ファイアウォールグループ

Sophos Central でファイアウォールグループを作成および管理できます。

グループの作成

ファイアウォールをグループに追加し、グループポリシーを使用してすべてのファイアウォールを同時に設定できます。

1. 「マイプロダクト > Firewall Management > ファイアウォール」を参照します。
2. 「新しいグループの作成」をクリックします。

3. グループの初期設定オプションを選択します。「ソフォスのデフォルト設定を使用」を選択して新しい設定を作成するか、「既存の設定のインポート」を選択して既存のファイアウォールから設定をインポートします。

   設定は後でカスタマイズできます。

4. グループの名前を入力します。

5. グループにファイアウォールを割り当てます。

   グループの作成時にファイアウォールを割り当てる必要はありません。空のグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はグループポリシーと同期します。

6. 「保存」をクリックします。

グループポリシーの作成および編集

グループ内のファイアウォールすべてに適用されるポリシーを作成および編集できます。

新しいポリシーを作成して編集するには、次の手順を実行します。

1. ポリシーを作成または編集するグループの右端にある省略記号ボタン (...) をクリックします。

2. 「ポリシーの管理」を選択します。

   ファイアウォールグループの Web 管理コンソールの「ルールとポリシー」が表示されます。

3. ここで、ポリシーを作成および編集できます。

   ポリシーでファイアウォールゾーンやインターフェースが使用されている場合は、動的ゾーンや動的インターフェースの作成が必要になる場合もあります。

   注

   グループからファイアウォールを削除しても、作成したポリシーはファイアウォールに残ります。

4. Sophos Central に戻るには、「ダッシュボード」または (左側のメニューにある)「概要に戻る」をクリックします。

Sophos Central で、「マイプロダクト > 全般設定 > ファイアウォール管理 > タスクのキュー」の順に選択します。ポリシーがファイアウォールに適用されたかどうかを確認できます。

サブグループの作成

グループ内にサブグループを作成できます。これによって、サブグループごとに個別にグループポリシーを編集できます。

たとえば、「Boston」、「London」、および「Hyderabad」というサブグループを含む「Acme Corporation」というグループがある場合、Acme Corporation 用に作成されたポリシーは、すべてのサブグループ内のすべてのファイアウォールに自動的に適用されます。しかし、Boston のポリシーを編集した場合、変更は Boston サブグループ内のファイアウォールのみに適用され、London および Hyderabad サブグループのファイアウォールには適用されません。

サブグループを作成するには、次の手順を実行します。

1. サブグループを作成するグループの右端にある省略記号ボタン (...) をクリックします。
2. 「サブグループの追加」を選択します。
3. サブグループの名前を入力します。

4. サブグループにファイアウォールを割り当てます。

   サブグループの作成時にファイアウォールを割り当てる必要はありません。空のサブグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はサブグループポリシーと同期します。

5. 「保存」をクリックします。

オブジェクトと設定のサブグループポリシーでの継承

「オブジェクト」は、通常、グループ ポリシー エディタ内で、「追加 」および「削除」ボタンのあるページです。たとえば、ファイアウォールルール、NAT ルール、FQDN ホスト、IP ホストなどです。

サブグループポリシーは、親グループ用に作成されたオブジェクトを変更できません。たとえば、Acme Corporation ポリシー用にカスタム「FQDN ホスト」オブジェクトを作成したとします。Boston、London、Hyderabad の各ポリシーは、オブジェクトの読み取り専用のコピーを継承し、これは、それらの各ポリシーではグレーアウト表示されます。ただし、サブグループポリシーは、親オブジェクトをテンプレートとして使用して独自のルールを作成できます。サブグループポリシーは、独自のオブジェクトを自由に作成することもできます。このようなオブジェクトは、そのサブグループポリシーと、そのサブグループのポリシーのみに表示されます。

親グループポリシーからオブジェクトを削除する場合、そのオブジェクトがサブグループポリシーで使用されていない場合は、サブグループポリシーから自動的に削除されます。ただし、使用されている場合、削除は行われず、オブジェクトが使用されているサブグループとルールが通知されます。

「設定」は、通常、グループ ポリシー エディタ内で、「適用」ボタンのあるページです。設定を削除することはできません。設定して、オンまたはオフにすることのみが可能です。設定の例として、「高度な脅威」設定があります。

設定は、最上位の親グループポリシーのみで設定できます。サブグループポリシーでは設定できません。設定が最上位の親グループポリシーに適用されると、すべてのサブグループポリシーに自動的に適用されます。

グループにファイアウォールを割り当て完全同期をスキップする

ファイアウォールをグループに追加して、Sophos Central との同期をスキップできます。これは、冗長化 (HA) ペアに属するスタンドアロンファイアウォールおよびファイアウォールに対して実行できます。

これには、次の手順を実行します。

1. 「マイプロダクト > Firewall Management > ファイアウォール」を参照します。
2. リストでファイアウォールグループを見つけ、右端の列で 3つの点をクリックし、「グループの編集」をクリックします。
3. 「割り当て可能なファイアウォール」で、グループに追加するファイアウォールをクリックし、矢印をクリックして「割り当て済みファイアウォール」に移動します。

4. 「完全同期をスキップ」を選択します。

   

   注

   完全同期をスキップすると、Sophos Central とファイアウォールの間で設定の不一致が発生する可能性があります。ファイアウォールはグループ内の他のファイアウォールと同期しません。つまり、Sophos Central は既存の設定をファイアウォールにプッシュ送信しません。

5. 「保存」をクリックします。

6. ファイアウォールリストで、グループ名の横にある矢印をクリックして、ファイアウォールを表示します。ファイアウォールが「接続」として表示されます。

ファイアウォールグループの設定は、すぐに設定して適用できます。新しい設定は、グループ内のすべてのファイアウォールに適用されます。

完全同期を強制適用するには、次の手順を実行します。

1. 「マイプロダクト > Firewall Management > ファイアウォール」を参照します。

2. ファイアウォールリストで、グループ名の横にある矢印をクリックして、ファイアウォールを表示します。

   「同期と管理」の下に、ファイアウォールの状態が表示されます。

3. ファイアウォールの状態をクリックします。この場合は「接続」です。

4. 「強制同期」をクリックします。

   

   注

   「強制同期」リンクは、HA ペアのパッシブファイアウォールには表示されません。HA ペアを更新するには、アクティブなファイアウォールで完全同期を強制する必要があります。

ファイアウォールは Sophos Central と同期します。これによって、すべてのグループ設定を継承します。