コンテンツにスキップ

ファイアウォール

Sophos Central に接続可能な Sophos Firewall すべてを表示して、設定できます。

はじめに

Sophos Central に追加したファイアウォールは、Sophos Central で監視し、ファイアウォールの Web 管理コンソールで管理できます。詳細は、Sophos Central から Sophos Firewall を管理する (英語) を参照してください。

ファイアウォールは、個別またはグループとして管理できます。個別に管理するファイアウォールは、「グループ化解除」というグループに配置されます。ファイアウォールを管理するには、「ファイアウォール管理 > ファイアウォール」を参照します。

Sophos Central には、必要な数だけファイアウォールを追加できます。Sophos Central は、クラウドベースで、ニーズに合わせて拡張できます。たとえば、ファイアウォールで多数のログが生成される場合、ライセンスで許可されているストレージ容量が十分であれば、このデータを保存してレポートを生成することができます。Sophos Central で、ファイアウォールのログデータは、先入先出で保存されます。つまり、データストレージがいっぱいになると、古いデータから順に削除されます。詳細は、レポートハブを参照してください。

ファイアウォールの詳細は、次を参照してください。

ファイアウォール情報

各ファイアウォールについて表示される情報は、次のとおりです。

警告

過去 24時間の警告数。

アイコン 説明
CPU 使用率の警告: 過去 2時間の CPU 使用率のグラフを表示するには、アイコンをクリックします。
管理およびレポート警告: 詳細を表示するは、アイコンをクリックします。
### 同期と管理
状態 説明
---------- ----------
同期 ファイアウォールがオンラインで、定期的にハートビートを送信しています。ファイアウォールの設定が、グループポリシーと一致しています。
接続 ファイアウォールのグループ化が解除されている場合、この状態は、ファイアウォールがオンラインで、定期的にハートビートを送信していることを示します。

ファイアウォールがグループに所属しており、この状態が約 1分以上経過しても変わらない場合、ファイアウォールはオンラインで、定期的にハートビートを送信していますが、グループポリシーとの同期は開始していません。これは、同期タスクが作成されていないか、またはタスクが作成されているが、ファイアウォールによってプルされていないことが原因である可能性があります。この場合、タスクキューを参照して、保留中のトランザクションを確認してください。
対処が必要なエラーあり ファイアウォールの設定が、グループポリシーと一致していません。管理者は、タスクキューを参照して、適用できないポリシーを特定する必要があります。
同期中 ファイアウォールがグループに追加されたばかりです。Sophos Central は、グループポリシーをファイアウォールに適用しています。
最終表示 X時間前 (Sophos Firewall 18.0 以降の場合)、または切断 ファイアウォールがオフラインです。
承認保留中 ファイアウォールの Web 管理コンソールで、ファイアウォールがローカル管理者によって Sophos Central に登録されました。Sophos Central 管理者による承認を待機しています。承認されると、ファイアウォールに対して、グループおよび個別のデバイス管理を実行できます。
管理: 無効 ファイアウォールが Sophos Central に登録されています。ただし、ファイアウォールの Web 管理コンソールで、Sophos Central 管理がオンに設定されていません。
状態をクリックすると、詳細情報が表示されます。
追加情報 説明
---------- ----------
切断後の経過時間: x時間 ファイアウォールは、毎分ハートビートメッセージを送信します。送信した 5件のハートビートメッセージに対して応答がない場合、Sophos Central はファイアウォールがオフラインであると見なします。
ポリシーの適用に失敗: X日前 ポリシーをファイアウォールに適用できませんでした。タスクキューで、失敗した理由の詳細を確認できる場合があります。
ファイアウォールが中断されました。 ファイアウォールが、30日以上オフラインになっているか、またはグループポリシーと同期していません。これは、Sophos Central が現在の状態を検出できないことを意味します。この問題を解決するには、ファイアウォールをグループから削除後、再度追加します。
Central レポートが無効になっています Firewall Reporting は、ファイアウォールの Web 管理コンソールからオンにできます。
### Synchronized Security
アイコン 説明
---------- ----------
アプリ アイコン ファイアウォールによって検出されたアプリの数。
グレーのグラフアイコン レポートがオフになっています。
青いグラフアイコン レポートがオンになっています。
### バージョン
ファイアウォール OS のバージョン。
ファイアウォールをクリックして、ファイアウォールの Web 管理コンソールを開きます。そこから、ファイアウォールを設定することができます。

Web 管理コンソールを開くには、Sophos Central で管理者またはスーパー管理者である必要があります。これにより、ファイアウォールのローカル「管理者」アカウントと同じ権限が与えられます。また、「管理者」アカウントのパスワードを変更することもできます。これは、ゼロタッチを使用してファイアウォールを導入する際に必要となります。

新しいファイアウォールの追加

新しいファイアウォールを追加するには、次の手順を実行してください。 1. 「ファイアウォールの追加」をクリックして、新しいファイアウォールを追加するオプションを選択します。 2. シリアル番号を登録します。 登録とインストールの手順が表示されます。

既存のファイアウォールの追加

インストール済みのファイアウォールを追加するには、次の手順を実行してください。 1. ファイアウォールにログインします。 2. 「Central Synchronization」ページで、「Sophos Central から管理」をオンにします。 3. Sophos Central の「ファイアウォール」ページで「グループ化解除」グループを展開し、ファイアウォールを参照して「サービスの許可」をクリックします。

