ファイアウォール
Sophos Central に接続可能な Sophos Firewall すべてを表示して、設定できます。
はじめに
Sophos Central に追加したファイアウォールは、Sophos Central で監視し、ファイアウォールの Web 管理コンソールで管理できます。詳細は、Sophos Central から Sophos Firewall を管理する (英語) を参照してください。
ファイアウォールは、個別またはグループとして管理できます。個別に管理するファイアウォールは、「グループ化解除」というグループに配置されます。ファイアウォールを管理するには、「ファイアウォール管理 > ファイアウォール」を参照します。
Sophos Central には、必要な数だけファイアウォールを追加できます。Sophos Central は、クラウドベースで、ニーズに合わせて拡張できます。たとえば、ファイアウォールで多数のログが生成される場合、ライセンスで許可されているストレージ容量が十分であれば、このデータを保存してレポートを生成することができます。Sophos Central で、ファイアウォールのログデータは、先入先出で保存されます。つまり、データストレージがいっぱいになると、古いデータから順に削除されます。詳細は、レポートハブを参照してください。
ファイアウォールの詳細は、次を参照してください。
ファイアウォール情報
各ファイアウォールについて表示される情報は、次のとおりです。
警告
過去 24時間の警告数。
| アイコン | 説明 |
|---|---|
 | CPU 使用率の警告: 過去 2時間の CPU 使用率のグラフを表示するには、アイコンをクリックします。 |
 | 管理およびレポート警告: 詳細を表示するは、アイコンをクリックします。 |
| ### 同期と管理 | |
| 状態 | 説明 |
| ---------- | ---------- |
| 同期 | ファイアウォールがオンラインで、定期的にハートビートを送信しています。ファイアウォールの設定が、グループポリシーと一致しています。 |
| 接続 | ファイアウォールのグループ化が解除されている場合、この状態は、ファイアウォールがオンラインで、定期的にハートビートを送信していることを示します。 ファイアウォールがグループに所属しており、この状態が約 1分以上経過しても変わらない場合、ファイアウォールはオンラインで、定期的にハートビートを送信していますが、グループポリシーとの同期は開始していません。これは、同期タスクが作成されていないか、またはタスクが作成されているが、ファイアウォールによってプルされていないことが原因である可能性があります。この場合、タスクキューを参照して、保留中のトランザクションを確認してください。 |
| 対処が必要なエラーあり | ファイアウォールの設定が、グループポリシーと一致していません。管理者は、タスクキューを参照して、適用できないポリシーを特定する必要があります。 |
| 同期中 | ファイアウォールがグループに追加されたばかりです。Sophos Central は、グループポリシーをファイアウォールに適用しています。 |
| 最終表示 X時間前 (Sophos Firewall 18.0 以降の場合)、または切断 | ファイアウォールがオフラインです。 |
| 承認保留中 | ファイアウォールの Web 管理コンソールで、ファイアウォールがローカル管理者によって Sophos Central に登録されました。Sophos Central 管理者による承認を待機しています。承認されると、ファイアウォールに対して、グループおよび個別のデバイス管理を実行できます。 |
| 管理: 無効 | ファイアウォールが Sophos Central に登録されています。ただし、ファイアウォールの Web 管理コンソールで、Sophos Central 管理がオンに設定されていません。 |
| 状態をクリックすると、詳細情報が表示されます。 | |
| 追加情報 | 説明 |
| ---------- | ---------- |
| 切断後の経過時間: x時間 | ファイアウォールは、毎分ハートビートメッセージを送信します。送信した 5件のハートビートメッセージに対して応答がない場合、Sophos Central はファイアウォールがオフラインであると見なします。 |
| ポリシーの適用に失敗: X日前 | ポリシーをファイアウォールに適用できませんでした。タスクキューで、失敗した理由の詳細を確認できる場合があります。 |
