動的オブジェクト
動的オブジェクトを使用すると、異なるファイアウォールにあるゾーン/インターフェースを、1つの論理ゾーン/インターフェースにグループ化して、グループポリシーでその論理エンティティに対するルールを設定できます。
ゾーンやインターフェースに関連する設定など、設定のなかにはファイアウォール固有のものがあります。Sophos Central 管理者は、各ファイアウォールにどのゾーンまたはインターフェースがあるかを把握することはできません。したがって、グループポリシーで作成したルールは、グループ内のすべてのファイアウォールで機能するとは限りません。
この問題は、動的ゾーンまたは動的インターフェースを作成することでを解決できます。これによって、各ファイアウォールに対して、使用するゾーンまたはインターフェースを指定できます。そして、動的ゾーンや動的インターフェースを使用して、ルールを作成できます。この場合、ルールは各ファイアウォールで確実に動作します。
動的ゾーン
動的ゾーンを作成するには、次の手順を実行します。
- 「マイプロダクト > Firewall Management > 動的オブジェクト」を参照します。
- 「ゾーン」をクリックします。
- 「動的ゾーンの追加」をクリックします。
-
動的ゾーンの詳細を入力します。
-
ゾーンの種類:
-
LAN: これはデフォルトで、動的オブジェクトを作成する際に最も頻繁に使用されます。使用中のデバイスとネットワークデザインに応じて、このゾーン内で 1個~6個の物理ポートをグループ化できます。ネットワークサブネットが異なる複数のインターフェースをグループ化して、単一のエントリとして管理します。このゾーンで、すべての LAN ネットワークをグループ化します。
注
デフォルトにより、このゾーンからまたはゾーンへのトラフィックはブロックされるため、セキュリティが最も高いゾーンになります。ただし、同じゾーンに属するポート間のトラフィック、および LAN とローカル ゾーン サービス間のトラフィック (例: Administration、Authentication、Network) は許可されます。
-
DMZ: 通常、このゾーンは外部からアクセス可能なサーバーに対して使用されます。使用中のデバイスとネットワークデザインに応じて、このゾーン内で 1個~5個の物理ポートをグループ化できます。
選択した「ゾーンの種類」に応じて、「使用可能なゾーン」ボックスに表示されるオプションが決まります (以下を参照)。
-
-
-
すべてのファイアウォールに対して、デバイス ゾーン マッピングを入力します。
- ファイアウォール: 動的ゾーンにマッピングするファイアウォールのゾーン。「デフォルト (任意のファイアウォール)」のマッピングは、マッピングを指定していないファイアウォール (後で追加されたファイアウォールなど) に適用されます。ただし、マッピングは、各ファイアウォールに存在するゾーンである必要があります。
- 使用可能なゾーン: マッピングするファイアウォールゾーン。
-
「保存」をクリックします。
動的ゾーンが動的オブジェクトテーブルに追加され、「ルールとポリシー」など、ゾーンを設定できる他の設定すべてで使用できるようになります。動的ゾーンの使用場所を確認するには、「使用状況の設定」をクリックして、動的ゾーンを使用するグループ、ポリシー、およびポリシーの一部を表示します。
動的ゾーンを編集または削除するには、動的オブジェクトテーブルでその名前をクリックします。
動的インターフェース
動的インターフェースを作成するには、次の手順を実行します。
- 「マイプロダクト > Firewall Management > 動的オブジェクト」を参照します。
- 「インターフェース」をクリックします。
- 「動的インターフェースの追加」をクリックします。
-
動的インターフェースの詳細を入力します。
- IP アドレスファミリー: ファイアウォールのインターフェースで使用されるアドレスファミリーに対応するアドレスファミリー。選択した「IP アドレスファミリー」に応じて、「使用可能なインターフェース」ボックスに表示されるオプションが決まります (以下を参照)。
- インターフェースの種類: 選択した「インターフェースの種類」に応じて、「使用可能なインターフェース」ボックスに表示されるオプションが決まります (以下を参照)。
-
すべてのファイアウォールに対して、デバイス インターフェース マッピングを入力します。
- ファイアウォール: 動的インターフェースにマッピングするファイアウォールのインターフェース。「デフォルト (任意のファイアウォール)」のマッピングは、マッピングを指定していないファイアウォール (後で追加されたファイアウォールなど) に適用されます。ただし、マッピングは、各ファイアウォールに存在するインターフェースである必要があります。
- 使用可能なインターフェース: マッピングするファイアウォールインターフェース。
-
「保存」をクリックします。
動的インターフェースが動的オブジェクトテーブルに追加され、「ルールとポリシー」など、インターフェースを設定できる他の設定すべてで使用できるようになります。動的インターフェースの使用場所を確認するには、「使用状況の設定」をクリックして、動的インターフェースを使用するグループ、ポリシー、およびポリシーの一部を表示します。
動的インターフェースを編集または削除するには、動的オブジェクトテーブルでその名前をクリックします。