

はじめに

Sophos Firewall ハウツーライブラリ

はじめに

Sophos Central に追加したファイアウォールは、Sophos Central で監視し、ファイアウォールの Web 管理コンソールで管理できます。詳細は、Sophos Central から Sophos Firewall を管理する (英語)を参照してください。

ファイアウォールは、個別またはグループとして管理できます。個別に管理するファイアウォールは、「グループ化解除」というグループに配置されます。ファイアウォールを管理するには、「ファイアウォール管理 > ファイアウォール」を参照します。

ファイアウォールの詳細は、次を参照してください。

ファイアウォール情報

各ファイアウォールについて表示される情報は、次のとおりです。

  • 警告: 過去 24時間の警告数。

    アイコン

    説明

    CPU 使用率の警告: 過去 2時間の CPU 使用率のグラフを表示するには、アイコンをクリックします。

    管理およびレポート警告: 詳細を表示するは、アイコンをクリックします。

  • 同期と管理

    状態

    説明

    同期

    ファイアウォールがオンラインで、定期的にハートビートを送信しています。ファイアウォールの設定が、グループポリシーと一致しています。

    接続

    ファイアウォールのグループ化が解除されている場合、この状態は、ファイアウォールがオンラインで、定期的にハートビートを送信していることを示します。

    ファイアウォールがグループに所属しており、この状態が約 1分以上経過しても変わらない場合、ファイアウォールはオンラインで、定期的にハートビートを送信していますが、グループポリシーとの同期は開始していません。これは、同期タスクが作成されていないか、またはタスクが作成されているが、ファイアウォールによってプルされていないことが原因である可能性があります。この場合、タスクキューを参照して、保留中のトランザクションを確認してください。

    対処が必要なエラーあり

    ファイアウォールの設定が、グループポリシーと一致していません。管理者は、タスクキューを参照して、適用できないポリシーを特定する必要があります。

    同期中

    ファイアウォールがグループに追加されたばかりです。Sophos Central は、グループポリシーをファイアウォールに適用しています。

    最終表示 X時間前 (Sophos Firewall 18.0 以降の場合)、または 切断

    ファイアウォールがオフラインです。

    承認保留中

    ファイアウォールの Web 管理コンソールで、ファイアウォールがローカル管理者によって Sophos Central に登録されました。Sophos Central 管理者による承認を待機しています。承認されると、ファイアウォールに対して、グループおよび個別のデバイス管理を実行できます。

    管理: 無効

    ファイアウォールが Sophos Central に登録されています。ただし、ファイアウォールの Web 管理コンソールで、Sophos Central 管理がオンに設定されていません。

    状態をクリックすると、詳細情報が表示されます。

    追加情報

    説明

    切断後の経過時間: x時間

    ファイアウォールは、毎分ハートビートメッセージを送信します。送信した 5件のハートビートメッセージに対して応答がない場合、Sophos Central はファイアウォールがオフラインであると見なします。

    ポリシーの適用に失敗: X日前

    ポリシーをファイアウォールに適用できませんでした。タスクキューで、失敗した理由の詳細を確認できる場合があります。

    ファイアウォールが中断されました。

    ファイアウォールが、30日以上オフラインになっているか、またはグループポリシーと同期していません。これは、Sophos Central が現在の状態を検出できないことを意味します。この問題を解決するには、ファイアウォールをグループから削除後、再度追加します。

    Central レポートが無効になっています

    Firewall Reporting は、ファイアウォールの Web 管理コンソールからオンにできます。

  • Synchronized Security

    アイコン

    説明

    アプリ アイコン

    ファイアウォールによって検出されたアプリの数。

    グレーのグラフアイコン

    レポートがオフになっています。

    青いグラフアイコン

    レポートがオンになっています。

  • バージョン: ファイアウォール OS のバージョン。

ファイアウォールをクリックして、ファイアウォールの Web 管理コンソールを開きます。そこから、ファイアウォールを設定することができます。

Web 管理コンソールを開くには、Sophos Central で管理者またはスーパー管理者である必要があります。これにより、ファイアウォールのローカル「管理者」アカウントと同じ権限が与えられます。また、「管理者」アカウントのパスワードを変更することもできます。これは、ゼロタッチを使用してファイアウォールを導入する際に必要となります。

新しいファイアウォールの追加

新しいファイアウォールを追加するには、次の手順を実行してください。

  1. ファイアウォールの追加」をクリックして、新しいファイアウォールを追加するオプションを選択します。
  2. シリアル番号を登録します。

    登録とインストールの手順が表示されます。

既存のファイアウォールの追加

インストール済みのファイアウォールを追加するには、次の手順を実行してください。
  1. ファイアウォールにログインします。
  2. Central Synchronization」ページで、「Sophos Central から管理」をオンにします。
  3. Sophos Central の「ファイアウォール」ページで「グループ化解除」グループを展開し、ファイアウォールを参照して「サービスの許可」をクリックします。

グループの作成

ファイアウォールがファームウェアバージョン 18.0 以降の場合、それをグループに追加し、グループポリシーを使用してすべてを同時に設定できます。

グループを作成するには、Sophos Central で管理者またはスーパー管理者である必要があります。
  1. 新しいグループの作成」をクリックします。
  2. グループの名前を入力します。
  3. グループにファイアウォールを割り当てます。

    グループの作成時にファイアウォールを割り当てる必要はありません。空のグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はグループポリシーと同期します。

