メインコンテンツへ移動
XG Firewall の使用を開始するにあたっては、以下の推奨事項に従ってください。お使いの XG Firewall へのアクセスを保護したり、テストおよび検証を行ったり、本番環境に導入する方法について説明します。
導入オプション
このセクションでは XG Firewall の導入オプションについて説明します。
XG Firewall の管理
XG Firewall の管理に使用できるインターフェースについて説明します。
アーキテクチャ
Xstream アーキテクチャは、パケット処理のオフロードおよびストリーミングを通じて、高度な保護とパフォーマンスを実現する仕組みです。
Web 管理コンソール
Web 管理コンソールを使って XG Firewall を管理できます。
Control Center
「コントロールセンター」には、セキュリティシステムの状態と正常性のスナップショットが、1つの画面にまとめて表示されます。
現在サインインしているローカルおよびリモートユーザー、現在の IPv4、IPv6、IPsec、SSL およびワイヤレス接続に関する情報を確認できます。
ライブユーザー
ライブユーザーは現在 XG Firewall にサインインしているユーザーです。
ライブ接続
IPv4 トラフィックの接続の詳細は、アプリケーション、ユーザー名、および送信元 IP アドレス別に確認できます。
ライブ接続 IPv6
IPv6 トラフィックの接続の詳細は、アプリケーション、ユーザー名、および送信元 IP アドレス別に確認できます。
IPsec 接続
このページには、接続されているすべての IPsec トンネルのリストが表示され、接続名、ローカルサーバー名、ローカルサブネット、ユーザー名、リモートサーバー/ホストまたはリモートサブネットに基づいてリストをフィルタできます。
リモートユーザー
「リモートユーザー」ページを使用して、有効なリモートユーザーのリストを表示します。
レポートには、ネットワークアクティビティがまとめて表示されます。この情報に基づいて、トラフィックや脅威を分析したり、各種規制に適合しているかどうかを確認することができます。たとえば、ブロックされた Web サーバーのリクエストや、特定されたウイルスなど、ファイアウォールにで行われたすべての Web サーバープロテクションアクティビティをレポートに表示することができます。
ダッシュボード
ファイアウォールを通過するネットワークトラフィックと、セキュリティ脅威に関する情報が表示されます。
アプリケーションと Web
ネットワーク上のアプリケーションとインターネットの使用量に関する情報が表示されます。
ネットワークと脅威
ネットワークの使用量と、関連する脅威の情報が表示されます。
VPN
Virtual Private Network (VPN) はインターネットなどのパブリックネットワーク上でエンドポイント間のプライベートネットワークトラフィックを伝達するトンネルです。VPN を通じて、プライベートネットワークに直接接続しているときと同じように、デバイスからデータを転送することができます。VPN を使用すると、個々のホストから社内ネットワークに安全に接続したり、複数のネットワークを互いに接続することができます。たとえば、社外の従業員が社内ネットワークに安全にアクセスしたり、支社と本社間の通信を保護するためによく利用されます。
メール
ネットワーク上のメールトラフィックに関する情報が表示されます。
コンプライアンス
規制コンプライアンスに関する情報が表示されます。
カスタム
指定した条件に一致する項目のみを含むレポートを作成できます。
ブックマーク
ブックマークを使うと、頻繁に使用するレポートに簡単にアクセスすることができます。 たとえば、一定期間の侵入攻撃を抽出するレポートをブックマークに登録しておくと、特定の脅威を隔離するのに便利です。
レポート設定
レポート設定では、レポートのオプションを指定することができます。たとえば、カスタムレポートに表示するデータを指定したり、レポートグループのスケジュールを管理したりできます。また、データを保持する期間を設定したり、データを消去することもできます。
このメニュー では、デバイスの正常性を簡単にチェックすることができます。取得した情報は、デバイスで発見された問題のトラブルシューティングや診断に利用できます。
ツール
「ツール」ページでは、統計情報を参照して接続やネットワークの問題を診断したり、ネットワーク通信をテストしたりできます。ネットワークのハング、パケット損失、接続、不一致のようなトラブルシューティングの問題をサポートします。
ポリシーテスト
ファイアウォールルール、SSL/TLS インスペクションルール、および Web ポリシーをテストして、これらの条件に一致するトラフィックへのアクションを確認できます。
「システムグラフ」ページには、様々な時間の間隔のシステムアクティビティに関するグラフが表示されます。
URL カテゴリルックアップ
フィルタの表示
関連接続
サポートアクセス
トラブルシューティングの目的で、XG Firewall への一時的なアクセスを ソフォス テクニカルサポート に許可できます。
ルールやポリシーを使って、ゾーンおよびネットワーク間のトラフィックフローにセキュリティ制御や、アドレス変換、復号化、スキャンを適用できます。
ファイアウォールルール
ファイアウォールルールを使用すると、ゾーンとネットワーク間のトラフィックフローを許可または禁止することができます。また、ポリシーおよびアクションを設定して、セキュリティコントロールを適用したり、トラフィックの優先順位を指定したりできます。
Web サーバープロテクション (WAF) ルール
WAF ルールは、Web サーバー (物理サーバーまたはクラウドベース) でホストされているアプリケーションやウェブサイトを悪用や攻撃から保護する役割を果たします。
NAT ルール
ネットワークアドレス変換 (NAT) を使用すると、ネットワーク間 (通常は信頼できるネットワークと信頼できないネットワークの間) を流れるトラフィックの IP アドレスとポートを変更できます。
SSL/TLS インスペクションルール
