推奨の方法
WAN ゾーンおよび SSL VPN ポートから Web 管理コンソール (HTTPS)、CLI コンソール (SSH)、ユーザーポータルへのアクセスを許可しないことを推奨します。
Web 管理コンソール
WAN のすべての送信元から Web 管理コンソールへのアクセスを許可することはできません。アクセス権を付与する必要がある場合は、以下の推奨の方法に従ってください。
-
ローカルサービス ACL の例外ルールを作成し、WAN ゾーンの特定の送信元 IP アドレスからコンソールへのアクセスを許可します。
ファイアウォールでは、あらゆる WAN ソースから Web 管理コンソールへのアクセスを禁止しています。したがって、送信元ネットワークを「任意」に設定したり、送信元 IP アドレスを 0.0.0.0 に設定したりした場合、ルールを作成できません。
-
Sophos Central を使用します。
- リモートアクセスまたはサイト間 VPN を使用します。
- Sophos Transparent Authentication Suite (STAS) などのリモートアクセスクライアントを使用します。
注
以前のバージョンでアクセスを許可している場合、WAN ゾーンからの正常なサインインが 90日間ないと、アクセスがオフになります。これはすべての導入形態に適用されます。ただし、ローカルサービス ACL 例外ルールによって、WAN の特定の IPアドレスおよびネットワークに与えられたアクセスは、影響を受けません。これらのソースは、サインインしていなくても、引き続きアクセスできます。
CLI コンソール
ローカルサービス ACL の例外ルールを作成し、WAN ゾーンの特定の送信元 IP アドレスからコンソールへのアクセスを許可します。
セキュリティをさらに強化するため、以下のいずれかを実行してください。
- 「管理 > デバイスのアクセス」から、公開鍵認証を設定します。
- リモートアクセスまたはサイト間 VPN を使用します。
- Sophos Transparent Authentication Suite (STAS) などのリモートアクセスクライアントを使用します。
ユーザーポータル
外部ネットワークからのアクセスを保護するには、VPN を使用して、以下の推奨の方法に従ってください。
- リモートアクセスまたはサイト間 VPN を使用します。
- Sophos Transparent Authentication Suite (STAS) などのリモートアクセスクライアントを使用します。
ユーザーアカウントに基づき安全なアクセスを実現するには、次の手順を実行します。
- Sophos Firewall に保存されているユーザーアカウントのワンタイムパスワードで多要素認証 (MFA) を使用します。詳細は、多要素認証 (MFA) の設定を参照してください。
- 外部ディレクトリサービスから提供される MFA を使用します。
注
WAN ゾーンからの正常なサインインが 90日間ないと、すべての WAN ソースからユーザーポータルへのアクセスがオフになります。これはすべての導入形態に適用されます。ただし、ローカルサービス ACL 例外ルールによって、WAN の特定の IPアドレスおよびネットワークに与えられたアクセスは、影響を受けません。これらのソースは、サインインしていなくても、引き続きアクセスできます。
SSL VPN ポート
デフォルトでは、すべての管理サービスが一意のポートを使用するように設定されています。SSL VPN は TCP ポート 8443 に設定されています。
警告
デフォルトポートを手動で変更する場合は、サービスごとに一意のポートを使用することを強く推奨します。一意のポートを使用すると、サービスへのアクセスをオフにした場合でも WAN ゾーンに公開されてしまうような状態を回避できます。
ユーザポータルおよび Web 管理コンソールのポートを他のサービスに使用することはできません。