コンテンツにスキップ

Sophos Firewall をディスカバーモードで導入する方法

Sophos Firewall をディスカバーモード (検出モード) で導入すると、ネットワークスキームに変更を加えずに、ネットワークトラフィックを監視することができます。

はじめに

ここでは、TAP インターフェースを使って Sophos Firewall をディスカバーモードで導入し、セキュリティ監査レポート (SAR) をメールで送信するスケジュールを設定する方法について説明します。

まず、Sophos Firewall が Active Directory (AD)、RADIUS、LDAP、Apple Directory、Novell eDirectory などの外部認証サーバーと連係していることを確認してください。そうすることで、セキュリティ監査レポートでユーザーごとのデータを取得することができます。

Sophos Firewall に接続し、管理画面にアクセスする

Sophos Firewall をスイッチに接続し、ファイアウォールの Web 管理コンソールにアクセスするには、以下の手順に従います。

  1. Sophos Firewall のポート A をネットワークスイッチのポートに接続します。
  2. Sophos Firewall にアクセスするコンピュータの IP アドレスを 172.16.16.2 に、サブネットマスクを 255.255.255.0 に設定します。
  3. コンピュータで Web ブラウザを開き、https://172.16.16.16:4444 を参照します。
  4. デフォルトのユーザー名とパスワード (両方とも admin) を使用して、Sophos Firewall の Web 管理コンソールにサインインします。

バインドされていないインターフェースでディスカバーモードを有効にする

バインドされていないインターフェースでのみ、ディスカバーモードを有効にできます。

デフォルトでは、ポート A、B、C はそれぞれ LAN、DMZ、WAN ゾーンにバインドされており、それ以外のポートはバインドされていません。ただし、ポート A、B、C をはじめ、任意のポートをいつでも他のゾーンにバインドできます。この例では、ポート D でディスカバーモードを有効にします。

バインドされたインターフェース上でディスカバーモードを有効にするには、バインドを解除する必要があります。インターフェースのバインドを解除するには、「ネットワーク > インターフェース」に移動して、インターフェースを選択し、「ネットワークゾーン」を「なし」に設定します。

想定通りの出力を得るために、TAP インターフェースを CPU にバインドすることを推奨します。そのためには、ディスカバーモードの使用を開始する前に、CLI コンソールで bind-with オプションを使用し、ポートアフィニティの設定を変更して、インターフェースを設定してください。

バインドされていないインターフェースでディスカバーモードを有効にするには、以下の手順に従います。

  1. バインドされていないポート (ポート D) とネットワークスイッチのポート (ポートミラーリングを設定するポート) を接続します。
  2. Sophos Firewall のコマンドラインコンソール (CLI) にサインインします。
  3. 以下のオプションを選択します: 4. Device Console

  4. 以下のコマンドを入力して、ポート D のディスカバーモードを有効にします: console> system discover-mode tap add PortD 以下のメッセージが表示されます: Discover Interface added successfully

    Sophos Firewall のインターフェースページに、ポート D が TAP インターフェースとして設定されたことが以下のように示されます。

    インターフェースページにポート D が表示されます

スイッチでポートミラーリングを設定します。詳しくは、スイッチのマニュアルを参照してください。

セキュリティ監査レポートのメール送信スケジュールを設定する

セキュリティ監査レポートのメール送信スケジュールを設定するには、以下の手順に従います。

  1. レポート > レポート設定を表示 > レポートスケジュール」に移動します。
  2. 追加」をクリックして、新しいレポートスケジュールを追加します。
  3. セキュリティ監査レポート」を選択し、設定を入力します。
  4. 保存」をクリックします。

Sophos Firewall のレポートスケジュールページを以下に示します。

レポートスケジュールページ

追加情報

Sophos Firewall をディスカバーモードで導入した場合、セキュリティポリシーは適用できません。

ディスカバーモードは、ゲートウェイモード、混合モード、ブリッジモードと組み合わせて使用できます。ディスカバーモードをこれらのモードと組み合わせる場合は、以下の点に気を付けてください。

  • Sophos Firewall の TAP インターフェースと LAN ポートを同じスイッチに接続できます。Sophos Firewall の TAP インターフェースをスイッチの SPAN ポートに、LAN ポートを別のポートに接続してください。
  • TAP インターフェース上のトラフィックにセキュリティポリシーを適用することはできませんが、他のインターフェースには適用できます。

Sophos Firewall 仮想デバイスでも、ディスカバーモードを使用できます。

ディスカバーモードと冗長化 (HA)

  • HA アクティブ - アクティブモードでは、ディスカバーモードは使用できません。
  • HA アクティブ - アクティブモードでは、アプリケーション同期と制御はオフになります。
  • HA アクティブ - パッシブモードでは、ディスカバーモードを使用できます。
  • TAP インターフェースが有効になっていると、HA を設定できません。HA を設定するには、コマンドラインインターフェースを使って、両方のファイアウォールの TAP インターフェースを無効にしてください。HA を確立したら、TAP インターフェースを再び有効にできます。
  • HA を有効にすると、パッシブの Sophos Firewall で TAP インターフェースが有効になります。