XG Firewall で SSL/TLS インスペクションルールを使用すると、TCP を経由する SSL および TLS 接続をインターセプトして復号化し、クライアントと Web サーバー間で安全な接続を行うことができます。
侵入防御では、ネットワークトラフィックに異常があるかどうかを検査して DoS 攻撃やスプーフィング攻撃を防止することができます。そのためには、ポリシーを使ってルールを定義し、トラフィックがシグネチャの条件と一致した時に適用するアクションを指定します。ゾーン別に保護設定を指定したり、信頼できる MAC アドレスまたは IP–MAC ペアへのトラフィックだけに制限したりすることができます。また、DoS 検査を省略するためのルールも作成できます。
DoS 攻撃
DoS 攻撃関連の情報として、トラフィックの上限が適用されているかどうかや、この上限を超えて破棄されたデータの量などを確認することができます。DoS の設定で指定されたトラフィックの制限が適用され、該当するイベントがログされます。データは送信元と宛先のそれぞれについて、リアルタイムで確認することができます。
IPS ポリシー
IPS ポリシーでは、ルールを使用してネットワーク攻撃を防止することができます。
カスタム IPS シグネチャ
カスタムシグネチャでは、サーバー、プロトコルやアプリケーションなどのネットワークオブジェクトに関連する脆弱性からネットワークを保護することができます。カスタムシグネチャを作成し、後で IPS ポリシールールに追加することができます。
DoS/スプーフ防御
スプーフィング攻撃を防止するには、トラフィックに制限を適用して、識別できる IP アドレス、信頼できる MAC アドレス、および IP–MAC ペアと一致したトラフィックだけを許可します。また、トラフィック制限とフラグを設定することによって、DoS 攻撃を防止したり、DoS 検査を迂回するためのルールを作成したりすることができます。破棄されたトラフィックの情報は、ファイアウォールに記録されます。
Web プロテクションは、Web 閲覧に起因する攻撃を防止するとともに、社員の生産性を向上させるために役立ちます。Web の閲覧制限を定義するには、カテゴリ、URL グループ、ファイルタイプを指定します。これらの制限をポリシーに追加することで、Web サイトをブロックしたり、ユーザーに警告メッセージを表示することができます。たとえば、ソーシャルメディアや実行形式ファイルへのアクセスをブロックできます。全般設定では、スキャンエンジンやその他の保護対策を指定できます。必要に応じて例外を設定して、既存の保護設定を無効にすることもできます。
ポリシー
Web ポリシーには、エンドユーザーの Web 閲覧アクティビティを制御するルールを指定することができます。
ポリシーのクォータのステータス
Web ポリシーで定めた時間のクォータが、24時間以内にどれぐらい残っているかをユーザーごとに確認できます。
ユーザーアクティビティ
ユーザーアクティビティとは、1つのコンテナに Web カテゴリ、ファイル形式、URL グループを組み合わせたものです。ポリシーにユーザーアクティビティを含め、指定された条件と一致する Web サイトまたはファイルへのアクセスを制御します。
カテゴリ
Web カテゴリを使って、ドメインとキーワードをひとまとめにして整理・分類することができます。ポリシー内でカテゴリを指定して、Web サイトへのアクセスを制御します。
URL グループ
URL グループには、1つ以上のドメインが含まれています。このグループを Web ポリシーで指定して、Web サイトへのアクセスを制御することができます。
例外
例外を使用すると、有効なポリシーまたはルールにかかわらず、指定した条件に一致するすべての Web トラフィックのプロテクション設定をオーバーライドできます。
全般設定
ファイアウォールルールに Web ポリシーを含めると、HTTP(S) と FTP トラフィックをスキャンして Web の不正使用を検出することができます。この設定は、このようなオプションが設定されたファイアウォールルールと一致するトラフィックにのみ適用されます。設定項目には、スキャンの種類、スキャンするファイルの最大サイズ、追加チェックなどがあります。また、ポリシーオーバーライドを作成して、ブロック対象の Web サイトへのエンドユーザーのアクセスを許可することもできます。
ファイルタイプ
ファイル形式とは、ファイル拡張子や MIME タイプにより識別されるファイルの種類のことです。
ネット閲覧クォータ
ネット閲覧クォータを使用して、ユーザーにインターネットアクセス時間を割り当てることができます。
ユーザー通知
Web ポリシーがブロックまたは警告に設定されている場合、ユーザーに通知が表示されます。
コンテンツフィルタ
コンテンツフィルタは、用語のリストを指定したものです。ポリシーでコンテンツフィルタを使用することによって、リストに載っている用語を含む Web サイトへのアクセスを制限することができます。デフォルトのフィルタには、多くの組織でブロックされている用語が含まれています。
Web プロテクションの強化
デフォルト設定よりも、スキャンを強化してみましょう。そのために、スキャンエンジンを選択し、最大ファイルサイズを指定し、他のオプションを有効にします。
Web プロテクションのカスタマイズ
特定のトラフィックやドメインについて、Web プロテクションの設定をカスタマイズしたいような場合があります。たとえば、金融サービスの Web サイトへの HTTPS トラフィックには機密データが含まれているので、復号化しないほうがよいことがあります。リスクが低いとわかっているサイトでは、マルウェアのスキャンと Sandstorm 分析をスキップすると効率的です。このような設定を行うには、例外を使用します。
Web サイトへのアクセスの制御
企業では、特定のカテゴリへのアクセス権をユーザーグループによって制御しなければならないことがよくあります。たとえば、職場のデフォルトポリシーでブロックされている Web サイトに対して、一部のユーザーにのみアクセスを許可したいことがあります。
