コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=DNS-protection-network-setup-Sophos-Firewall

DNS Protection を使用するように Sophos Firewall を設定する

Sophos Firewall を DNS サーバーとして使用している場合は、DNS Protection を DNS フォワーダとして使用するように設定できます。

主な手順

以下は、Sophos Firewall との DNS Protection 設定の主要手順です。

  1. Sophos Central に Sophos Firewall を場所として追加します。
  2. Sophos Central から DNS Protection IP アドレスをコピーします。
  3. Sophos Firewall に DNS Protection IP アドレスを追加します。
  4. Sophos Firewall で内部 DNS サーバーを使用してローカル DNS リクエストを解決する場合には、DNS リクエストルートの設定を行う必要があります。
  5. ネットワークデバイスが DNS リゾルバ として Sophos Firewall を使用するように設定します。
  6. (任意) 送信 DNS トラフィックをファイアウォールの DNS リゾルバに転送する NAT ルールを作成します。

Sophos Central の設定

Sophos Central では、ファイアウォールを場所として追加し、DNS Protection の IP アドレスをコピーしておく必要があります。

Sophos Central に Sophos Firewall を場所として追加する

Sophos Firewall を場所として追加するには、次の手順を実行します。

  1. マイプロダクト > DNS Protection > 場所」に移動します。
  2. 追加」をクリックします。
  3. 場所の名前と説明を入力します。

  4. IPv4 アドレスまたは FQDN」で、ネットワーク設定に応じて、次の手順を実行します。

    • ファイアウォールに WAN インターフェースが 1つある場合は、WAN インターフェースの IP アドレスを追加します。
    • ファイアウォールに複数の WAN インターフェースがある場合は、それらのIPアドレスをすべて追加するか、IP アドレス範囲を追加します。
    • ファイアウォールの IP アドレスが動的である場合は、ダイナミック DNS (DDNS) プロバイダに登録されているファイアウォールのホスト名を追加します。ダイナミックDNS を参照してください。

  5. 保存」をクリックします。

DNS Protection の IPアドレスをコピーする

Sophos Central で、DNS Protection の IPアドレスをコピーします。Sophos Firewall で DNS Protection を有効にするには、これらの IP アドレスが必要です。

以下のように操作し、DNS Protection の IP アドレスをコピーしてください。

  1. マイプロダクト > DNS Protection > インストーラに移動します。

  2. IP アドレス」の横にある「コピー」をクリックします。

    2つの IP アドレスをコピーします。これらの IP アドレスをプライマリおよびセカンダリ DNS Protection IP アドレスとして使用して、冗長性を設定できます。

Sophos Firewall 設定

ファイアウォールで、次の手順を実行します。

  • Sophos Firewall に DNS Protection IP アドレスを追加します。
  • ローカル DNS サーバーを使用している場合は、DNS リクエストルートを追加します。
  • ネットワークデバイスが DNS リゾルバとしてファイアウォールを使用するように設定します。

Sophos Firewall に DNS Protection IP アドレスを追加します。

DNS Protection を使用するようにファイアウォールを設定するは、Sophos Central からコピーした DNS Protection IP アドレスをファイアウォールに追加します。

以下のように操作し、Sophos Firewall で DNS Protection の IP アドレスをコピーしてください。

  1. ネットワーク > DNS」の順に選択します。
  2. スタティック DNS」を選択します。

  3. DNS 1」に、プライマリ DNS Protection Server の IP アドレスを入力します。

    これは、Sophos Central からコピーした IP アドレスの 1つである必要があります。

  4. DNS 2」に、セカンダリ DNS Protection Server の IP アドレスを入力します。

    これは、Sophos Central からコピーしたアドレスの1つである必要があります。

    DNS 3 に他の DNS サーバーを追加しないことをお勧めします。ファイアウォールが 3番目の DNS サーバーに切り替わると、DNS Protection が提供する保護機能が失われます。

  5. IPv6 DNS サーバーが設定されていないことを確認します。

    IPv6」で、次の手順を実行します。

    1. スタティック DNS」を選択します。
    2. DNS 1」、「DNS 2」、「DNS 3」は 空白のままにします。
    3. IPv6 経由で IPv4 DNS サーバーを選択」を選択します。

