コンテンツにスキップ

ファイアウォールルールの追加

ゾーンとネットワーク間のトラフィックフローを許可または禁止し、セキュリティポリシーとアクションを適用するファイアウォールルールを作成します。

IPv4 または IPv6 ネットワークのルールを作成します。一定期間の一致基準 (送信元、宛先、サービス、ユーザーなど) を指定します。適用するポリシーとスキャンアクションを選択します。Synchronized Security エンドポイントとサーバーに適用するアクションを選択します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。プロトコル「IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加」を選択します。「新しいファイアウォールルール」を選択します。
  2. ルールは、デフォルトで有効に設定されます。一致条件を適用しない場合は、ルールをオフにできます。
  3. 基本的な情報を入力します。

    名前 説明
    ルール名 名前を入力します。
    ルールの位置

    ルールテーブル内のルールの位置を指定します。

    • 最上位
    • 最下位
    一致するルールが見つかるまで、上から下に向かってルールが評価されます。一致するルートが見つかると、後続のルートは評価されません。ルールテーブル内のルールの順番は、変更できます。
    ルールグループ ルールグループを選択するか、作成します。ファイアウォールルールはこのグループに属します。

    自動」を選択すると、ルールの種類、送信元ゾーン、宛先ソーンが一致する最初の既存のグループに、ルールが追加されます。
    アクション

    アクションを選択します。

    • 許可: トラフィックを許可します。
    • 破棄: 通知なしでトラフィックを破棄します。ファイアウォールルールで「不明なユーザーに Web 認証を使用する」を選択すると、通知せずに Web トラフィックを破棄するのではなく、ブロックページを表示します。この動作は、すべてのゾーンからのトラフィックに適用されます。
    • 拒否: トラフィックを破棄し、UDP および ICMP トラフィックの送信元に ICMP port unreachable メッセージを送信します。TCP トラフィックの場合は、送信元に TCP reset メッセージを送信します。
    • Web サーバープロテクションで保護する: これを選択し、Web アプリケーショントラフィックを制御する Web サーバープロテクション (WAF) の詳細を指定します。
    事前設定済みのテンプレート

    Web サーバー保護を選択した場合は、適用するテンプレートを選択します。

    • なし: Web サーバープロテクションの詳細を指定します。
    • Exchange Autodiscover
    • Exchange Outlook Anywhere
    • Exchange General
    • Microsoft Lync
    • Microsoft Remote Desktop Gateway 2008 and R2
    • Microsoft Remote Desktop Web 2008 and R2
    • Microsoft Sharepoint 2010 and 2013
    ファイアウォールトラフィックのログ

    このルールに一致するすべてのトラフィックをログに記録する場合に選択します。

    デフォルトでは、ログは Sophos Firewall に保存されます。syslog サーバーを追加してサーバーにログを保存するには、 「システムサービス > ログ設定」に移動します。

    ログとレポートデータを生成するには、このオプションを選択します。

    :「破棄」イベントを受けて接続が終了した場合、ログにセッションが記録されます。インターネット接続の切断など、「破棄」イベントなしで接続が終了した場合は、ログにセッションは記録されません。

    ファイアウォールルールが自動的に作成された後、または手動で作成された後にルールの位置を確認し、目的のルールがトラフィックの基準に一致することを確認します。

    メール MTA、IPsec 接続、ホットスポットなどの自動作成されたファイアウォールルールは、ファイアウォールルールリストの一番上に配置され、最初に評価されます。その後、新しいファイアウォールルールを作成して「ルールの位置」を「最上位」に設定すると、そのルールが一番上になります。新しいルールと既存のルールに同じような条件が指定されている場合、一番上のルールのポリシーとアクションが適用されることにより、メールが配信されなかったり、トンネルが確立されないなど、想定外の結果につながる可能性があります。

  4. ソース一致条件を選択します。

    名前 説明
    送信元ゾーン トラフィックの発信元ゾーンを選択します。
    送信元ネットワークとデバイス 送信元ネットワークとデバイスを選択するか、新しいネットワークとデバイスを作成します。
    スケジュールされた時間内 スケジュールを選択するか、スケジュールを作成します。Sophos Firewall は選択した期間および曜日のルール条件に一致します。
  5. 宛先とサービスの条件を入力します。

    名前 説明
    宛先ゾーン トラフィックが終端する宛先ゾーンを選択します。
    宛先ネットワーク 宛先ネットワークを選択するか、新しいネットワークを作成します。
    サービス サービスを選択するか、新しいサービスを作成します。サービスは、プロトコルとポートの組み合わせです。
  6. ユーザー ID 基準を指定します。

    名前 説明
    既知のユーザーを一致 一致基準としてユーザー ID を追加する場合に選択します。
    不明なユーザーに Web 認証を使用する Web にアクセスしようとする未知のユーザーを認証する場合に選択します。エンドポイントデバイスにサインインしたが、認証されていないユーザーです。

    Web 認証の設定を指定するには、「認証 > Web 認証」に移動します。AD SSO (Kerberos および NTLM) またはキャプティブポータル認証を指定できます。