| ファイアウォールが中断されました。 | ファイアウォールが、30日以上オフラインになっているか、またはグループポリシーと同期していません。これは、Sophos Central が現在の状態を検出できないことを意味します。この問題を解決するには、ファイアウォールをグループから削除後、再度追加します。 |
| Central レポートが無効になっています | Firewall Reporting は、ファイアウォールの Web 管理コンソールからオンにできます。 |
| ### Synchronized Security | |
| アイコン | 説明 |
| ---------- | ---------- |
 | ファイアウォールによって検出されたアプリの数。 |
 | レポートがオフになっています。 |
 | レポートがオンになっています。 |
| ### バージョン | |
| ファイアウォール OS のバージョン。 | |
| ファイアウォールをクリックして、ファイアウォールの Web 管理コンソールを開きます。そこから、ファイアウォールを設定することができます。 |
注
Web 管理コンソールを開くには、Sophos Central で管理者またはスーパー管理者である必要があります。これにより、ファイアウォールのローカル「管理者」アカウントと同じ権限が与えられます。また、「管理者」アカウントのパスワードを変更することもできます。これは、ゼロタッチを使用してファイアウォールを導入する際に必要となります。
新しいファイアウォールの追加
新しいファイアウォールを追加するには、次の手順を実行してください。 1. 「ファイアウォールの追加」をクリックして、新しいファイアウォールを追加するオプションを選択します。 2. シリアル番号を登録します。 登録とインストールの手順が表示されます。
既存のファイアウォールの追加
インストール済みのファイアウォールを追加するには、次の手順を実行してください。 1. ファイアウォールにログインします。 2. 「Central Synchronization」ページで、「Sophos Central から管理」をオンにします。 3. Sophos Central の「ファイアウォール」ページで「グループ化解除」グループを展開し、ファイアウォールを参照して「サービスの許可」をクリックします。
グループの作成
ファイアウォールがファームウェアバージョン 18.0 以降の場合、それをグループに追加し、グループポリシーを使用してすべてを同時に設定できます。
注
グループを作成するには、Sophos Central で管理者またはスーパー管理者である必要があります。
- 「新しいグループの作成」をクリックします。
- グループの名前を入力します。
- グループにファイアウォールを割り当てます。 グループの作成時にファイアウォールを割り当てる必要はありません。空のグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はグループポリシーと同期します。
- 「保存」をクリックします。
グループポリシーの編集
グループ内のファイアウォールすべてに適用されるポリシーを編集できます。これには、次の手順を実行します。 1. ポリシーを編集するグループの右端にある省略記号ボタン (...) をクリックします。 2. 「ポリシーの管理」を選択します。 ファイアウォール Web 管理コンソールの「ルールとポリシー」が表示されます。 3. ここで、ポリシーを編集できます。 ポリシーでファイアウォールゾーンやインターフェースが使用されている場合は、動的ゾーンや動的インターフェースの作成が必要になる場合もあります。 4. Sophos Central に戻るには、「ダッシュボード」または (左側のメニューにある)「概要に戻る」をクリックします。 Sophos Central で「ファイアウォール管理 > タスクのキュー」を参照します。ポリシーがファイアウォールに適用されたかどうかを確認できます。
警告
ファイアウォールまたは NAT ルールを追加する際、「最上位」および「最下位」の設定は、ファイアウォールでローカルに作成したルールではなく、Sophos Central 内のルールの表示順序のみに適用されます。Sophos Central からプッシュされたルールはすべて、ファイアウォールのルールリストの一番上に挿入されます。予期しないファイアウォールの動作を避けるため、ファイアウォールを Sophos Central から管理する場合は、ルールをすべて Sophos Central で作成してプッシュすることを推奨します。
サブグループの作成