  6. 適用」をクリックします。

    Sophos Firewall DNSの設定。

    スクリーンショットの IP アドレスは例にすぎません。Sophos Central からコピーした IP アドレスを使用する必要があります。

DNS リクエストルートの追加

DNS Protection はローカル DNS リクエストを解決しません。このため、内部 DNS サーバーを使用してローカル DNS リクエストを解決する場合は、ファイアウォールに DNS リクエストルートを追加する必要があります。

DNS リクエストルートを追加すると、ファイアウォールは DNS リクエストを次のように解決します。

Sophos Firewall DNS リクエスト ルート トポロジ。

  1. ユーザーからのすべてのリクエストはファイアウォールに送信されます。
  2. ファイアウォールは、ドメインに基づいてローカルリクエストを内部 DNS サーバーに転送します。
  3. ファイアウォールはパブリック DNS リクエストを DNS Protection に転送します。
  4. ファイアウォールは、すべての DNS リクエストからの応答をユーザーに転送します。

DNS リクエストルートで、ローカルドメインと内部 DNS サーバーを指定します。

DNS リクエストルートを追加するには、以下の手順に従います。

  1. ネットワーク > DNS」の順に選択します。
  2. DNS リクエストルート」の下で、「追加」をクリックします。
  3. ホスト/ドメイン名」にローカルドメインを入力します。
  4. 対象サーバー」で、内部 DNS サーバーを選択します。
  5. 保存」をクリックします。

ネットワークデバイスが DNS リゾルバ として Sophos Firewall を使用するように設定する

ファイアウォールの DHCP サーバーを更新して、ネットワークデバイスが DNS リゾルバとしてファイアウォールを使用するようにします。

ファイアウォールの DHCP サーバーを更新するには、次の手順を実行します。

  1. ネットワーク > DHCP」の順に選択します。

  2. サーバー」で、設定済みの DHCP サーバーを選択し、「編集」「編集」ボタン。 をクリックして変更を加えます。

    DHCP サーバーを編集します。

  3. インターフェース」で、選択された DHCP インターフェースの IP アドレスをメモしておきます。

  4. DNSサーバー」で、サーバーを次のように設定します。

    1. デバイスの DNS 設定を使用」は選択しないでください。
    2. プライマリ DNS」に、インターフェースでメモした DHCP インターフェースの IP アドレスを入力してください。
    3. セカンダリ DNS」には、DNS Protection のパブリック IP アドレスを入力します。これは、Sophos Central からコピーした DNS Protection の IP アドレスの 1つである必要があります。

  5. 保存」をクリックします。

  6. ファイアウォール内の設定済み DHCP サーバーすべてに対して、この手順を繰り返します。

送信 DNS トラフィックをファイアウォールの DNS リゾルバに転送する NAT ルールを作成する

すべての DHCP サーバーを設定した後でも、正規の設定または悪意のある設定のいずれかによって、ネットワーク内の一部のデバイスがサードパーティの DNS リゾルバを使用するように設定されている場合があります。そのため、内部ネットワークからのすべての送信 DNS トラフィックをファイアウォールの DNS リゾルバに転送する NAT ルールを作成できます。

NAT ルールを作成するには、次の手順を実行します。

  1. ルールとポリシー > NAT ルール」に移動し、IPv4 を選択します。
  2. NAT ルールの追加 > 新しい NAT ルール」の順に選択します。
  3. ルールの名前を入力し、「ルールの位置」を「最上位」に設定します。
  4. 変換前の送信元」では、すべての内部ネットワークを選択します。
  5. 変換前の宛先」で、送信ホストグループを選択します。代わりに、組み込みのホストグループ「インターネット IPv4 グループ」を選択することもできます。
  6. 変換前のサービス」で、「DNS」を選択します。
  7. 変換後の宛先 (DNAT)」では、ファイアウォールの内部インターフェースの IP アドレスを選択してください。

  8. 受信インターフェース」で、「変換前の送信元」で設定した送信元ネットワークに対応するファイアウォールインターフェースを選択します。

    ファイアウォールに複数の WAN インターフェースがある場合は、WAN ポートまたは WAN インターフェースを選択しないでください。

  9. 保存」をクリックします。

その他のリソース