用語リストによるコンテンツのブロック
攻撃的な言葉を含む Web サイトへのアクセスを、すべてのユーザーに対してブロックしましょう。そうするには、用語リストを作成し、ポリシーに追加します。
アプリケーションプロテクションは、アプリケーショントラフィックの脆弱性を利用した攻撃やマルウェアを防止する機能です。また、帯域幅の制限を適用したり、生産性を低下させるアプリケーションのトラフィックを制限したりすることもできます。アプリケーションフィルタを使えば、カテゴリ別または個別にトラフィックを制御できます。アプリケーション同期と制御では、Sophos Central で管理されるエンドポイントのトラフィックを制御することができます。また、クラウドアプリケーションのトラフィック管理にも対応します。
アプリケーションフィルタ
アプリケーションフィルタポリシーによって、ファイアウォールの内側で、ユーザーのアプリケーションアクセスを制御することができます。
アプリケーション同期と制御
アプリケーション同期と制御 では、セキュリティハートビート を送受信しているエンドポイント上のアプリケーションを監視することができます。
クラウドアプリケーション
クラウドアプリケーショントラフィックを分析して、クラウドアプリケーションの使用に伴うリスクを軽減することができます。たとえば、トラフィックを分類して、トラフィックシェーピングポリシーを適用することができます。
アプリケーションリスト
アプリケーションリストには、よく使用されるアプリケーションが多数含まれています。
トラフィックシェーピングのデフォルト
トラフィックシェーピングポリシーによって、帯域幅の制限を適用することができます。デフォルトのトラフィックシェーピングポリシーを、カテゴリまたは個々のアプリケーションに適用できます。
アプリケーションオブジェクト
アプリケーションオブジェクト と SD-WAN ポリシールート を合わせて使用すれば、ネットワークにおけるアプリケーショントラフィックのルーティング方法を簡単に制御することができます。
高リスクのアプリケーションのブロック
ネットワークをマルウェアから守るため、多くの組織では、高リスクとみなされているアプリケーションへのアクセスを制御する必要があります。高リスクと分類されているすべてのアプリケーションへのトラフィックを制限するためのポリシーを作成することができます。 アプリケーションのシグネチャデータベースがアップデートされると、新しいアプリケーションがアプリケーションフィルタとファイアウォールルールに自動的に追加されます。たとえば、新しいシグネチャが高リスクのアプリケーションとして追加され、既にすべての高リスクのアプリケーションをブロックするアプリケーションフィルタがある場合は、その新しいアプリケーションがブロックされるようになります。
ワイヤレスプロテクションでは、ワイヤレスネットワークの定義とアクセス制御を行うことができます。
ハウツー記事
ワイヤレスクライアントリスト
ワイヤレスクライアントリストには、現在ワイヤレスネットワークにアクセスポイント経由で接続されているすべてのクライアントが表示されます。 クライアントは、アクセスポイントまたは SSID 別に表示することができます。信号の強度や周波数などの接続の特性も表示されます。
ワイヤレスネットワーク
ワイヤレスネットワークの設定では、ワイヤレスクライアントに共通の接続設定を行います。たとえば、SSID、セキュリティモード、クライアントトラフィックの処理方法などを設定します。
アクセスポイント
WAP (ワイヤレスアクセスポイント) は Wi-Fi クライアントが有線ネットワークに接続できるようにするハードウェアデバイスです。 ファイアウォールは、AES で暗号化された通信を使って、アクセスポイントから構成とステータス情報を取得します。ここでは、Sophos アクセスポイントを社内ネットワークに接続したり、これらのアクセスポイントを管理する方法を説明します。
アクセスポイントグループ
アクセスポイントをグループ化して、ワイヤレスネットワークの割り当てや VLAN タグの設定を、アクセスポイントグループに対して行うことができます。 グループを使用すると、複数のアクセスポイントについてまとめてワイヤレスネットワークを管理できるので、便利です。
メッシュネットワーク
メッシュネットワークとは、ノードによってネットワークのデータを中継し、ネットワークを広範囲に拡張するネットワークトポロジーです。 メッシュネットワークでは、アクセスポイントはルートノードまたはメッシュノードとして動作します。メッシュネットワークは、ワイヤレスリピータまたはワイヤレスブリッジとして導入できます。
ホットスポット
ホットスポットは、ワイヤレスルーターなどの Wi-Fi デバイスによりインターネット接続を提供するネットワークノードです。 ホットスポットは一般的に、共用エリアでゲストにアクセスを提供するために使用されます。ホットスポットにインターフェースを追加すると、関連付けられたアクセスポイントがホットスポットとして動作します。ホットスポットでは、さまざまな保護機能と認証方法がサポートされています。
ホットスポットバウチャー定義
ホットスポットバウチャーの定義はネットワークアクセスを指定します。 バウチャーの定義を使用して、種類が「バウチャー」のホットスポットにアクセスできるユーザーの有効期間、時間割当て、データ量を制限できます。
不正 AP スキャン
ネットワークをスキャンして不正なアクセスポイントを検出し、マークを付けます。
ワイヤレス設定
ここでは、ワイヤレスプロテクションの有効化や、通知タイムアウトの設定、エンタープライズ認証用の RADIUS サーバーの設定について説明します。
ホットスポットの設定
ここでは、ホットスポットのその他の設定について説明します。たとえば、バウチャーを削除する方法や、HTTPS 認証用の証明書の設定方法などを説明します。
メールのルーティングを管理し、ドメインおよびメールサーバーを保護します。SMTP/S、POP/S、IMAP/S のポリシーで、スパムおよびマルウェアのチェックや、データ保護、メール暗号化について設定できます。