グループ内にサブグループを作成できます。これによって、サブグループごとに個別にグループポリシーを編集できます。 たとえば、「Boston」、「London」、および「Hyderabad」というサブグループを含む「Acme Corporation」というグループがある場合、Acme Corporation 用に作成されたポリシーは、すべてのサブグループ内のすべてのファイアウォールに自動的に適用されます。しかし、 Boston のポリシーを編集した場合、変更は Boston サブグループ内のファイアウォールのみに適用され、 London および Hyderabad サブグループのファイアウォールには適用されません。 サブグループを作成するには、次の手順を実行します。 1. サブグループを作成するグループの右端にある省略記号ボタン (...) をクリックします。 2. 「サブグループの追加」を選択します。 3. サブグループの名前を入力します。 4. サブグループにファイアウォールを割り当てます。 サブグループの作成時にファイアウォールを割り当てる必要はありません。空のサブグループを作成し、そのポリシーを編集してから、ファイアウォールを割り当てることができます。グループポリシーは、グループに割り当てられるたびにファイアウォールに適用されます。以後、ファイアウォール設定はサブグループポリシーと同期します。 5. 「保存」をクリックします。
オブジェクトと設定のサブグループポリシーでの継承
「オブジェクト」は、通常、グループ ポリシー エディタ内で、「追加 」および「削除」ボタンのあるページです。たとえば、ファイアウォールルール、NAT ルール、FQDN ホスト、IP ホストなどです。 サブグループポリシーは、親グループ用に作成されたオブジェクトを変更できません。たとえば、Acme Corporation ポリシー用にカスタム「FQDN ホスト」オブジェクトを作成したとします。Boston、London、Hyderabad の各ポリシーは、オブジェクトの読み取り専用のコピーを継承し、これは、Boston、London、および Hyderabad の各ポリシーではグレーアウト表示されます。ただし、サブグループポリシーは、親オブジェクトをテンプレートとして使用して独自のルールを作成できます。サブグループポリシーは、独自のオブジェクトを自由に作成することもできます。このようなオブジェクトは、そのサブグループポリシーと、そのサブグループのポリシーのみに表示されます。 親グループポリシーからオブジェクトを削除する場合、そのオブジェクトがサブグループポリシーで使用されていない場合は、サブグループポリシーから自動的に削除されます。ただし、使用されている場合、削除は行われず、オブジェクトが使用されているサブグループとルールが通知されます。 「設定」は、通常、グループ ポリシー エディタ内で、「適用」ボタンのあるページです。設定を削除することはできません。設定して、オンまたはオフにするだけです。設定の例として、「高度な脅威」設定があります。 設定は、最上位の親グループポリシーのみで設定できます。サブグループポリシーでは設定できません。設定が最上位の親グループポリシーに適用されると、すべてのサブグループポリシーに自動的に適用されます。
ファイアウォール用のファームウェアのアップグレード
注
アップグレードのスケジュール設定は、Sophos Firewall バージョン 18.0 MR3 以降を使用している場合のみに実行できます。
Sophos Firewall 用のファームウェアをアップグレードできます。アップグレードがある場合は、対象となるすべてのファイアウォールの横にダウンロードボタン 
が表示されます。 ファイアウォールをアップグレードするには、次の手順を実行してください。 1. ダウンロードボタンをクリックします。 2. 「アップグレードのスケジュール設定」をクリックします。 
3. ファームウェアバージョンが複数ある場合は、適切なバージョンを選択します。 4. アップグレードの日付と時刻を選択します。 ファームウェアは、今すぐアップグレードすることもできます。 5. 「アップグレードのスケジュール設定」をクリックします。 
各ファイアウォールは、該当するタイムゾーンに基づいてアップデートされます。アップグレードは、ファイアウォールでスケジュールされた時刻に開始されます。アップグレードの進行中は、ファイアウォールの横に回転アイコンが表示されます。 
アップグレードが完了すると、回転アイコンは消えます。 一度に複数のファイアウォールをアップグレードすることができます。スケジュール設定されたアップグレードは、編集したりキャンセルしたりできます。