Web リクエストを LAN のアップストリームプロキシに転送する方法
Sophos Firewall で、外部ネットワークに送信するすべての Web リクエストを、LAN または DMZ 内のアップストリームプロキシに転送することができます。
Sophos Firewall を LAN のアップストリームプロキシに接続する
ここでは、アップストリームプロキシが LAN ゾーンにある例を取り上げます。ネットワークの詳細は以下のとおりです。
プロキシの IP アドレス: 192.168.1.10
Sophos Firewall の WAN IP アドレス: 203.0.113.1
LAN または DMZ ゾーンにアップストリームプロキシを導入する場合は、Sophos Firewall をプロキシサーバーとして設定する必要があります。
以下の設定を行います。
- Sophos Firewall にアップストリームプロキシを追加する。
- Web プロキシモードで Web フィルタリングおよびスキャンを実行するファイアウォールルール。
- 社内ユーザーからアップストリームプロキシへのトラフィックを許可するファイアウォールルール。
- 社内ユーザーからアップストリームプロキシへのトラフィックをマスカレードする SNAT ルール。
- アップストリームプロキシからインターネットへのトラフィックを許可するファイアウォールルール。
Sophos Firewall にアップストリームプロキシを追加する
Sophos Firewall にアップストリームプロキシを追加します。また、プロキシが認証を要求する場合は、認証情報を入力します。
- 「ルーティング > アップストリームプロキシ」に移動します。
- 「親プロキシ」を選択します。
- アップストリームプロキシの IP アドレスを入力します (例:
192.168.1.10
)。 - アップストリームプロキシが Web トラフィックを受信するポート番号を入力します (例:
3128
)。 -
アップストリームプロキシで認証が必要な場合は、ユーザー名とパスワードを入力します。
次に例を示します。
-
「適用」をクリックします。
Web トラフィックをスキャンするファイアウォールルールを作成する
社内ユーザーと WAN 間のトラフィックをスキャンして許可するファイアウォールルールを作成します。
- 「ルールとポリシー」に移動し、「ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。
- 「送信元ゾーン」を
LAN
とWi‑Fi
に設定します。 - 「送信元ネットワークとデバイス」を
Any
に設定します。 - 「宛先ゾーン」を
WAN
に設定します。 -
「宛先ネットワーク」を
Any
に設定します。次に例を示します。
-
「HTTP および復号化した HTTPS をスキャン」と「DPI エンジンではなく Web プロキシを使用する」を選択します。
-
「保存」をクリックします。
アップストリームプロキシへの内部トラフィックを許可するファイアウォールルールを作成する
社内ユーザーから LAN ゾーンのアップストリームプロキシへのトラフィックを許可するファイアウォールルールを作成します。
- 「ルールとポリシー」に移動し、「ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。
- 「送信元ゾーン」を
LAN
とWi‑Fi
に設定します。 - 「送信元ネットワークとデバイス」を
Any
に設定します。 -
アップストリームプロキシが LAN ゾーンにあるので、「宛先ゾーン」を
LAN
に設定します。アップストリームプロキシが DMZ ゾーンにある場合は、「宛先ゾーン」を DMZ に設定します。
-
「宛先ネットワーク」を、アップストリームプロキシ用に作成した IP ホストに設定します。
次に例を示します。
-
「保存」をクリックします。
社内ユーザー用の SNAT ルールを作成する
社内ユーザーからアップストリームプロキシへの Web リクエストをマスカレードする SNAT ルールを作成します。
- 「ルールとポリシー」に移動し、「NAT ルール > NAT ルールの追加」をクリックします。
- 「変換前の送信元」を
Any
に設定します。 - 「変換後の送信元 (SNAT)」を
MASQ
に設定します。 - 「変換前の宛先」を、アップストリームプロキシ用に作成した IP ホストに設定します。
-
「変換後の宛先 (DNAT)」を
Original
に設定します。次に例を示します。
-
「保存」をクリックします。
アップストリームプロキシから WAN へのトラフィックを許可するファイアウォールルールを作成する
LAN ゾーンのアップストリームプロキシから WAN ゾーンへのトラフィックを許可するファイアウォールルールを作成します。
- 「ルールとポリシー」に移動し、「ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。
-
「送信元ゾーン」を
LAN
に設定します。または、アップストリームプロキシが DMZ ゾーンにある場合は、DMZ を選択します。
-
「送信元ネットワークとデバイス」を、アップストリームプロキシ用に作成した IP ホストに設定します。
-
「宛先ゾーン」を
WAN
に設定します。さらに、アップストリームプロキシから DMZ ゾーンにある Web サーバーへのトラフィックを許可したい場合は、「DMZ」を選択します。
-
「宛先ネットワーク」を
Any
に設定します。次に例を示します。
-
「Web ポリシー」が
None
に設定されていることを確認します。「マルウェアスキャンとコンテンツスキャン」の設定は選択しないでください。 - 必要に応じて、「エクスプロイトの検出・防止 (IPS)」を選択します。
- 「保存」をクリックします。
- ファイアウォールルールリスト内で、このルールを適切な位置にドラッグ&ドロップします。送信元、宛先、Web プロキシモードが一致するその他のルールよりも上に配置するようにしてください。
NAT ルールリストの一番下にあるデフォルトの SNAT ルール (Default SNAT IPv4
) は、WAN ゾーンにトラフィックを送信するアップストリームプロキシのプライベートの IP アドレスをマスカレードします。マスカレードは、LAN および DMZ 内のアップストリームプロキシに適用されます。その他の変換設定を指定したい場合は、SNAT ルールを作成してください。