Web サーバーをレイヤー 7 (アプリケーション) 脆弱性攻撃から保護することができます。こうした攻撃の例としては、クッキー、URL、フォームの操作などがあります。ここでは、Web サーバー、保護ポリシー、認証ポリシーの定義方法を説明します。これらのポリシーは WAF (Web Application Firewal) ルールで使用します。また、全般設定を使って、Slow HTTP 攻撃から Web サーバーを保護する方法も説明します。
Web サーバー
保護する Web サーバーを定義します。ホスト、種類や、その他の接続設定を指定します。 プレーンテキスト (HTTP) サーバーと暗号化 (HTTPS) サーバーを保護することができます。
保護ポリシー
ポリシーを使って、脆弱性攻撃 (クッキー、URL、フォームの操作など) を防ぐ保護対策を定義することができます。
認証ポリシー
認証ポリシーを使って、Web サーバーにリバースプロキシ認証 (ベーシックまたはフォームベース) を追加することができます。このポリシーによって、ファイアウォールルール内で指定したパスへのアクセスを制御することもできます。ファイアウォールは、RFC 7617 の記述に従って HTTP ベーシック認証をサポートします。認証ポリシーでは、認証方法とユーザーを指定します。
認証テンプレート
認証テンプレートは、フォームベースの認証ポリシーで使用される HTML フォームを規定します。
全般設定
Slow HTTP プロテクションを設定し、TLS バージョンを設定します。
Web サーバーの保護
ファイアウォールルールを使って、Web サーバーを攻撃から保護することができます。
ATP (Avanced Threat Protection) では、ネットワーク上のすべてのトラフィックを監視・分析して、脅威に対して適切な措置 (パケットの破棄など) を講じることができます。Sandstorm アクティビティとファイルの分析結果も確認することができます。この結果を使って、ファイルのリリースに伴うネットワークへのリスクレベルを判断します。
ATP (Avanced Threat Protection)
高度な脅威対策 (ATP) では、送受信するネットワークトラフィック (DNS リクエスト、HTTP リクエスト、IP パケットなど) を分析して脅威を検出します。
脅威インテリジェンス
アクティビティの記録には、不審なファイルやメール添付ファイルが Sandstorm に送信された日時など、基本的な情報が含まれます。
Sandstorm の設定
ここでは、データセンターを指定したり、ファイルを Sandstorm 分析から除外する方法を説明します。
Sophos Central と同期すれば、セキュリティハートビート を使用して、ネットワーク上のデバイス間でセキュリティ情報を共有することが可能です。 アプリケーション同期と制御 では、ネットワーク内のアプリケーションを検出および管理できます。さらに、XG Firewall デバイスを Sophos Central から集中管理することができます。
セキュリティハートビート
セキュリティハートビートは、エンドポイントとファイアウォールがセキュリティ状態を相互に通信できるようにする機能です。ここでは、その仕組みや、セキュリティ状態の種類および意味について説明します。
Virtual Private Network (VPN) はインターネットなどのパブリックネットワーク上でエンドポイント間のプライベートネットワークトラフィックを伝達するトンネルです。VPN を通じて、プライベートネットワークに直接接続しているときと同じように、デバイスからデータを転送することができます。VPN を使用すると、個々のホストから社内ネットワークに安全に接続したり、複数のネットワークを互いに接続することができます。たとえば、社外の従業員が社内ネットワークに安全にアクセスしたり、支社と本社間の通信を保護するためによく利用されます。
リモートアクセス SSL VPN の作成
リモートユーザーがローカルネットワークにアクセスするための接続を構成、導入しましょう。TCP のポート 443 を通じて、VPN の暗号化トンネルを確立し、社内リソースへの安全なアクセスを提供します。
サイト間 SSL VPN の作成
安全なサイト間 VPN トンネルを、SSL 接続を使って確立しましょう。この VPN を通じて、支社が本社に接続できるようにします。支社にいるユーザーは本社 LAN に接続することができます。
サイト間 IPsec VPN の作成
本社と支社の間に IPsec VPN を作成して導入しましょう。認証には、事前共有鍵を使用します。
ルートベースの VPN の作成
本社 (HO) と支社 (BO) の間にルートベースの VPN (RBVPN) を作成・導入し、両方向でトラフィックを許可したいと考えています。
サイト間 IPsec VPN 接続の NAT 設定
IPsec 接続
IPsec VPN 接続およびフェールオーバーグループを作成および管理します。
SSL VPN (リモートアクセス)
リモートアクセスポリシーでは、個々のホストがインターネット上のポイントツーポイント暗号化トンネル経由でネットワークリソースにアクセスできるようにします。リモートアクセスには、SSL 証明書、ユーザー名、パスワードが必要です。
SSL VPN (サイト間)
サイト間 SSL VPN では、インターネット上のポイントツーポイント暗号化トンネルを使用して、社内ネットワーク間で互いにアクセスできるようにします。
Sophos Connect クライアント
Sophos Connect クライアント は Microsoft Windows 7 SP2 以降および Mac OS 10.12 以降で動作する VPN ソフトウェアです。オフサイトの従業員に対して非常にセキュリティ上安全で暗号化された VPN トンネルを確立します。
L2TP (リモートアクセス)
L2TP (レイヤー 2 トンネリングプロトコル) では、インターネット上のプライベートトンネル経由で社内ネットワークに接続することができます。XG Firewall では、RFC 3931 の定義に基づき L2TP をサポートしています。
