Sophos Firewall をディスカバーモードで導入する方法
Sophos Firewall をディスカバーモード (検出モード) で導入すると、ネットワークスキームに変更を加えずに、ネットワークトラフィックを監視することができます。
はじめに
ここでは、TAP インターフェースを使って Sophos Firewall をディスカバーモードで導入し、セキュリティ監査レポート (SAR) をメールで送信するスケジュールを設定する方法について説明します。
まず、Sophos Firewall が Active Directory (AD)、RADIUS、LDAP、Apple Directory、Novell eDirectory などの外部認証サーバーと連係していることを確認してください。そうすることで、セキュリティ監査レポートでユーザーごとのデータを取得することができます。
Sophos Firewall に接続し、管理画面にアクセスする
Sophos Firewall をスイッチに接続し、ファイアウォールの Web 管理コンソールにアクセスするには、以下の手順に従います。
- Sophos Firewall のポート A をネットワークスイッチのポートに接続します。
- Sophos Firewall にアクセスするコンピュータの IP アドレスを
172.16.16.2
に、サブネットマスクを255.255.255.0
に設定します。 - コンピュータで Web ブラウザを開き、
https://172.16.16.16:4444
を参照します。 - デフォルトのユーザー名とパスワード (両方とも
admin
) を使用して、Sophos Firewall の Web 管理コンソールにサインインします。
バインドされていないインターフェースでディスカバーモードを有効にする
注
バインドされていないインターフェースでのみ、ディスカバーモードを有効にできます。
デフォルトでは、ポート A、B、C はそれぞれ LAN、DMZ、WAN ゾーンにバインドされており、それ以外のポートはバインドされていません。ただし、ポート A、B、C をはじめ、任意のポートをいつでも他のゾーンにバインドできます。この例では、ポート D でディスカバーモードを有効にします。
バインドされたインターフェース上でディスカバーモードを有効にするには、バインドを解除する必要があります。インターフェースのバインドを解除するには、「ネットワーク > インターフェース」に移動して、インターフェースを選択し、「ネットワークゾーン」を「なし」に設定します。
注
想定通りの出力を得るために、TAP インターフェースを CPU にバインドすることを推奨します。そのためには、ディスカバーモードの使用を開始する前に、CLI コンソールで bind-with
オプションを使用し、ポートアフィニティの設定を変更して、インターフェースを設定してください。
バインドされていないインターフェースでディスカバーモードを有効にするには、以下の手順に従います。
- バインドされていないポート (ポート D) とネットワークスイッチのポート (ポートミラーリングを設定するポート) を接続します。
- Sophos Firewall のコマンドラインコンソール (CLI) にサインインします。
- 以下のオプションを選択します:
4. Device Console
。 -
以下のコマンドを入力して、ポート D のディスカバーモードを有効にします:
console> system discover-mode tap add PortD
以下のメッセージが表示されます:Discover Interface added successfully
Sophos Firewall のインターフェースページに、ポート D が TAP インターフェースとして設定されたことが以下のように示されます。
スイッチでポートミラーリングを設定します。詳しくは、スイッチのマニュアルを参照してください。
セキュリティ監査レポートのメール送信スケジュールを設定する
セキュリティ監査レポートのメール送信スケジュールを設定するには、以下の手順に従います。
- 「レポート > レポート設定を表示 > レポートスケジュール」に移動します。
- 「追加」をクリックして、新しいレポートスケジュールを追加します。
- 「セキュリティ監査レポート」を選択し、設定を入力します。
- 「保存」をクリックします。
Sophos Firewall のレポートスケジュールページを以下に示します。
追加情報
Sophos Firewall をディスカバーモードで導入した場合、セキュリティポリシーは適用できません。
ディスカバーモードは、ゲートウェイモード、混合モード、ブリッジモードと組み合わせて使用できます。ディスカバーモードをこれらのモードと組み合わせる場合は、以下の点に気を付けてください。
- Sophos Firewall の TAP インターフェースと LAN ポートを同じスイッチに接続できます。Sophos Firewall の TAP インターフェースをスイッチの SPAN ポートに、LAN ポートを別のポートに接続してください。
- TAP インターフェース上のトラフィックにセキュリティポリシーを適用することはできませんが、他のインターフェースには適用できます。
Sophos Firewall 仮想デバイスでも、ディスカバーモードを使用できます。
ディスカバーモードと冗長化 (HA)
- HA アクティブ - アクティブモードでは、ディスカバーモードは使用できません。
- HA アクティブ - アクティブモードでは、アプリケーション同期と制御はオフになります。
- HA アクティブ - パッシブモードでは、ディスカバーモードを使用できます。
- TAP インターフェースが有効になっていると、HA を設定できません。HA を設定するには、コマンドラインインターフェースを使って、両方のファイアウォールの TAP インターフェースを無効にしてください。HA を確立したら、TAP インターフェースを再び有効にできます。
- HA を有効にすると、パッシブの Sophos Firewall で TAP インターフェースが有効になります。