ファイアウォールをディスカバーモードで導入する
ファイアウォールをディスカバーモード (検出モード) で導入すると、ネットワークスキームに変更を加えずに、ネットワークトラフィックを監視することができます。
はじめに
ここでは、TAP インターフェースを使ってファイアウォールをディスカバーモードで導入し、セキュリティ監査レポート (SAR) をメールで送信するスケジュールを設定する方法について説明します。
ネットワーク図
要件
- ファイアウォールが Microsoft Entra ID、RADIUS、LDAP、Apple Directory、Novell eDirectory などの外部認証サーバーと連係していることを確認してください。そうすることで、セキュリティ監査レポート (SAR) でユーザーごとのデータを取得することができます。
- クラウドで Web の分類、IPS の更新、SAR の生成を行うため、ファイアウォールをインターネットに接続する必要があります。
- SPAN (スイッチポートアナライザ) またはミラーポート設定をサポートするスイッチにファイアウォールを接続する必要があります。
- ファイアウォールに、バインドされていないインターフェースが必要です。
ディスカバーモードでサポートされる機能
サブスクリプション | 機能 | 利用可否 |
---|---|---|
基本サブスクリプション | IPv6 | |
ネットワークサービス (ARP、ルーティング、DNS、DHCP) | ||
ファイアウォール | ||
DoS 対策 | ||
スプーフィング対策 | ||
IPsec VPN | ||
SSL VPN | ||
ワイヤレスデバイスのサポート | ||
現在のアクティビティ | ||
トラフィックのアクセスコントロールリスト (ACL) | ||
QoS | ||
レポート | ||
ユーザーID | ||
ユーザー ID ベースの制御 | (ユーザーベースのポリシーは適用できません) | |
冗長化 (HA) | (ディスカバーモードで HA を設定できます) | |
ネットワークプロテクション | IPS 検出 | |
IPS 制御 | ||
Sophos X-Ops 脅威フィード | ||
RED デバイス管理 | ||
セキュリティハートビート | ||
アプリケーション同期と制御 | ||
Web プロテクション | Web 分類 (IPS を使用) | (URL に基づく分類) |
Web フィルタリング | ||
アプリケーションの分類 (シグネチャベース) | ||
マイクロアプリ (HTTPS マイクロアプリ) | ||
アプリケーションフィルタ | ||
Web / メールプロテクション | マルウェア対策 | |
メールプロテクション | メール使用状況 | |
スパム対策 | ||
Web サーバープロテクション | WAF | |
Xsteam Protection バンドル | MDR 脅威フィード |
ファイアウォールに接続、アクセスする
ファイアウォールをスイッチに接続し、ファイアウォールの Web 管理コンソールにアクセスするには、以下の手順に従います。
- ファイアウォールのポート A をネットワークスイッチのポートに接続します。
- ファイアウォールにアクセスするコンピュータの IP アドレスを
172.16.16.2
に、サブネットマスクを255.255.255.0
に設定します。 - コンピュータで Web ブラウザを開き、
https://172.16.16.16:4444
を参照します。 - デフォルトのユーザー名とパスワード (両方とも
admin
) を使用して、ファイアウォールの Web 管理コンソールにサインインします。
バインドされていないインターフェースでディスカバーモードを有効にする
注
バインドされていないインターフェースでのみ、ディスカバーモードを有効にできます。
デフォルトでは、ポート A、B、C はそれぞれ LAN、DMZ、WAN ゾーンにバインドされており、それ以外のポートはバインドされていません。ただし、ポート A、B、C をはじめ、任意のポートをいつでも他のゾーンにバインドできます。この例では、ポート D でディスカバーモードを有効にします。
バインドされたインターフェース上でディスカバーモードを有効にするには、バインドを解除する必要があります。インターフェースのバインドを解除するには、「ネットワーク > インターフェース」に移動して、インターフェースを選択し、「ネットワークゾーン」を「なし」に設定します。
注
想定通りの出力を得るために、TAP インターフェースを CPU にバインドすることを推奨します。そのためには、ディスカバーモードの使用を開始する前に、CLI コンソールで bind-with
オプションを使用し、ポートアフィニティの設定を変更して、インターフェースを設定してください。
以下の方法でディスカバーモードを有効にできます。
- アシスタント
- CLI
バインドされていないインターフェースでディスカバーモードを有効にするには、以下の手順に従います。
- バインドされていないポート (ポート D) とネットワークスイッチのポート (ポートミラーリングを設定するポート) を接続します。
- 管理用コンピュータから https://172.16.16.16:4444 にアクセスし、デフォルトのユーザー名とパスワード (両方
admin
) でサインインします。 - 「クリックして開始」をクリックして、画面の指示に従います。
- 「ネットワークの設定 (LAN)」ページで、「TAP/ディスカバーモードを有効化」をクリックします。
- スイッチのミラーポートに接続するポートを 1つ以上選択します。この例では、ポート D を選択します。
- 「適用」、「続行」の順にクリックして、画面の指示に従います。
バインドされていないインターフェースでディスカバーモードを有効にするには、以下の手順に従います。
- バインドされていないポート (ポート D) とネットワークスイッチのポート (ポートミラーリングを設定するポート) を接続します。
- ファイアウォールのコマンドラインコンソール (CLI) にサインインします。
- 以下のオプションを選択します:
4. Device Console
。 -
以下のコマンドを入力して、ポート D のディスカバーモードを有効にします:
console> system discover-mode tap add PortD
以下のメッセージが表示されます:
Discover Interface added successfully
ファイアウォールのインターフェースページに、ポート D が TAP インターフェースとして設定されたことが以下のように示されます。
スイッチでポートミラーリングを設定します。詳細は、お使いのスイッチのドキュメントを参照してください。
セキュリティ監査レポートのメール送信スケジュールを設定する
セキュリティ監査レポートのメール送信スケジュールを設定するには、以下の手順に従います。
- 「レポート > レポート設定を表示 > レポートスケジュール」に移動します。
- 「追加」をクリックして、新しいレポートスケジュールを追加します。
- 「セキュリティ監査レポート」を選択し、設定を入力します。
- 「保存」をクリックします。
ファイアウォールのレポートスケジュールページを以下に示します。
追加情報
- ファイアウォールをディスカバーモードで導入した場合、セキュリティポリシーは適用できません。
-
ディスカバーモードは、ゲートウェイモード、混合モード、ブリッジモードと組み合わせて使用できます。ディスカバーモードをこれらのモードと組み合わせる場合は、以下の点に気を付けてください。
- ファイアウォールの TAP インターフェースと LAN ポートを同じスイッチに接続できます。ファイアウォールの TAP インターフェースをスイッチの SPAN ポートに、LAN ポートを別のポートに接続してください。
- TAP インターフェース上のトラフィックにセキュリティポリシーを適用することはできませんが、他のインターフェースには適用できます。
-
Sophos Firewall 仮想デバイスでも、ディスカバーモードを使用できます。
- HTTPS はディスカバーモードではサポートされていません。
ディスカバーモードと HA
- HA アクティブ - アクティブモードでは、ディスカバーモードは使用できません。
- HA アクティブ - アクティブモードでは、アプリケーション同期と制御はオフになります。
- HA アクティブ - パッシブモードでは、ディスカバーモードを使用できます。
- TAP インターフェースが有効になっていると、HA を設定できません。HA を設定するには、コマンドラインインターフェースを使って、両方のファイアウォールの TAP インターフェースを無効にしてください。HA を確立したら、TAP インターフェースを再び有効にできます。
- HA を有効にすると、パッシブのファイアウォールで TAP インターフェースが有効になります。