クライアントレスアクセス
ユーザーがブラウザのみを使用して、社内ネットワーク上のサービスやエリア (リモートデスクトップやファイル共有など) にアクセスできるようにします。追加のプラグインは不要です。クライアントレスアクセスポリシーには、ユーザー (ポリシーメンバー) とブックマークを指定します。
ブックマーク
ブックマークを作成するには、URL、接続の種類、セキュリティ設定を指定します。ブックマークをクライアントレスアクセスポリシーに含めることによって、社内ネットワークや社内サービスへのアクセス権をユーザーに与えることができます。たとえば、共有ファイルへのアクセスや、リモートデスクトップアクセスをユーザーに提供したいとしましょう。ユーザーは、ユーザーポータルの VPN ページから、これらのブックマークにアクセスすることができます。
ブックマークグループ
ブックマークをグループ化しておくと、後で簡単に参照することができます。たとえば、リモートデスクトップに関連するブックマークをすべてまとめて 1つのグループを作成しておけば、個々のブックマークに別々にアクセスせずに済みます。
PPTP (リモートアクセス)
PPTP (Point-to-Point Tunnelling Protocol) では、インターネット上のプライベートトンネル経由で社内ネットワークに接続することができます。プロトコル自体には暗号化機能や認証機能は含まれませんが、XG Firewall では、パスワード認証プロトコル (PAP)、チャレンジハンドシェイク認証プロトコル (CHAP)、Microsoft チャレンジハンドシェイク認証プロトコル (MS-CHAPv2) などの認証オプションをサポートしています。XG Firewall では、RFC 2637 の定義に基づき PPTP をサポートしています。
IPsec ポリシー
IPsec (インターネットプロトコルセキュリティ) のポリシーには、IKE (インターネットキー交換) 用の暗号化設定および認証設定を指定します。
VPN の設定
SSL VPN と L2TP によるリモートアクセスで要求される設定を定義します。たとえば、プロトコル、サーバー証明書、クライアントの IP アドレスなどを指定します。
ネットワークオブジェクトにより、ファイアウォール内部のデバイスのセキュリティを強化し、パフォーマンスを最適化することができます。ここでは、物理ポートを設定したり、仮想ネットワークを作成したり、リモートイーサネットデバイスをサポートする方法を説明します。また、ゾーンを使ってインターフェースグループを作成し、すべてのメンバーデバイスにファイアウォールルールを適用します。さらに、ネットワークの冗長性と利用可能性を高めるために、フェールオーバーと負荷分散を使用します。そのほかに、モバイルデバイスに安全なワイヤレスブロードバンドサービスを提供する方法や、IPv6 デバイスのプロビジョニングおよびトラフィックトンネリングなどの高度な設定についても見ていきます。
インターフェース
ファイアウォールには、物理インターフェースと仮想インターフェースが付属しています。 Port1、PortA、eth0 などの物理インターフェースです。 仮想インターフェースは、既存ポートを使ってネットワークを拡張した、論理的なインターフェースです。 エイリアス (別名) を使用して、単一の物理インターフェースに複数の IP アドレスをバインドすることができます。 また、RED をサポートするインターフェースも作成・構成することができます。
ゾーン
ゾーンは、インターフェースをグループ化したものです。ゾーンでは、デバイスの管理とユーザー認証に使用できるサービスも指定します。ゾーンとファイアウォールルールを組み合わせて使用すると、インターフェースグループのセキュリティとトラフィックを効率的に管理することができます。
WAN リンクマネージャ
WAN リンクマネージャでは、ゲートウェイをフェイルオーバーと負荷分散に対応するよう設定することができます。
DNS
DNS サーバーのアドレスは、DHCP または PPPoE サーバーから取得できます。また、スタティック DNS サーバーを指定することもできます。そのほかのオプションとしては、指定された IP アドレスを使用して特定のホストのリクエストを解決したり、社内ネットワーク上の DNS サーバーを使用して外部ドメインのリクエストを解決するという方法があります。
DHCP
ファイアウォールでは、RFC 2131 (IPv4) および RFC 3315 (IPv6) の定義に従って、DHCP (Dynamic Host Configuration Protocol) をサポートしています。 DHCP サーバーを使って、ネットワーク上のデバイスに一意の IP アドレスを動的に割り当てることができます。 DHCP リレーを使えば、DHCP サーバーと同じサブネット上にないクライアントに動的にアドレスを割り当てることもできます。 また、リースレコードを表示することもできます。
IPv6 ルーターアドバタイズ
ファイアウォールは、IPv6 デバイスの SLAAC (stateless address auto-configuration) をサポートしています。SLAAC では、IPv6 デバイスは IPv6 対応インターフェースに対して一意のリンクローカルアドレスを自動的に作成します。クライアントはルーターアドバタイズメッセージを使用して、独自の IP アドレスを自動的に構成します。
セルラー WAN
携帯 WAN ネットワークは、モバイルデバイス向けの安全なワイヤレスブロードバンドサービスです。
IP トンネル
IP トンネルは、1つのネットワークプロトコルを別のネットワークプロトコルのペイロードとしてカプセル化するメカニズムです。このトンネルを使えば、IPv6 パケットを IPv4 パケット内でカプセル化して、IPv4 ネットワーク上で IPv6 ホストや IPv6 ネットワークの通信を行うことができます (また、その逆も可能です)。
ネイバー (ARP-NDP)
