コンテンツにスキップ

Web リクエストを LAN のアップストリームプロキシに転送する方法

Sophos Firewall で、外部ネットワークに送信するすべての Web リクエストを、LAN または DMZ 内のアップストリームプロキシに転送することができます。

Sophos Firewall を LAN のアップストリームプロキシに接続する

ここでは、アップストリームプロキシが LAN ゾーンにある例を取り上げます。ネットワークの詳細は以下のとおりです。

プロキシの IP アドレス: 192.168.1.10

Sophos Firewall の WAN IP アドレス: 203.0.113.1

LAN または DMZ ゾーンにアップストリームプロキシを導入する場合は、Sophos Firewall をプロキシサーバーとして設定する必要があります。

LAN ゾーン内のアップストリームプロキシの図

以下の設定を行います。

  1. Sophos Firewall にアップストリームプロキシを追加する。
  2. Web プロキシモードで Web フィルタリングおよびスキャンを実行するファイアウォールルール。
  3. 社内ユーザーからアップストリームプロキシへのトラフィックを許可するファイアウォールルール。
  4. 社内ユーザーからアップストリームプロキシへのトラフィックをマスカレードする SNAT ルール。
  5. アップストリームプロキシからインターネットへのトラフィックを許可するファイアウォールルール。

Sophos Firewall にアップストリームプロキシを追加する

Sophos Firewall にアップストリームプロキシを追加します。また、プロキシが認証を要求する場合は、認証情報を入力します。

  1. ルーティング > アップストリームプロキシ」に移動します。
  2. 親プロキシ」を選択します。
  3. アップストリームプロキシの IP アドレスを入力します (例: 192.168.1.10)。
  4. アップストリームプロキシが Web トラフィックを受信するポート番号を入力します (例: 3128)。

  5. アップストリームプロキシで認証が必要な場合は、ユーザー名とパスワードを入力します。

    次に例を示します。

    プロキシサーバーを追加する設定の例

  6. 適用」をクリックします。

Web トラフィックをスキャンするファイアウォールルールを作成する

社内ユーザーと WAN 間のトラフィックをスキャンして許可するファイアウォールルールを作成します。

  1. ルールとポリシー」に移動し、「ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。
  2. 送信元ゾーン」を LANWi‑Fi に設定します。
  3. 送信元ネットワークとデバイス」を Any に設定します。
  4. 宛先ゾーン」を WAN に設定します。

  5. 宛先ネットワーク」を Any に設定します。

    次に例を示します。

    LAN から WAN ゾーンへのトラフィックを許可するファイアウォールルール

  6. HTTP および復号化した HTTPS をスキャン」と「DPI エンジンではなく Web プロキシを使用する」を選択します。

    ファイアウォールルールでスキャンと Web プロキシを選択します

  7. 保存」をクリックします。

アップストリームプロキシへの内部トラフィックを許可するファイアウォールルールを作成する

社内ユーザーから LAN ゾーンのアップストリームプロキシへのトラフィックを許可するファイアウォールルールを作成します。

  1. ルールとポリシー」に移動し、「ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。
  2. 送信元ゾーン」を LANWi‑Fi に設定します。
  3. 送信元ネットワークとデバイス」を Any に設定します。

  4. アップストリームプロキシが LAN ゾーンにあるので、「宛先ゾーン」を LAN に設定します。

    アップストリームプロキシが DMZ ゾーンにある場合は、「宛先ゾーン」を DMZ に設定します。

  5. 宛先ネットワーク」を、アップストリームプロキシ用に作成した IP ホストに設定します。

    次に例を示します。

    LAN および Wi‑Fi から LAN のアップストリームプロキシへのトラフィックを許可するファイアウォールルール

  6. 保存」をクリックします。

社内ユーザー用の SNAT ルールを作成する

社内ユーザーからアップストリームプロキシへの Web リクエストをマスカレードする SNAT ルールを作成します。

  1. ルールとポリシー」に移動し、「NAT ルール > NAT ルールの追加」をクリックします。
  2. 変換前の送信元」を Any に設定します。
  3. 変換後の送信元 (SNAT)」を MASQ に設定します。
  4. 変換前の宛先」を、アップストリームプロキシ用に作成した IP ホストに設定します。

  5. 変換後の宛先 (DNAT)」を Original に設定します。

    次に例を示します。

    社内ネットワークからアップストリームプロキシへのトラフィックを変換する SNAT ルール

  6. 保存」をクリックします。

アップストリームプロキシから WAN へのトラフィックを許可するファイアウォールルールを作成する

LAN ゾーンのアップストリームプロキシから WAN ゾーンへのトラフィックを許可するファイアウォールルールを作成します。

  1. ルールとポリシー」に移動し、「ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。

  2. 送信元ゾーン」を LAN に設定します。

    または、アップストリームプロキシが DMZ ゾーンにある場合は、DMZ を選択します。

  3. 送信元ネットワークとデバイス」を、アップストリームプロキシ用に作成した IP ホストに設定します。

  4. 宛先ゾーン」を WAN に設定します。

    さらに、アップストリームプロキシから DMZ ゾーンにある Web サーバーへのトラフィックを許可したい場合は、「DMZ」を選択します。

  5. 宛先ネットワーク」を Any に設定します。

    次に例を示します。

    LAN 内のアップストリームプロキシから WAN へのトラフィックを許可するファイアウォールルール

  6. Web ポリシー」が None に設定されていることを確認します。「マルウェアスキャンとコンテンツスキャン」の設定は選択しないでください。

  7. 必要に応じて、「エクスプロイトの検出・防止 (IPS)」を選択します。
  8. 保存」をクリックします。
  9. ファイアウォールルールリスト内で、このルールを適切な位置にドラッグ&ドロップします。送信元、宛先、Web プロキシモードが一致するその他のルールよりも上に配置するようにしてください。

NAT ルールリストの一番下にあるデフォルトの SNAT ルール (Default SNAT IPv4) は、WAN ゾーンにトラフィックを送信するアップストリームプロキシのプライベートの IP アドレスをマスカレードします。マスカレードは、LAN および DMZ 内のアップストリームプロキシに適用されます。その他の変換設定を指定したい場合は、SNAT ルールを作成してください。