コンテンツにスキップ

ファイアウォール

Sophos Central に接続可能な Sophos Firewall すべてを表示して、設定できます。

はじめに

Sophos Central に追加したファイアウォールは、Sophos Central で監視し、ファイアウォールの Web 管理コンソールで管理できます。詳細は、Sophos Central から Sophos Firewall を管理する (英語) を参照してください。

ファイアウォールは、個別またはグループとして管理できます。個別に管理するファイアウォールは、「グループ化解除」というグループに配置されます。ファイアウォールを管理するには、「マイプロダクト > Firewall Management > ファイアウォール」を参照します。

Sophos Central には、必要な数だけファイアウォールを追加できます。Sophos Central は、クラウドベースで、ニーズに合わせて拡張できます。たとえば、ファイアウォールで多数のログが生成される場合、ライセンスで許可されているストレージ容量が十分であれば、このデータを保存してレポートを生成することができます。Sophos Central で、ファイアウォールのログデータは、先入先出で保存されます。これによって、データストレージが満杯になると、古いデータが削除されます。詳細は、レポートハブを参照してください。

ファイアウォールの詳細は、次を参照してください。

ファイアウォール情報

各ファイアウォールについて表示される情報は、次のとおりです。

名前

グループ化されていないファイアウォールとグループ化されたファイアウォールのリストを表示します。ファイアウォールを表示するには、リスト名の横にある矢印をクリックします。

ファイアウォール名をクリックして、ファイアウォールの Web 管理コンソールを開きます。そこから、ファイアウォールを設定することができます。

ファイアウォールの Web 管理コンソールを開くには、Sophos Central の管理者またはスーパー管理者である必要があります。これにより、ファイアウォールのローカル「管理者」アカウントと同じ権限が与えられます。また、「管理者」アカウントのパスワードを変更することもできます。これは、ゼロタッチを使用してファイアウォールを導入する際に必要となります。

グループ化されていないファイアウォールはグループ未所属という名前のリストにあります。

ファイアウォール管理-ファイアウォールページ。

ファイアウォール名の横にある冗長化 (HA) アイコン HA アイコン。 をクリックすると、HA クラスタに関する次の詳細が表示されます。

  • HA クラスタ内のファイアウォールのロール。プライマリまたは補助にすることができます。
  • ファイアウォールノード番号。例: "Node1"。
  • ファイアウォールノード情報。例: "初期プライマリ。クラスタのライセンスを保持します。"
  • 前回の状態の変更。ファイアウォールノードによる前回のロールの変更。例: "Friday, April 14, 2023, 11:42 AM".

    この時刻は、ブラウザの現地時間に対応しています。これは、ファイアウォールの時刻とは多少異なる場合があります。

  • ファイアウォールノード名:ファイアウォールノードに付けた名前。

  • HA モードファイアウォールが属する HA クラスタの種類。例: "HA: アクティブ-パッシブモード。"

次に、ファイアウォールの HA 詳細の例を示します。

ファイアウォール HA の詳細。

ファイアウォール名の横にある HA アイコンをクリックして、新しいファイアウォールグループを作成するときに、 使用可能なファイアウォールおよび割り当て済みファイアウォールの下にある HA の詳細を表示することもできます。

警告

過去 24時間の警告数。

アイコン 説明
CPU 使用率警告。 CPU 使用率警告: 過去 2時間の CPU 使用率のグラフを表示するには、アイコンをクリックします。
レポート警告。 管理およびレポート警告: 詳細を表示するは、アイコンをクリックします。

同期と管理

状態 説明
同期 ファイアウォールがオンラインで、定期的にハートビートを送信しています。ファイアウォールの設定が、グループポリシーと一致しています。
接続

ファイアウォールのグループ化が解除されている場合、この状態は、ファイアウォールがオンラインで、定期的にハートビートを送信していることを示します。

ファイアウォールがグループに所属しており、この状態が 1分以上経過しても変わらない場合、ファイアウォールはオンラインで、定期的にハートビートを送信していますが、グループポリシーとの同期は開始していません。これは、同期タスクが作成されていないか、またはタスクが作成されているが、ファイアウォールによってプルされていないことが原因である可能性があります。この場合、タスクキューを参照して、保留中のトランザクションを確認してください。

対処が必要なエラーあり ファイアウォールの設定が、グループポリシーと一致していません。管理者は、タスクキューを参照して、適用できないポリシーを特定する必要があります。
同期中 ファイアウォールがグループに追加されたばかりです。Sophos Central は、グループポリシーをファイアウォールに適用しています。
最終表示 X時間前 (Sophos Firewall 18.0 以降の場合)、または切断 ファイアウォールがオフラインです。
承認保留中 ファイアウォールの Web 管理コンソールで、ファイアウォールがローカル管理者によって Sophos Central に登録されました。Sophos Central 管理者による承認を待機しています。承認されると、ファイアウォールに対して、グループおよび個別のデバイス管理を実行できます。
管理: 無効 ファイアウォールが Sophos Central に登録されています。ただし、ファイアウォールの Web 管理コンソールで、Sophos Central 管理がオンに設定されていません。