ファイアウォールは ARP (Address Resolution Protocol) と NDP (Neighbor Discovery Protocol) というプロトコルを使って、同じサブネットにあるホスト間の通信を有効にします。これらのプロトコルによって IP/MAC マッピングが作成され、ネイバーキャッシュに保存されます。スタティックマッピングもサポートされています。ファイアウォールはキャッシュされたエントリを使って、ネイバーに危害を与える試みを検出します。
ダイナミック DNS
ダイナミック DNS (DDNS) を使用すれば、動的 IP アドレスが割り当てられているファイアウォールにも確実にアクセスすることができます。ファイアウォールが新しい IP アドレスを受信すると、ダイナミック DNS サービスに通知され、パブリック DNS 名のアドレスが更新されます。DDNS によって、パブリック DNS 名が常に正しい IP アドレスを指すようにすることができます。
ルートは、デバイスがパケットを特定の宛先に転送するために必要な情報を提供します。XG Firewall では、スタティックルートとダイナミックルートを設定できます。
スタティックルーティング
設定されたデフォルトゲートウェイ以外の宛先にパケットを転送するスタティックルートを作成できます。
SD-WAN ポリシールーティング
SD-WAN (software-defined wide area networking) ポリシールーティングを使用すると、指定したポリシーに基づいてルーティングを決定することができます。
ゲートウェイ
設定済みの IPv4 と IPv6 ゲートウェイの一覧が表示されます。
BGP
OSPF
情報
アップストリーム プロキシ
マルチキャスト (PIM-SIM)
RIP
内部のユーザーデータベースまたはサードパーティの認証サービスを使って、認証を設定することができます。ユーザーは認証を受けるために、認証クライアントにアクセスできることが前提となります。ただし、クライアントレスユーザーとして追加されたユーザーは、クライアントは不要です。XG Firewall では、2 要素認証、透過的認証、ゲストユーザーのキャプティブポータル経由でのアクセスもサポートされています。
サーバー
外部サーバーを使って、ファイアウォールおよび関連サービスにアクセスしようとするユーザーを認証します。 ここでは、サーバーを定義する方法や、サーバーへのアクセス管理を設定する方法を説明します。
サービス
ファイアウォールやその他のサービス (VPN など) の認証サーバーを選択します。 グローバルの認証設定や、Kerberos、NTLM、Web クライアント、RADIUS シングルサインオンの設定を行えます。また、Web ポリシーアクションで、認証されていないユーザーをどこにダイレクトするかを指定することができます。
グループ
グループには、単一のユニットとして管理できるポリシーと設定が含まれています。グループを使うと、ポリシー管理を効率的に行うことができます。 たとえば、ゲストユーザーのネット閲覧クォータとアクセス時間を制限する設定をグループにまとめることができます。
ユーザー
ファイアウォールでは、エンドユーザー (インターネットにファイアウォール経由で接続するユーザー) と、管理者ユーザー (ファイアウォールオブジェクトおよび設定にアクセスできるユーザー) が区別されます。 認証に使用するユーザーレコードは、追加またはインポートできます。ユーザーを追加 (登録) するときは、ユーザーの種類を指定し、ユーザーレコードをグループと関連付けます。ユーザーはグループに定義されているポリシーを継承しますが、ユーザーのポリシーがグループの設定よりも優先されます。
ワンタイムパスワード
ワンタイムパスワード (パスコード) を使って、二要素認証を行うことができます。 パスコードは、モバイルデバイスまたはタブレット上で Sophos Authenticator またはサードパーティの認証サービスを使って生成します (インターネット接続は不要です)。ユーザーはログオンするときに、パスワードとパスコードを指定する必要があります。
Web 認証
Active Directory SSO またはキャプティブポータルを使用してユーザーを認証できます。認証を受けたユーザーは、ログおよびレポートに記録され、ファイアウォールルールおよび Web ポリシーの条件と照合されます。
ゲストユーザー
ゲストユーザーとは、アカウントを持たずに、社内ネットワークからインターネットにアクセスするユーザーです。ゲストユーザーを追加 (登録) するか、またはゲストユーザーポータルでユーザーが自ら登録することを許可できます。 認証情報は印刷するか、SMS で送信することができます。 ゲストユーザーは認証後、選択したポリシーに基づいてアクセスが与えられるか、またはキャプティブポータルにリダイレクトされます。
クライアントレスユーザー
クライアントレスユーザーはインターネットにアクセスする時にクライアントを使って認証する必要はありません。ファイアウォールでは、ユーザー名と IP アドレスを照合して、ユーザーを認証します。
ゲストユーザーの設定
ゲストユーザーとは、アカウントを持たずに、社内ネットワークからインターネットにアクセスするユーザーです。ゲストユーザーを追加 (登録) するか、またはゲストユーザーポータルでユーザーが自ら登録することを許可できます。 ここでは、ゲストユーザーが登録ページで自ら登録することを許可する方法や、ゲストユーザーの認証方法、デフォルトグループの設定方法を説明します。
クライアントダウンロード
ここでは、シングルサインオン、透過的認証、およびメール暗号化用のクライアントとコンポーネントをダウンロードするときの設定を説明します。
STAS
Sophos Transparent Authentication Suite (STAS) では、Windows ドメインのユーザーが Windows にサインインすると、自動的に XG Firewall にもサインインします。これにより、サインインを何回も行ったり、各クライアントデバイスに SSO クライアントをインストールする必要がなくなります。
