コンテンツにスキップ

ファイアウォールをディスカバーモードで導入する

ファイアウォールをディスカバーモード (検出モード) で導入すると、ネットワークスキームに変更を加えずに、ネットワークトラフィックを監視することができます。

はじめに

ここでは、TAP インターフェースを使ってファイアウォールをディスカバーモードで導入し、セキュリティ監査レポート (SAR) をメールで送信するスケジュールを設定する方法について説明します。

ネットワーク図

ディスカバーモードのネットワーク図。

要件

  • ファイアウォールが Microsoft Entra ID、RADIUS、LDAP、Apple Directory、Novell eDirectory などの外部認証サーバーと連係していることを確認してください。そうすることで、セキュリティ監査レポート (SAR) でユーザーごとのデータを取得することができます。
  • クラウドで Web の分類、IPS の更新、SAR の生成を行うため、ファイアウォールをインターネットに接続する必要があります。
  • SPAN (スイッチポートアナライザ) またはミラーポート設定をサポートするスイッチにファイアウォールを接続する必要があります。
  • ファイアウォールに、バインドされていないインターフェースが必要です。

ディスカバーモードでサポートされる機能

サブスクリプション 機能 利用可否
基本サブスクリプション IPv6
ネットワークサービス (ARP、ルーティング、DNS、DHCP)
ファイアウォール
DoS 対策
スプーフィング対策
IPsec VPN
SSL VPN
ワイヤレスデバイスのサポート
現在のアクティビティ
トラフィックのアクセスコントロールリスト (ACL)
QoS
レポート
ユーザーID
ユーザー ID ベースの制御 (ユーザーベースのポリシーは適用できません)
冗長化 (HA) (ディスカバーモードで HA を設定できます)
ネットワークプロテクション IPS 検出
IPS 制御
Sophos X-Ops 脅威フィード
RED デバイス管理
セキュリティハートビート
アプリケーション同期と制御
Web プロテクション Web 分類 (IPS を使用) (URL に基づく分類)
Web フィルタリング
アプリケーションの分類 (シグネチャベース)
マイクロアプリ (HTTPS マイクロアプリ)
アプリケーションフィルタ
Web / メールプロテクション マルウェア対策
メールプロテクション メール使用状況
スパム対策
Web サーバープロテクション WAF
Xsteam Protection バンドル MDR 脅威フィード

ファイアウォールに接続、アクセスする

ファイアウォールをスイッチに接続し、ファイアウォールの Web 管理コンソールにアクセスするには、以下の手順に従います。

  1. ファイアウォールのポート A をネットワークスイッチのポートに接続します。
  2. ファイアウォールにアクセスするコンピュータの IP アドレスを 172.16.16.2 に、サブネットマスクを 255.255.255.0 に設定します。
  3. コンピュータで Web ブラウザを開き、https://172.16.16.16:4444 を参照します。
  4. デフォルトのユーザー名とパスワード (両方とも admin) を使用して、ファイアウォールの Web 管理コンソールにサインインします。

バインドされていないインターフェースでディスカバーモードを有効にする

バインドされていないインターフェースでのみ、ディスカバーモードを有効にできます。

デフォルトでは、ポート A、B、C はそれぞれ LAN、DMZ、WAN ゾーンにバインドされており、それ以外のポートはバインドされていません。ただし、ポート A、B、C をはじめ、任意のポートをいつでも他のゾーンにバインドできます。この例では、ポート D でディスカバーモードを有効にします。

バインドされたインターフェース上でディスカバーモードを有効にするには、バインドを解除する必要があります。インターフェースのバインドを解除するには、「ネットワーク > インターフェース」に移動して、インターフェースを選択し、「ネットワークゾーン」を「なし」に設定します。

想定通りの出力を得るために、TAP インターフェースを CPU にバインドすることを推奨します。そのためには、ディスカバーモードの使用を開始する前に、CLI コンソールで bind-with オプションを使用し、ポートアフィニティの設定を変更して、インターフェースを設定してください。

以下の方法でディスカバーモードを有効にできます。

  • アシスタント
  • CLI

バインドされていないインターフェースでディスカバーモードを有効にするには、以下の手順に従います。

  1. バインドされていないポート (ポート D) とネットワークスイッチのポート (ポートミラーリングを設定するポート) を接続します。
  2. 管理用コンピュータから https://172.16.16.16:4444 にアクセスし、デフォルトのユーザー名とパスワード (両方 admin) でサインインします。
  3. クリックして開始」をクリックして、画面の指示に従います。
  4. ネットワークの設定 (LAN)」ページで、「TAP/ディスカバーモードを有効化」をクリックします。
  5. スイッチのミラーポートに接続するポートを 1つ以上選択します。この例では、ポート D を選択します。
  6. 適用」、「続行」の順にクリックして、画面の指示に従います。

バインドされていないインターフェースでディスカバーモードを有効にするには、以下の手順に従います。

  1. バインドされていないポート (ポート D) とネットワークスイッチのポート (ポートミラーリングを設定するポート) を接続します。
  2. ファイアウォールのコマンドラインコンソール (CLI) にサインインします。
  3. 以下のオプションを選択します: 4. Device Console
  4. 以下のコマンドを入力して、ポート D のディスカバーモードを有効にします: console> system discover-mode tap add PortD

    以下のメッセージが表示されます: Discover Interface added successfully

ファイアウォールのインターフェースページに、ポート D が TAP インターフェースとして設定されたことが以下のように示されます。

インターフェースページにポート D が表示されます。

スイッチでポートミラーリングを設定します。詳細は、お使いのスイッチのドキュメントを参照してください。

セキュリティ監査レポートのメール送信スケジュールを設定する

セキュリティ監査レポートのメール送信スケジュールを設定するには、以下の手順に従います。

  1. レポート > レポート設定を表示 > レポートスケジュール」に移動します。
  2. 追加」をクリックして、新しいレポートスケジュールを追加します。
  3. セキュリティ監査レポート」を選択し、設定を入力します。
  4. 保存」をクリックします。

ファイアウォールのレポートスケジュールページを以下に示します。

レポートスケジュールページ。

追加情報

  • ファイアウォールをディスカバーモードで導入した場合、セキュリティポリシーは適用できません。
  • ディスカバーモードは、ゲートウェイモード、混合モード、ブリッジモードと組み合わせて使用できます。ディスカバーモードをこれらのモードと組み合わせる場合は、以下の点に気を付けてください。

    • ファイアウォールの TAP インターフェースと LAN ポートを同じスイッチに接続できます。ファイアウォールの TAP インターフェースをスイッチの SPAN ポートに、LAN ポートを別のポートに接続してください。
    • TAP インターフェース上のトラフィックにセキュリティポリシーを適用することはできませんが、他のインターフェースには適用できます。
  • Sophos Firewall 仮想デバイスでも、ディスカバーモードを使用できます。

  • HTTPS はディスカバーモードではサポートされていません。

ディスカバーモードと HA

  • HA アクティブ - アクティブモードでは、ディスカバーモードは使用できません。
  • HA アクティブ - アクティブモードでは、アプリケーション同期と制御はオフになります。
  • HA アクティブ - パッシブモードでは、ディスカバーモードを使用できます。
  • TAP インターフェースが有効になっていると、HA を設定できません。HA を設定するには、コマンドラインインターフェースを使って、両方のファイアウォールの TAP インターフェースを無効にしてください。HA を確立したら、TAP インターフェースを再び有効にできます。
  • HA を有効にすると、パッシブのファイアウォールで TAP インターフェースが有効になります。