状態をクリックすると、詳細情報が表示されます。

追加情報 説明
切断後の経過時間: x時間 ファイアウォールは、毎分ハートビートメッセージを送信します。5つのハートビートメッセージが受信されなかった場合、Sophos Central はファイアウォールをオフラインと見なします。
ポリシーの適用に失敗: X日前 ポリシーをファイアウォールに適用できませんでした。タスクキューで、失敗した理由の詳細を確認できる場合があります。
ファイアウォールが中断されました。 ファイアウォールが、30日以上オフラインになっているか、またはグループポリシーと同期していません。これは、Sophos Central が現在の状態を検出できないことを意味します。詳細は、中断されたファイアウォールを参照してください。
Central レポートが無効になっています Firewall Reporting は、ファイアウォールの Web 管理コンソールからオンにできます。

Synchronized Security

アイコン 説明
アプリ アイコン。 ファイアウォールによって検出されたアプリの数。
グレーのグラフアイコン。 レポートがオフになっています。
青いグラフアイコン。 レポートがオンになっています。

バージョン

ファイアウォールのファームウェアバージョンです。

バージョンの横には、ファイアウォールのアップグレード状態を示すアイコンがあります。アイコンをクリックして詳細を表示します。

アイコンの詳細は以下のとおりです。

アイコン 説明
青い矢印アイコン。 ファームウェアのアップグレードがあります。
緑のチェックアイコン。 ファームウェアのアップグレードに成功しました。
赤色の警告アイコン。 ファームウェアのアップグレードに失敗しました。
グレーの時計アイコン。 ファームウェアのアップグレードがスケジュール設定されました。
青い回転する円のアイコン。 ファームウェアのアップグレードが進行中です。

例: 青い矢印アイコンをクリックすると、次のように表示されます。

ファイアウォールファームウェアのステータス。

新しいファイアウォールの追加

新しいファイアウォールを追加するには、次の手順を実行してください。

  1. ファイアウォールの追加」をクリックして、新しいファイアウォールを追加するオプションを選択します。
  2. シリアル番号を登録します。

    登録とインストールの手順が表示されます。

既存のファイアウォールの追加

インストール済みのファイアウォールを追加するには、次の手順を実行してください。

  1. ファイアウォールにログインします。
  2. Central Synchronization」ページで、「Sophos Central から管理」をオンにします。
  3. Sophos Central の「ファイアウォール」ページで「グループ化解除」グループを展開し、ファイアウォールを参照して「サービスの許可」をクリックします。

グループの作成

ファイアウォールがファームウェアバージョン 18.0 以降の場合、それをグループに追加し、グループポリシーを使用してすべてを同時に設定できます。

グループを作成するには、Sophos Central で管理者またはスーパー管理者である必要があります。

  1. 新しいグループの作成」をクリックします。
  2. グループの初期設定オプションを選択します。「ソフォスのデフォルト設定を使用」を選択して新しい設定を作成するか、「既存の設定のインポート」を選択して既存のファイアウォールから設定をインポートします。

    設定は後でカスタマイズできます。

  3. グループの名前を入力します。

  4. グループにファイアウォールを割り当てます。

    グループの作成時にファイアウォールを割り当てる必要はありません。空のグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はグループポリシーと同期します。

  5. 保存」をクリックします。

グループポリシーの編集

グループ内のファイアウォールすべてに適用されるポリシーを編集できます。

Sophos Central からファイアウォールにアクセスするには、Sophos Central で管理者またはスーパー管理者である必要があります。

ポリシーを編集するには、次の手順を実行します。

  1. ポリシーを編集するグループの右端にある省略記号ボタン (...) をクリックします。
  2. ポリシーの管理」を選択します。

    ファイアウォール Web 管理コンソールの「ルールとポリシー」が表示されます。

  3. ここで、ポリシーを編集できます。

    ポリシーでファイアウォールゾーンやインターフェースが使用されている場合は、動的ゾーンや動的インターフェースの作成が必要になる場合もあります。

  4. Sophos Central に戻るには、「ダッシュボード」または (左側のメニューにある)「概要に戻る」をクリックします。

Sophos Central で、「マイプロダクト > 全般設定 > ファイアウォール管理 > タスクのキュー」の順に選択します。ポリシーがファイアウォールに適用されたかどうかを確認できます。

警告

ファイアウォールまたは NAT ルールを追加する際、「最上位」および「最下位」の設定は、ファイアウォールでローカルに作成したルールではなく、Sophos Central 内のルールの表示順序のみに適用されます。Sophos Central からプッシュされたルールはすべて、ファイアウォールのルールリストの一番上に挿入されます。予期しないファイアウォールの動作を避けるため、ファイアウォールを Sophos Central から管理する場合は、ルールをすべて Sophos Central で作成してプッシュすることを推奨します。