2 要素認証の設定
2 要素認証を使って、信頼できるデバイスを使用しているユーザーのみがログオンできるようにします。2 要素認証を行うには、OTP サービスを設定します。その後、エンドユーザーが Sophos Authenticator またはサードパーティの認証サービスを使ってトークンをスキャンし、パスコードを取得します。
OTP トークンの手動での導入
トークンを自動生成するようにサービスを設定した場合でも、エンドユーザーに OTP トークンを手動で提供しなければならないような場合があります。たとえば、ユーザーが Sophos Authenticator やサードパーティの認証サービスにアクセスできない場合などです。このような場合は、OTP サービスを設定し、トークンを手動で作成して提供します。ユーザーはこのトークンをキャプティブポータルで取得します。
Active Directory 認証の設定
既存の Active Directory ユーザーを XG Firewall に追加することができます。AD サーバーを追加し、グループをインポートし、プライマリ認証方法を設定する。
LDAP 認証の設定
既存の LDAP ユーザーをファイアウォールに追加することができます。ユーザーを専用グループに追加することで、これらのユーザー向けのポリシーを指定することができます。グループを追加し、LDAP サーバー追加し、プライマリ認証方法を設定します。
RADIUS 認証の設定
既存の RADIUS ユーザーをファイアウォールに追加することができます。そうするには、RADIUS サーバーを追加し、プライマリ認証方法を設定します。
STAS による透過的認証の設定
クライアントレス SSO は Sophos Transparent Authentication Suite (STAS) の形式で提供されます。STAS は、Active Directory サーバーが 1 台ある環境に導入できます。
Chromebook のシングルサインオンの設定
ここでは、Chromebook ユーザーが Chromebook にサインインするときに XG Firewall にサインインできるようにするための、XG Firewall での設定方法を説明します。
Kerberos 認証を有効にする方法
XG Firewall で Kerberos 認証を設定します。
認証のトラブルシューティング
認証に関する一般的な問題を調査、解決する方法を示します。
システムサービスには、RED プロビジョニングサービス、冗長化、マルウェア対策のグローバル設定などが含まれます。
冗長化 (HA)
冗長化 (HA) とは、停電、ディスクの故障などのイベントが発生した際に、ファイアウォールを動作させ続けるようなハードウェア構成と設定を指します。
トラフィックシェーピングの設定
ここでは、インターネットトラフィックに関して、最大帯域幅、トラフィックの最適化、帯域幅の割り当てなどを設定する方法を説明します。これらの設定は通常、ポリシーが適用されていないトラフィックに適用されます。
RED
RED (Remote Ethernet Device) は、リモートサイトとファイアウォールの間に安全なトンネルを確立するネットワークアプライアンスです。 RED プロビジョニングサービスは RED の導入をサポートし、セキュリティオプションを提供します。
マルウェア対策
マルウェア対策のグローバル設定を指定します。
ログ設定
ファイアウォールは、トラフィック、システムおよびネットワーク保護機能に関する広範なログ機能を提供します。ログを使ってネットワークアクティビティを分析し、セキュリティ問題を特定したり、ネットワークの乱用を防止することができます。ログはローカルに保存できます。TLS 暗号化を使用して、Syslog サーバーに安全に送信することもできます。XG Firewall では、RFC 5424 の定義に基づき Syslog をサポートしています。
通知リスト
システムによって生成されたイベントに関するアラートを、メールまたは SNMP トラップによって管理者に送信できます。
データの匿名化
データの匿名化により、ログとレポート内の ID を暗号化することができます。 ID には、ユーザー名、IP アドレス、MAC アドレス、メールアドレスなどが含まれています。データの匿名化を有効にするときは、データの匿名化の無効化を承認する管理者を指定してください。例外を使って、匿名化を無効にすることができます。
トラフィックシェーピング
トラフィックシェーピングポリシーにより、帯域幅の管理とネットワークトラフィックの優先順位付けを行って高帯域幅使用量の影響を軽減することができます。
サービス
システムサービスの状態を表示し、サービスを管理します。
プロファイルでは、ユーザーのインターネットアクセスや管理者のファイアウォールへのアクセスを制御することができます。スケジュール、アクセス時間、ネット閲覧クォータ、データ転送クォータを定義できます。また、ネットワークアドレス変換では、インターネットアクセス用のパブリック IP アドレスを指定できます。管理者の役割に基づいて、ファイアウォールへのアクセスレベルを指定することもできます。
スケジュール
スケジュールには、ルールやポリシーの有効期間を指定することができます。
アクセス時間
ユーザー、グループ、ゲストユーザーのインターネットアクセス時間を制御することができます。そのためには、時間帯を指定して、インターネットアクセスを許可または拒否します。
ネット閲覧クォータ
ネット閲覧クォータを使用して、ユーザーにインターネットアクセス時間を割り当てることができます。
ネットワークトラフィックの割り当て
ネットワークトラフィッククォータポリシーを使って、ユーザーおよびグループによるデータ転送を制御することができます。
復号化のプロファイル
復号化プロファイルを使用すると、SSL/TLS 接続に復号化設定を強制的に適用できます。
デバイスのアクセス
管理者によるファイアウォールへのアクセスを、役割に基づいて制御することができます。