  4. 保存」をクリックします。

グループポリシーの編集

グループ内のファイアウォールすべてに適用されるポリシーを編集できます。これには、次の手順を実行します。

  1. ポリシーを編集するグループの右端にある省略記号ボタン (...) をクリックします。
  2. ポリシーの管理」を選択します。

    ファイアウォール Web 管理コンソールの「ルールとポリシー」が表示されます。

  3. ここで、ポリシーを編集できます。

    ポリシーでファイアウォールゾーンやインターフェースが使用されている場合は、動的ゾーンや動的インターフェースの作成が必要になる場合もあります。

  4. Sophos Central に戻るには、「ダッシュボード」または (左側のメニューにある)「概要に戻る」をクリックします。

Sophos Central で「ファイアウォール管理 > タスクのキュー」を参照します。ポリシーがファイアウォールに適用されたかどうかを確認できます。

警告 ファイアウォールまたは NAT ルールを追加する際、「最上位」および「最下位」の設定は、ファイアウォールでローカルに作成したルールではなく、Sophos Central 内のルールの表示順序のみに適用されます。Sophos Central からプッシュされたルールはすべて、ファイアウォールのルールリストの一番上に挿入されます。予期しないファイアウォールの動作を避けるため、ファイアウォールを Sophos Central から管理する場合は、ルールをすべて Sophos Central で作成してプッシュすることを推奨します。

サブグループの作成

グループ内にサブグループを作成できます。これによって、サブグループごとに個別にグループポリシーを編集できます。

たとえば、「Boston」、「London」、および「Hyderabad」というサブグループを含む「Acme Corporation」というグループがある場合、Acme Corporation 用に作成されたポリシーは、すべてのサブグループ内のすべてのファイアウォールに自動的に適用されます。しかし、 Boston のポリシーを編集した場合、変更は Boston サブグループ内のファイアウォールのみに適用され、 London および Hyderabad サブグループのファイアウォールには適用されません。

サブグループを作成するには、次の手順を実行します。

  1. サブグループを作成するグループの右端にある省略記号ボタン (...) をクリックします。
  2. サブグループの追加」を選択します。
  3. サブグループの名前を入力します。
  4. サブグループにファイアウォールを割り当てます。

    サブグループの作成時にファイアウォールを割り当てる必要はありません。空のサブグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はサブグループポリシーと同期します。

  5. 保存」をクリックします。

オブジェクトと設定のサブグループポリシーでの継承

「オブジェクト」は、通常、グループ ポリシー エディタ内で、「追加 」および「削除」ボタンのあるページです。たとえば、ファイアウォールルール、NAT ルール、FQDN ホスト、IP ホストなどです。

サブグループポリシーは、親グループ用に作成されたオブジェクトを変更できません。たとえば、Acme Corporation ポリシー用にカスタム「FQDN ホスト」オブジェクトを作成したとします。Boston、London、Hyderabad の各ポリシーは、オブジェクトの読み取り専用のコピーを継承し、これは、Boston、London、および Hyderabad の各ポリシーではグレーアウト表示されます。ただし、サブグループポリシーは、親オブジェクトをテンプレートとして使用して独自のルールを作成できます。サブグループポリシーは、独自のオブジェクトを自由に作成することもできます。このようなオブジェクトは、そのサブグループポリシーと、そのサブグループのポリシーのみに表示されます。

親グループポリシーからオブジェクトを削除する場合、そのオブジェクトがサブグループポリシーで使用されていない場合は、サブグループポリシーから自動的に削除されます。ただし、使用されている場合、削除は行われず、オブジェクトが使用されているサブグループとルールが通知されます。

「設定」は、通常、グループ ポリシー エディタ内で、「適用」ボタンのあるページです。設定を削除することはできません。設定して、オンまたはオフにするだけです。設定の例として、「高度な脅威」設定があります。

設定は、最上位の親グループポリシーのみで設定できます。サブグループポリシーでは設定できません。設定が最上位の親グループポリシーに適用されると、すべてのサブグループポリシーに自動的に適用されます。

ファイアウォール用のファームウェアのアップグレード

制約事項 アップグレードのスケジュール設定は、Sophos Firewall バージョン 18.0 MR3 以降を使用している場合のみに実行できます。

Sophos Firewall 用のファームウェアをアップグレードできます。アップグレードがある場合は、対象となるすべてのファイアウォールの横にダウンロードボタン ダウンロードボタン が表示されます。

ファイアウォールをアップグレードするには、次の手順を実行してください。

  1. ダウンロードボタンをクリックします。
  2. アップグレードのスケジュール設定」をクリックします。

    ファイアウォールのアップグレードのスケジュール設定
  3. ファームウェアバージョンが複数ある場合は、適切なバージョンを選択します。
  4. アップグレードの日付と時刻を選択します。

    ファームウェアは、今すぐアップグレードすることもできます。

  5. アップグレードのスケジュール設定」をクリックします。

    アップグレードのスケジュール設定ボタン

    各ファイアウォールは、該当するタイムゾーンに基づいてアップデートされます。アップグレードは、ファイアウォールでスケジュールされた時刻に開始されます。アップグレードの進行中は、ファイアウォールの横に回転アイコンが表示されます。

    回転アイコン

    アップグレードが完了すると、回転アイコンは消えます。

一度に複数のファイアウォールをアップグレードすることができます。スケジュール設定されたアップグレードは、編集したりキャンセルしたりできます。