サブグループの作成

グループ内にサブグループを作成できます。これによって、サブグループごとに個別にグループポリシーを編集できます。

たとえば、「Boston」、「London」、および「Hyderabad」というサブグループを含む「Acme Corporation」というグループがある場合、Acme Corporation 用に作成されたポリシーは、すべてのサブグループ内のすべてのファイアウォールに自動的に適用されます。しかし、Boston のポリシーを編集した場合、変更は Boston サブグループ内のファイアウォールのみに適用され、London および Hyderabad サブグループのファイアウォールには適用されません。

サブグループを作成するには、次の手順を実行します。

  1. サブグループを作成するグループの右端にある省略記号ボタン (...) をクリックします。
  2. サブグループの追加」を選択します。
  3. サブグループの名前を入力します。
  4. サブグループにファイアウォールを割り当てます。

    サブグループの作成時にファイアウォールを割り当てる必要はありません。空のサブグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はサブグループポリシーと同期します。

  5. 保存」をクリックします。

オブジェクトと設定のサブグループポリシーでの継承

「オブジェクト」は、通常、グループ ポリシー エディタ内で、「追加 」および「削除」ボタンのあるページです。たとえば、ファイアウォールルール、NAT ルール、FQDN ホスト、IP ホストなどです。

サブグループポリシーは、親グループ用に作成されたオブジェクトを変更できません。たとえば、Acme Corporation ポリシー用にカスタム「FQDN ホスト」オブジェクトを作成したとします。Boston、London、Hyderabad の各ポリシーは、オブジェクトの読み取り専用のコピーを継承し、これは、それらの各ポリシーではグレーアウト表示されます。ただし、サブグループポリシーは、親オブジェクトをテンプレートとして使用して独自のルールを作成できます。サブグループポリシーは、独自のオブジェクトを自由に作成することもできます。このようなオブジェクトは、そのサブグループポリシーと、そのサブグループのポリシーのみに表示されます。

親グループポリシーからオブジェクトを削除する場合、そのオブジェクトがサブグループポリシーで使用されていない場合は、サブグループポリシーから自動的に削除されます。ただし、使用されている場合、削除は行われず、オブジェクトが使用されているサブグループとルールが通知されます。

「設定」は、通常、グループ ポリシー エディタ内で、「適用」ボタンのあるページです。設定を削除することはできません。設定して、オンまたはオフにすることのみが可能です。設定の例として、「高度な脅威」設定があります。

設定は、最上位の親グループポリシーのみで設定できます。サブグループポリシーでは設定できません。設定が最上位の親グループポリシーに適用されると、すべてのサブグループポリシーに自動的に適用されます。

ラベルの貼り付け

Sophos Firewall にラベルを追加することができます。これによって、ゲートウェイがアップまたはダウンしたときなど、さまざまな警告に関するメール通知を受信した際に、ファイアウォールを識別するのみに役立ちます。

ファイアウォールにラベルを追加するには、次の手順を実行してください。

  1. ファイアウォールの横にある 3つのドットをクリックして、「ラベルの貼り付け」をクリックします。

    ファイアウォールラベルの貼り付け。

  2. ポップアップが表示されます。ダイアログボックスで、ファイアウォールラベルの名前を入力し、「追加」をクリックします。

    ファイアウォールラベルの名前の入力。

    ファイアウォールラベルは、ファイアウォール名やシリアル番号とは異なるものにする必要があります。

    ファイアウォールラベルは、ファイアウォールの横に表示されます。

    ファイアウォールラベルの表示。

  3. ファイアウォールラベルを編集または削除するには、ファイアウォールの横にある 3つのドットをクリックして、「ラベルの編集/削除」をクリックします。

    ファイアウォールラベルを編集または削除。

ファイアウォール用のファームウェアのアップグレード

アップグレードのスケジュール設定は、Sophos Firewall バージョン 18.0 MR3 以降を使用している場合のみに実行できます。

Sophos Firewall 用のファームウェアをアップグレードできます。アップグレードがある場合は、対象となるすべてのファイアウォールの横にダウンロードボタン ダウンロードボタン。 が表示されます。

ファイアウォールをアップグレードするには、次の手順を実行してください。

  1. ダウンロードボタンをクリックします。
  2. アップグレードのスケジュール設定」をクリックします。

    ファイアウォールのアップグレードのスケジュール設定。

  3. ファームウェアバージョンが複数ある場合は、適切なバージョンを選択します。

  4. アップグレードの日付と時刻を選択します。

    ファームウェアは、今すぐアップグレードすることもできます。

  5. アップグレードのスケジュール設定」をクリックします。

    アップグレードのスケジュール設定ボタン。

    各ファイアウォールは、ファイアウォールのタイムゾーンに基づいてアップデートされます。アップグレードは、ファイアウォールでスケジュールされた時刻に開始されます。アップグレードの進行中は、ファイアウォールの横に回転アイコンが表示されます。

    回転アイコン。

    アップグレードが完了すると、回転アイコンは消えます。

一度に複数のファイアウォールをアップグレードすることができます。スケジュール設定されたアップグレードは、編集したりキャンセルしたりできます。

アップデート処理中にファイアウォールの設定の移行に問題が発生した場合、ファームウェアバージョンが自動的にロールバックされます。詳細は、Sophos Firewall: ファームウェアの自動ロールバックを参照してください。。