デバイスのアクセス

デバイスアクセスの設定によって、カスタムゾーンとデフォルトゾーン (LAN、WAN、DMZ、VPN、Wi-Fi) から特定のサービスへの管理者アクセスを制限することができます。

  1. ローカルサービス ACL: デバイスを初めて接続して起動したときは、デフォルトの ACL (アクセスコントロールリスト) が設定されています。デフォルトのサービスとポートの詳細は、以下のとおりです。適宜クリックして、特定のゾーンから各サービスへのアクセスの有効/無効を切り替えてください。
    デフォルトでは、すべてのサービスが固有のポートを使用するように設定されています。
    警告 デフォルトポートを手動で変更する場合は、サービスごとに異なるポートを使用することを強く推奨します。そうすることによって、サービスが無効になっているときに WAN ゾーンに公開されなくなります。例: ユーザーポータルと SSL VPN の両方にポート 443 を使用すると、ユーザポータルは WAN ゾーンからアクセス可能になります。
    表 1. 管理サービス

    ゾーン

    HTTPS

    (TCP ポート 4444)

    SSH

    (TCP ポート 22)

    LAN

    「アクティブ」インジケーター

    「アクティブ」インジケーター

    WAN

    「アクティブ」インジケーター

    「アクティブ」インジケーター

    Wi-Fi

    「アクティブ」インジケーター

    「アクティブ」インジケーター

    管理サービス
    LAN、Wi-Fi ゾーン: HTTPS (TCP ポート 4444)、SSH (TCP ポート 22)
    WAN ゾーン: HTTPS (TCP ポート 443)、SSH (TCP ポート 22)
    認証サービス
    LAN、Wi-Fi ゾーン: クライアント認証 (UDP ポート 6060)、キャプティブポータル認証 (TCP ポート 8090)、Active Directory SSO、RADIUS SSO。
    ネットワークサービス
    LAN、WAN、Wi-Fi ゾーン: Ping/Ping6 および DNS
    その他のサービス
    LAN、Wi-Fi ゾーン: Web プロキシ、SMTP リレー
    LAN、WAN、DMZ、Wi-Fi ゾーン: SSL VPN (TCP ポート 8443)
    LAN、WAN ゾーン: ユーザーポータルおよびダイナミックルーティング
    LAN、DMZ、VPN、Wi-Fi ゾーン: SNMP
    ユーザー認証サービスは、ユーザーベースのインターネット閲覧、帯域幅、データ転送の制限を適用するために必要です。管理機能を使用するには、ユーザー認証サービスは不要です。
  2. ローカルサービス ACL の例外ルール: 指定したネットワーク/ホストからデバイスの管理サービスへのアクセスを許可できます。設定されているルールが一覧表示されます。
    SFOS v15 を v16 にアップグレードすると:
    • SFOS v15 で HTTP を有効にした場合は、すべての HTTP リクエストが HTTPS にリダイレクトされます。
    • 処理を「破棄」に設定した HTTP ルールは、削除されます。
  3. デフォルトの管理者パスワードの設定:
    1. デバイスの導入後、すぐにデフォルトのパスワードを変更するようにしてください。
      スーパー管理者のユーザー名とパスワードは、デフォルトで admin に設定されています。この認証情報を使って、Web 管理コンソールと CLI にアクセスすることができます。管理者認証は、デバイス上でローカルに行われます。
    2. 出荷時のパスワードにリセットするには、「出荷時設定にリセット」をクリックします。
  4. 公開鍵認証
    1. SSH キーによる CLI (コマンドラインインターフェース) へのアクセスを許可するには、「管理者の公開鍵認証」をオンにします。
      管理者とサポートユーザーのみが、認証なしでサインイン用の SSH キーを追加することができます。他のすべてのユーザーは、SSH キーを追加するために、認証パスワードを入力する必要があります。
    2. 「管理者の認証鍵」のリストを追加します。これらの SSH キーの生成には、SSH クライアントツール (PuTTY など) を使用します。