グループの作成

ファイアウォールがファームウェアバージョン 18.0 以降の場合、それをグループに追加し、グループポリシーを使用してすべてを同時に設定できます。

グループを作成するには、Sophos Central で管理者またはスーパー管理者である必要があります。

  1. 新しいグループの作成」をクリックします。
  2. グループの名前を入力します。
  3. グループにファイアウォールを割り当てます。 グループの作成時にファイアウォールを割り当てる必要はありません。空のグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はグループポリシーと同期します。
  4. 保存」をクリックします。

グループポリシーの編集

グループ内のファイアウォールすべてに適用されるポリシーを編集できます。これには、次の手順を実行します。 1. ポリシーを編集するグループの右端にある省略記号ボタン (...) をクリックします。 2. 「ポリシーの管理」を選択します。 ファイアウォール Web 管理コンソールの「ルールとポリシー」が表示されます。 3. ここで、ポリシーを編集できます。 ポリシーでファイアウォールゾーンやインターフェースが使用されている場合は、動的ゾーンや動的インターフェースの作成が必要になる場合もあります。 4. Sophos Central に戻るには、「ダッシュボード」または (左側のメニューにある)「概要に戻る」をクリックします。 Sophos Central で「ファイアウォール管理 > タスクのキュー」を参照します。ポリシーがファイアウォールに適用されたかどうかを確認できます。

警告

ファイアウォールまたは NAT ルールを追加する際、「最上位」および「最下位」の設定は、ファイアウォールでローカルに作成したルールではなく、Sophos Central 内のルールの表示順序のみに適用されます。Sophos Central からプッシュされたルールはすべて、ファイアウォールのルールリストの一番上に挿入されます。予期しないファイアウォールの動作を避けるため、ファイアウォールを Sophos Central から管理する場合は、ルールをすべて Sophos Central で作成してプッシュすることを推奨します。

サブグループの作成

グループ内にサブグループを作成できます。これによって、サブグループごとに個別にグループポリシーを編集できます。 たとえば、「Boston」、「London」、および「Hyderabad」というサブグループを含む「Acme Corporation」というグループがある場合、Acme Corporation 用に作成されたポリシーは、すべてのサブグループ内のすべてのファイアウォールに自動的に適用されます。しかし、 Boston のポリシーを編集した場合、変更は Boston サブグループ内のファイアウォールのみに適用され、 London および Hyderabad サブグループのファイアウォールには適用されません。 サブグループを作成するには、次の手順を実行します。 1. サブグループを作成するグループの右端にある省略記号ボタン (...) をクリックします。 2. 「サブグループの追加」を選択します。 3. サブグループの名前を入力します。 4. サブグループにファイアウォールを割り当てます。 サブグループの作成時にファイアウォールを割り当てる必要はありません。空のサブグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はサブグループポリシーと同期します。 5. 「保存」をクリックします。

オブジェクトと設定のサブグループポリシーでの継承

「オブジェクト」は、通常、グループ ポリシー エディタ内で、「追加 」および「削除」ボタンのあるページです。たとえば、ファイアウォールルール、NAT ルール、FQDN ホスト、IP ホストなどです。 サブグループポリシーは、親グループ用に作成されたオブジェクトを変更できません。たとえば、Acme Corporation ポリシー用にカスタム「FQDN ホスト」オブジェクトを作成したとします。Boston、London、Hyderabad の各ポリシーは、オブジェクトの読み取り専用のコピーを継承し、これは、Boston、London、および Hyderabad の各ポリシーではグレーアウト表示されます。ただし、サブグループポリシーは、親オブジェクトをテンプレートとして使用して独自のルールを作成できます。サブグループポリシーは、独自のオブジェクトを自由に作成することもできます。このようなオブジェクトは、そのサブグループポリシーと、そのサブグループのポリシーのみに表示されます。 親グループポリシーからオブジェクトを削除する場合、そのオブジェクトがサブグループポリシーで使用されていない場合は、サブグループポリシーから自動的に削除されます。ただし、使用されている場合、削除は行われず、オブジェクトが使用されているサブグループとルールが通知されます。 「設定」は、通常、グループ ポリシー エディタ内で、「適用」ボタンのあるページです。設定を削除することはできません。設定して、オンまたはオフにするだけです。設定の例として、「高度な脅威」設定があります。 設定は、最上位の親グループポリシーのみで設定できます。サブグループポリシーでは設定できません。設定が最上位の親グループポリシーに適用されると、すべてのサブグループポリシーに自動的に適用されます。

ファイアウォール用のファームウェアのアップグレード

アップグレードのスケジュール設定は、Sophos Firewall バージョン 18.0 MR3 以降を使用している場合のみに実行できます。

Sophos Firewall 用のファームウェアをアップグレードできます。アップグレードがある場合は、対象となるすべてのファイアウォールの横にダウンロードボタン ダウンロードボタン が表示されます。 ファイアウォールをアップグレードするには、次の手順を実行してください。 1. ダウンロードボタンをクリックします。 2. 「アップグレードのスケジュール設定」をクリックします。 ファイアウォールのアップグレードのスケジュール設定 3. ファームウェアバージョンが複数ある場合は、適切なバージョンを選択します。 4. アップグレードの日付と時刻を選択します。 ファームウェアは、今すぐアップグレードすることもできます。 5. 「アップグレードのスケジュール設定」をクリックします。 アップグレードのスケジュール設定ボタン 各ファイアウォールは、該当するタイムゾーンに基づいてアップデートされます。アップグレードは、ファイアウォールでスケジュールされた時刻に開始されます。アップグレードの進行中は、ファイアウォールの横に回転アイコンが表示されます。 回転アイコン アップグレードが完了すると、回転アイコンは消えます。 一度に複数のファイアウォールをアップグレードすることができます。スケジュール設定されたアップグレードは、編集したりキャンセルしたりできます。

トップへ