コンテンツにスキップ

推奨の方法

WAN ゾーンおよび SSL VPN ポートから Web 管理コンソール (HTTPS)、CLI コンソール (SSH)、ユーザーポータルへのアクセスを許可しないことを推奨します。

Web 管理コンソール

WAN のすべての送信元から Web 管理コンソールへのアクセスを許可することはできません。アクセス権を付与する必要がある場合は、以下の推奨の方法に従ってください。

  • ローカルサービス ACL の例外ルールを作成し、WAN ゾーンの特定の送信元 IP アドレスからコンソールへのアクセスを許可します。

    ファイアウォールでは、あらゆる WAN ソースから Web 管理コンソールへのアクセスを禁止しています。したがって、送信元ネットワークを「任意」に設定したり、送信元 IP アドレスを 0.0.0.0 に設定したりした場合、ルールを作成できません。

  • Sophos Central を使用します。

  • リモートアクセスまたはサイト間 VPN を使用します。
  • Sophos Transparent Authentication Suite (STAS) などのリモートアクセスクライアントを使用します。

以前のバージョンでアクセスを許可している場合、WAN ゾーンからの正常なサインインが 90日間ないと、アクセスがオフになります。これはすべての導入形態に適用されます。ただし、ローカルサービス ACL 例外ルールによって、WAN の特定の IPアドレスおよびネットワークに与えられたアクセスは、影響を受けません。これらのソースは、サインインしていなくても、引き続きアクセスできます。

CLI コンソール

ローカルサービス ACL の例外ルールを作成し、WAN ゾーンの特定の送信元 IP アドレスからコンソールへのアクセスを許可します。

セキュリティをさらに強化するため、以下のいずれかを実行してください。

  • 管理 > デバイスのアクセス」から、公開鍵認証を設定します。
  • リモートアクセスまたはサイト間 VPN を使用します。
  • Sophos Transparent Authentication Suite (STAS) などのリモートアクセスクライアントを使用します。

ユーザーポータル

外部ネットワークからのアクセスを保護するには、VPN を使用して、以下の推奨の方法に従ってください。

  • リモートアクセスまたはサイト間 VPN を使用します。
  • Sophos Transparent Authentication Suite (STAS) などのリモートアクセスクライアントを使用します。

ユーザーアカウントに基づき安全なアクセスを実現するには、次の手順を実行します。

  • Sophos Firewall に保存されているユーザーアカウントのワンタイムパスワードで多要素認証 (MFA) を使用します。詳細は、多要素認証 (MFA) の設定を参照してください。
  • 外部ディレクトリサービスから提供される MFA を使用します。

WAN ゾーンからの正常なサインインが 90日間ないと、すべての WAN ソースからユーザーポータルへのアクセスがオフになります。これはすべての導入形態に適用されます。ただし、ローカルサービス ACL 例外ルールによって、WAN の特定の IPアドレスおよびネットワークに与えられたアクセスは、影響を受けません。これらのソースは、サインインしていなくても、引き続きアクセスできます。

SSL VPN ポート

デフォルトでは、すべての管理サービスが一意のポートを使用するように設定されています。SSL VPN は TCP ポート 8443 に設定されています。

警告

デフォルトポートを手動で変更する場合は、サービスごとに一意のポートを使用することを強く推奨します。一意のポートを使用すると、サービスへのアクセスをオフにした場合でも WAN ゾーンに公開されてしまうような状態を回避できます。

ユーザポータルおよび Web 管理コンソールのポートを他のサービスに使用することはできません。