システムのホストとサービスの定義および管理を行うことができます。
IP ホスト
ダイナミックホスト、デフォルトホスト、手動で追加したホストのリストが表示されます。
IP ホストグループ
ホストグループのリストを表示します。新しいホストグループの追加や、既存のホストグループの編集および削除を行えます。
MAC ホスト
1つまたは複数の MAC アドレスに、ホスト名を割り当てることができます。
FQDN ホスト
定義済みの完全修飾ドメイン名 (FQDN) ホストを表示します。新しいホストを追加したり、既存のホストを編集または削除したりできます。
FQDN ホストグループ
個々の FQDN ホストを 1つまたは複数のホストグループに追加することができます。
国別グループ
デフォルトの国別グループ (大陸ごと) のリストが表示されます。
サービス
デフォルトおよびカスタムのサービスの一覧を表示します。
サービスグループ
デフォルトおよびカスタムのサービスグループの一覧を表示します。
ここでは、デバイスライセンス、時刻、管理者アクセス、集中アップデート、ネットワーク帯域幅、デバイス監視、ユーザー通知などの設定について説明します。
ライセンス
ライセンスのページには、デバイスの登録情報とサブスクリプションステータスが表示されます。このページで、サブスクリプションモジュールをアクティベートしたり、評価版の使用を開始したりできます。
デバイスのアクセス
デバイスアクセスの設定によって、カスタムゾーンとデフォルトゾーン (LAN、WAN、DMZ、VPN、Wi-Fi) から特定のサービスへの管理者アクセスを制限することができます。
管理の設定
管理ポートの設定とサインインパラメータを変更します。サインインパラメータをカスタマイズすると、ローカルやリモートのユーザーアクセスを経過時間に基づいて制限することができます。
集中管理
Sophos Firewall Manager (SFM)、Sophos Central Firewall Manager (CFM)、Sophos Central では、Sophos XG Firewall (デバイス) を集中管理することができます。そのためには、キープアライブ要求を設定し、Firewall Manager 経由でのデバイスの構成やシグネチャのアップデートを有効にします。
時間
XG Firewall のクロックを設定します。
通知の設定
メールサーバーを設定し、アラートメールを送受信するように設定できます。
ネットフロー
ネットフローサーバーの追加、更新、削除を行うことができます。デバイスはネットフロー (ネットワークプロトコル) に対応しており、ネットワークの帯域幅の使用量やトラフィックフローを監視することができます。ネットフローのレコード (送信元、宛先、トラフィック量) は、ネットフローサーバーにエクスポートされます。これらのレコードに基づいて、帯域幅の使用量が多いプロトコルや、ポリシー、インターフェース、ユーザーを特定することができます。Open Source Data Analyzer や PRTG ソフトウェアなどのデータ解析ツールを使うと、ネットフローのレコードからレポートを生成することができます。
メッセージ
ユーザーへの通知メッセージや管理上のアラートメッセージを設定できます。256文字以下のメッセージを、1人または複数のユーザーに送信することができます。
SNMP
SNMP (Simple Network Management Protocol) は、XG Firewall の情報 (ファイアウォールのステータス、サービスの可用性、CPU、メモリ、ディスクの使用率など) にアクセスするためのプロトコルです。XG Firewall では、SNMPv3、SNMPv1、SNMPv2c のプロトコルをサポートしています。
設定、ファームウェアバージョン、ホットフィックス、およびパターン更新を管理できます。
バックアップと復元
API
インポート エクスポート
XG Firewall の設定の全体または一部をインポート/エクスポートできます。
ファームウェア
ファームウェアのバージョン管理や、ホットフィックスのインストール、デフォルトの言語の変更を行えます。
パターンファイルのアップデート
証明書のセクションでは、証明書、認証局 (CA)、証明書失効リスト (CRL) を追加することができます。
証明書
認証局 (CA)
Certificate Revocation List(証明書失効リスト)
鍵や CA が不正に変更されたり、証明書の効力がなくなった場合は、証明書を取り消すことができます。取り消された証明書のリストは、CA で管理されています。
HTTPS インスペクション用の下位 CA のインストール
すべての XG Firewall アプライアンスで SSL/TLS スキャンに同じ証明書を使用できるようにするため、下位 CA を作成してインストールします。
ログには、ネットワークアクティビティの分析情報が含まれています。この情報に基づいて、セキュリティ上の問題を特定したり、ネットワークの不正使用を防止することができます。ログは Syslog サーバーに送信するか、ログビューアで見ることができます。 データの匿名化により、ログとレポート内の ID を暗号化することができます。
ログビューア
各種モジュールのイベント情報を確認したり、ログのフィルタリングを行ったりできます。また、リンク先のルールやポリシーを操作できます。
CLI Guide
Open Source Software Attributions
著作権情報

このヘルプについて

このヘルプファイルでは、Sophos Firewall OS と Sophos XG についての情報を提供し、手順をステップごとに説明します。

必要な情報が見つからない場合:

次の方法をお試しください。

  • このページの上部にある検索バーを使用する。
  • ソフォス Web サイトのサポートセクションを開き、ページ内で検索する。サポートデータベースの文章または Sophos Community サイト (英語) の投稿が表示されます。

cc268e94fb04a1497c7aebfe92a4f796be56197d