RED デバイスを自動的に設定する
ソフォスのプロビジョニングサーバーを使用して、Sophos Firewall と RED アプライアンスの間に自動的にトンネルを作成できます。
自動プロビジョニングの仕組み
プロビジョニングサーバーによって、ファイアウォールへの RED トンネルを設定する処理の流れは次のとおりです。
- ファイアウォールで RED プロビジョニングサービスをオンにする。
- ファイアウォールに RED インターフェースを追加する。
- RED の設定が、ファイアウォールからソフォスのプロビジョニングサーバーにアップロードされる。
- RED がプロビジョニングサーバーから設定をダウンロードする。
- RED がファイアウォールへのトンネルを作成する。
この方法の場合、RED およびファイアウォールにインターネットアクセスが必要です。
目的
RED デバイスを自動的に設定するには、次の手順に従います。
- RED デバイス用のカスタムゾーンを追加する。
- RED インターフェースを追加する。
- トンネルトラフィック用のファイアウォールルールを作成する。
RED デバイス用のカスタムゾーンを追加する
RED インターフェースを追加し、RED デバイスを LAN ゾーンに設定した場合、LAN ネットワークの他のデバイスと同じルールが RED デバイスに適用されます。RED ネットワークと LAN ネットワークを論理的に分離するには、RED デバイス用のカスタムゾーンを追加するか、または、VPN や WiFi などの既存のゾーンを使用します。
RED デバイス用のカスタムゾーンを追加するには、次の手順を実行します。
- 「ネットワーク > ゾーン」に移動して、「追加」をクリックします。
- ゾーンの名前を入力します。たとえば、RED と指定します。
- 「種類」で「LAN」または「DMZ」を選択します。詳細は、ゾーンの追加を参照してください。
- 「デバイスのアクセス」で、このゾーンで使用するサービスを選択します。
- 「保存」をクリックします。
RED インターフェースの追加
RED インターフェースを作成するには、次の手順を実行します。
- 「システムサービス > RED」に移動し、RED プロビジョニングサービスを有効にします。
- 「ネットワーク > インターフェース」に移動し、「インターフェースの追加」をクリックして、「追加」を選択します。
- 支社名を入力し、RED デバイスの種類を選択します。
- 「デバイスの導入」で「自動 (プロビジョニングサービス経由)」を選択します。
- 必要に応じて、他の RED モデルの設定を指定します。
- 「RED ネットワークの設定」で、RED デバイス用に作成したゾーンを選択します。
- 「保存」をクリックします。
(任意) オフラインの RED の時刻を同期する
RED デバイスがファイアウォールと TLS ハンドシェイクを完了するには、時刻を同期する必要があります。オフラインモードの RED デバイスがこれを実行できるようにするために、インターネットアクセスを許可して、Sophos NTP サーバープールに接続できるようにします。または、次のようにローカルサービス ACL の例外ルールを作成し、WAN ゾーンからファイアウォールに接続できるようにします。
- 「追加」をクリックします。
- ルール名を入力します。
- 「送信元ゾーン」を「WAN」に設定します。
- 「送信元ネットワークまたはホスト」に、RED デバイスの IP アドレスを設定します。
- 「宛先ホスト」を、ファイアウォールの WAN ポートに設定します。
- 「サービス」を「HTTPS」に設定します。
- 「アクション」を「許可」に設定します。
- 「保存」をクリックします。
トンネルトラフィック用のファイアウォールルールを作成する
RED デバイス用のファイアウォールルールを、ゾーンに基づいて設定できます。
既存のゾーンを使用する場合、以前に作成したファイアウォールルールによって、トラフィックのルーティング方法が決まります。選択したゾーンに適用されるルールによって、社内ネットワークのセキュリティが侵されることのないようにしてください。たとえば、VPN ゾーンでは、ファイアウォールが DNS リクエストを解決できないようにしており、代わりに DHCP を使用して、別の DNS サーバーを提供しています。
トンネルトラフィック用のファイアウォールルールを作成するには、以下の手順に従います。
- 「ルールとポリシー > ファイアウォールルール」に移動します。
- 「IPv4」または「IPv6」を選び、「ファイアウォールルールの追加」、「新しいファイアウォールルール」の順に選択します。
- 「送信元ゾーン」で、RED デバイス用に作成したゾーンを選択します。
- ファイアウォールルールをこのゾーン内のネットワークに一致させる場合は、「送信元ネットワークとデバイス」でネットワークを選択します。それ以外の場合は、「任意」を選択します。
- 「宛先ゾーン」で、「LAN」と「WAN」を選択します。
- ファイアウォールルールをこのゾーン内のネットワークに一致させる場合は、「宛先ネットワーク」でネットワークを選択します。それ以外の場合は、「任意」を選択します。
- 「保存」をクリックします。