コンテンツにスキップ

RED デバイスを自動的に設定する

ソフォスのプロビジョニングサーバーを使用して、Sophos Firewall と RED アプライアンスの間に自動的にトンネルを作成できます。

自動プロビジョニングの仕組み

プロビジョニングサーバーによって、ファイアウォールへの RED トンネルを設定する処理の流れは次のとおりです。

  1. ファイアウォールで RED プロビジョニングサービスをオンにする。
  2. ファイアウォールに RED インターフェースを追加する。
  3. RED の設定が、ファイアウォールからソフォスのプロビジョニングサーバーにアップロードされる。
  4. RED がプロビジョニングサーバーから設定をダウンロードする。
  5. RED がファイアウォールへのトンネルを作成する。

この方法の場合、RED およびファイアウォールにインターネットアクセスが必要です。

目的

RED デバイスを自動的に設定するには、次の手順に従います。

  1. RED デバイス用のカスタムゾーンを追加する。
  2. RED インターフェースを追加する。
  3. トンネルトラフィック用のファイアウォールルールを作成する。

RED デバイス用のカスタムゾーンを追加する

RED インターフェースを追加し、RED デバイスを LAN ゾーンに設定した場合、LAN ネットワークの他のデバイスと同じルールが RED デバイスに適用されます。RED ネットワークと LAN ネットワークを論理的に分離するには、RED デバイス用のカスタムゾーンを追加するか、または、VPN や WiFi などの既存のゾーンを使用します。

RED デバイス用のカスタムゾーンを追加するには、次の手順を実行します。

  1. ネットワーク > ゾーン」に移動して、「追加」をクリックします。
  2. ゾーンの名前を入力します。たとえば、RED と指定します。
  3. 種類」で「LAN」または「DMZ」を選択します。詳細は、ゾーンの追加を参照してください。
  4. デバイスのアクセス」で、このゾーンで使用するサービスを選択します。
  5. 保存」をクリックします。

RED デバイスのゾーンを追加します。

RED インターフェースの追加

RED インターフェースを作成するには、次の手順を実行します。

  1. システムサービス > RED」に移動し、RED プロビジョニングサービスを有効にします。
  2. ネットワーク > インターフェース」に移動し、「インターフェースの追加」をクリックして、「追加」を選択します。
  3. 支社名を入力し、RED デバイスの種類を選択します。
  4. デバイスの導入」で「自動 (プロビジョニングサービス経由)」を選択します。
  5. 必要に応じて、他の RED モデルの設定を指定します。
  6. RED ネットワークの設定」で、RED デバイス用に作成したゾーンを選択します。
  7. 保存」をクリックします。

(任意) オフラインの RED の時刻を同期する

RED デバイスがファイアウォールと TLS ハンドシェイクを完了するには、時刻を同期する必要があります。オフラインモードの RED デバイスがこれを実行できるようにするために、インターネットアクセスを許可して、Sophos NTP サーバープールに接続できるようにします。または、次のようにローカルサービス ACL の例外ルールを作成し、WAN ゾーンからファイアウォールに接続できるようにします。

  1. 追加」をクリックします。
  2. ルール名を入力します。
  3. 送信元ゾーン」を「WAN」に設定します。
  4. 送信元ネットワークまたはホスト」に、RED デバイスの IP アドレスを設定します。
  5. 宛先ホスト」を、ファイアウォールの WAN ポートに設定します。
  6. サービス」を「HTTPS」に設定します。
  7. アクション」を「許可」に設定します。
  8. 保存」をクリックします。

トンネルトラフィック用のファイアウォールルールを作成する

RED デバイス用のファイアウォールルールを、ゾーンに基づいて設定できます。

既存のゾーンを使用する場合、以前に作成したファイアウォールルールによって、トラフィックのルーティング方法が決まります。選択したゾーンに適用されるルールによって、社内ネットワークのセキュリティが侵されることのないようにしてください。たとえば、VPN ゾーンでは、ファイアウォールが DNS リクエストを解決できないようにしており、代わりに DHCP を使用して、別の DNS サーバーを提供しています。

トンネルトラフィック用のファイアウォールルールを作成するには、以下の手順に従います。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. IPv4」または「IPv6」を選び、「ファイアウォールルールの追加」、「新しいファイアウォールルール」の順に選択します。
  3. 送信元ゾーン」で、RED デバイス用に作成したゾーンを選択します。
  4. ファイアウォールルールをこのゾーン内のネットワークに一致させる場合は、「送信元ネットワークとデバイス」でネットワークを選択します。それ以外の場合は、「任意」を選択します。
  5. 宛先ゾーン」で、「LAN」と「WAN」を選択します。
  6. ファイアウォールルールをこのゾーン内のネットワークに一致させる場合は、「宛先ネットワーク」でネットワークを選択します。それ以外の場合は、「任意」を選択します。
  7. 保存」をクリックします。