ファイアウォールグループ
Sophos Central でファイアウォールグループを作成および管理できます。
グループの作成
ファイアウォールをグループに追加し、グループポリシーを使用してすべてのファイアウォールを同時に設定できます。
グループを作成するには、Sophos Central で管理者またはスーパー管理者である必要があります。
- 「マイプロダクト > Firewall Management > ファイアウォール」を参照します。
- 「新しいグループの作成」をクリックします。
-
グループの初期設定オプションを選択します。「ソフォスのデフォルト設定を使用」を選択して新しい設定を作成するか、「既存の設定のインポート」を選択して既存のファイアウォールから設定をインポートします。
設定は後でカスタマイズできます。
-
グループの名前を入力します。
-
グループにファイアウォールを割り当てます。
グループの作成時にファイアウォールを割り当てる必要はありません。空のグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はグループポリシーと同期します。
-
「保存」をクリックします。
グループポリシーの作成および編集
グループ内のファイアウォールすべてに適用されるポリシーを作成および編集できます。
Sophos Central からファイアウォールにアクセスするには、Sophos Central で管理者またはスーパー管理者である必要があります。
新しいポリシーを作成して編集するには、次の手順を実行します。
- ポリシーを作成または編集するグループの右端にある省略記号ボタン (...) をクリックします。
-
「ポリシーの管理」を選択します。
ファイアウォールグループの Web 管理コンソールの「ルールとポリシー」が表示されます。
-
ここで、ポリシーを作成および編集できます。
ポリシーでファイアウォールゾーンやインターフェースが使用されている場合は、動的ゾーンや動的インターフェースの作成が必要になる場合もあります。
注
グループからファイアウォールを削除しても、作成したポリシーはファイアウォールに残ります。
-
Sophos Central に戻るには、「ダッシュボード」または (左側のメニューにある)「概要に戻る」をクリックします。
Sophos Central で、「マイプロダクト > 全般設定 > ファイアウォール管理 > タスクのキュー」の順に選択します。ポリシーがファイアウォールに適用されたかどうかを確認できます。
警告
ファイアウォールまたは NAT ルールを追加する際、「最上位」および「最下位」の設定は、ファイアウォールでローカルに作成したルールではなく、Sophos Central 内のルールの表示順序のみに適用されます。Sophos Central からプッシュされたルールはすべて、ファイアウォールのルールリストの一番上に挿入されます。予期しないファイアウォールの動作を避けるため、ファイアウォールを Sophos Central から管理する場合は、ルールをすべて Sophos Central で作成してプッシュすることを推奨します。
サブグループの作成
グループ内にサブグループを作成できます。これによって、サブグループごとに個別にグループポリシーを編集できます。
たとえば、「Boston」、「London」、および「Hyderabad」というサブグループを含む「Acme Corporation」というグループがある場合、Acme Corporation 用に作成されたポリシーは、すべてのサブグループ内のすべてのファイアウォールに自動的に適用されます。しかし、Boston のポリシーを編集した場合、変更は Boston サブグループ内のファイアウォールのみに適用され、London および Hyderabad サブグループのファイアウォールには適用されません。
サブグループを作成するには、次の手順を実行します。
- サブグループを作成するグループの右端にある省略記号ボタン (...) をクリックします。
- 「サブグループの追加」を選択します。
- サブグループの名前を入力します。
-
サブグループにファイアウォールを割り当てます。
サブグループの作成時にファイアウォールを割り当てる必要はありません。空のサブグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はサブグループポリシーと同期します。
-
「保存」をクリックします。
オブジェクトと設定のサブグループポリシーでの継承
「オブジェクト」は、通常、グループ ポリシー エディタ内で、「追加 」および「削除」ボタンのあるページです。たとえば、ファイアウォールルール、NAT ルール、FQDN ホスト、IP ホストなどです。
サブグループポリシーは、親グループ用に作成されたオブジェクトを変更できません。たとえば、Acme Corporation ポリシー用にカスタム「FQDN ホスト」オブジェクトを作成したとします。Boston、London、Hyderabad の各ポリシーは、オブジェクトの読み取り専用のコピーを継承し、これは、それらの各ポリシーではグレーアウト表示されます。ただし、サブグループポリシーは、親オブジェクトをテンプレートとして使用して独自のルールを作成できます。サブグループポリシーは、独自のオブジェクトを自由に作成することもできます。このようなオブジェクトは、そのサブグループポリシーと、そのサブグループのポリシーのみに表示されます。
親グループポリシーからオブジェクトを削除する場合、そのオブジェクトがサブグループポリシーで使用されていない場合は、サブグループポリシーから自動的に削除されます。ただし、使用されている場合、削除は行われず、オブジェクトが使用されているサブグループとルールが通知されます。
「設定」は、通常、グループ ポリシー エディタ内で、「適用」ボタンのあるページです。設定を削除することはできません。設定して、オンまたはオフにすることのみが可能です。設定の例として、「高度な脅威」設定があります。
設定は、最上位の親グループポリシーのみで設定できます。サブグループポリシーでは設定できません。設定が最上位の親グループポリシーに適用されると、すべてのサブグループポリシーに自動的に適用されます。
グループにファイアウォールを割り当て完全同期をスキップする
ファイアウォールをグループに追加して、Sophos Central との同期をスキップできます。これは、冗長化 (HA) ペアに属するスタンドアロンファイアウォールおよびファイアウォールに対して実行できます。
これには、次の手順を実行します。
- 「マイプロダクト > Firewall Management > ファイアウォール」を参照します。
- リストでファイアウォールグループを見つけ、右端の列で 3つの点をクリックし、「グループの編集」をクリックします。
- 「割り当て可能なファイアウォール」で、グループに追加するファイアウォールをクリックし、矢印をクリックして「割り当て済みファイアウォール」に移動します。
-
「完全同期をスキップ」を選択します。
注
完全同期をスキップすると、Sophos Central とファイアウォールの間で設定の不一致が発生する可能性があります。ファイアウォールはグループ内の他のファイアウォールと同期しません。つまり、Sophos Central は既存の設定をファイアウォールにプッシュ送信しません。
-
「保存」をクリックします。
-
ファイアウォールリストで、グループ名の横にある矢印をクリックして、ファイアウォールを表示します。ファイアウォールが「接続」として表示されます。
ファイアウォールグループの設定は、すぐに設定して適用できます。新しい設定は、グループ内のすべてのファイアウォールに適用されます。
完全同期を強制適用するには、次の手順を実行します。
- 「マイプロダクト > Firewall Management > ファイアウォール」を参照します。
-
ファイアウォールリストで、グループ名の横にある矢印をクリックして、ファイアウォールを表示します。
「同期と管理」の下に、ファイアウォールの状態が表示されます。
-
ファイアウォールの状態をクリックします。この場合は「接続」です。
-
「強制同期」をクリックします。
注
「強制同期」リンクは、HA ペアのパッシブファイアウォールには表示されません。HA ペアを更新するには、アクティブなファイアウォールで完全同期を強制する必要があります。
ファイアウォールは Sophos Central と同期します。これによって、すべてのグループ設定を継承します。