    ゾーンから AD SSO およびキャプティブポータルへのアクセスを許可するには、「管理 > デバイスのアクセス」に移動します。
    ユーザーやグループ ユーザーとグループを選択。このルールは、指定されたユーザーおよびグループから発信されたトラフィックのみに適用されます。
    データ利用通信量の計算からこのユーザーアクティビティを除外 指定したユーザーのトラフィックをデータアカウンティングから除外する場合に選択します。

    デフォルトで Sophos Firewall は、ルール条件に一致するトラフィックを個々のユーザーのデータ転送に追加します。

    指定したユーザーにデータ使用量の制限を設定しない場合は、このオプションを使用します。
  7. 除外をルールに追加する場合には、「除外の追加」を選択します。Sophos Firewall は、次のオブジェクトの指定された条件に一致しません:

    • 送信元ゾーン
    • 送信元ネットワークとデバイス
    • 宛先ゾーン
    • 宛先ネットワーク
    • サービス
  8. このルールの送信元ネットワークおよびデバイスにアドレス変換を強制する場合には、「リンク NAT ルールの作成」を選択します。

    リンクされた NAT ルールは送信元 NAT ルールであり、NAT ルールテーブルにリストされます。ファイアウォールルール ID と名前で識別できます。

    リンクされた NAT ルールで変更できるのは、変換された送信元と送信インターフェース固有の送信元変換だけです。それ以外については、リンク先のファイアウォールルールの条件 (ユーザーおよびグループを含む) が適用されます。

    警告

    リンクされた NAT ルールは、リンク先のファイアウォールルールによって定義されたトラフィックのみに適用されます。ただし、リンクされた NAT ルールの上に配置された NAT ルールの基準がトラフィックと一致する場合は、以前のルールが適用されます。Sophos Firewall は、一致するルールを見つけると、後続のルールは評価しません。

  9. Web フィルタリング」選択して設定を行います。

    Web ポリシー、マルウェアおよびコンテンツスキャン、およびフィルタリング設定を選択します。

    マルウェアスキャンとコンテンツスキャン: 「Web > 全般設定」で指定した設定が適用されます。

    フィルタリング: 共通の Web ポートを介して Web トラフィックをフィルタリングする設定を選択します。Web プロキシフィルタリングを選択する場合は、最初に Web ポリシーまたはマルウェアを選択し、HTTP および復号化された HTTPS のコンテンツスキャンを選択する必要があります。

    Sophos Firewall Dropbox や Gmail 添付ファイルのアップロードやダウンロードなどのマイクロアプリケーションを、URL に基づいて識別します。ファイアウォールルールでこれらのマイクロアプリケーションのアプリケーションフィルタポリシーを指定し、一致する SSL/TLS インスペクションルールを復号化に設定すると、DPI エンジンは復号化された URL に基づいてマイクロアプリケーションを識別します。これは、「Web ポリシー」を「なし」に設定し、マルウェアスキャンと高度な脅威対策をオフにした場合でも適用されます。Sophos Firewall は、アプリケーションフィルタポリシーで指定されたアクションを実行します。

    Web > 例外」で指定した例外については、復号化、マルウェアスキャンとコンテンツスキャン、ゼロデイ対策分析、ポリシーチェックが省略されます。例外は DPI モードとプロキシモードの両方に適用されます。ただし、DPI モードでは、Web ポリシー (例外を含む) は、次のいずれかが真である場合にのみ適用されます。

    • Web ポリシーが設定されている。
    • マルウェアスキャンとコンテンツスキャンがオンになっている。
    • ATP がオンになっている。

    IP アドレスのないブリッジインターフェースに Web プロキシフィルタリングを設定すると、トラフィックは破棄されます。

    名前 説明
    Web ポリシー Web ポリシーを選択するか、作成します。
    Web カテゴリベースのトラフィックシェーピングの適用 選択すると、ポリシー内の Web カテゴリに指定された帯域幅設定が適用されます。
    QUIC プロトコルのブロック ルールの基準に一致するトラフィックのポート 80 および 443 への発信 UDP パケットをドロップすることにより、QUIC プロトコルをブロックします。Web ポリシーを選択するか、HTTP および復号化された HTTPS のスキャンをオンにすると、デフォルトで選択されます。

    Chrome では、デフォルトでプロトコルを使用して Google サービスとのセッションを確立します。QUIC トラフィックはスキャンできず、Web フィルタリングをバイパスします。
    HTTP および復号化した HTTPS をスキャン Web トラフィックにマルウェアがないかスキャンする場合に選択します。

    このオプションでは、HTTPS 復号化はオンになりません。HTTPS トラフィックがスキャン用に復号化されるようにするには、DPI モードで「SSL/TLS インスペクションルール」を使用するか、「Web プロキシでのフィルタリング中に HTTPS を復号化する」を選択します。
    ゼロデイ対策の使用 HTTP または HTTPS でダウンロードしたファイルをゼロデイ対策分析に送信します (HTTP および復号化 HTTPS のスキャンを選択した場合)。ゼロデイ対策は、まだ公開されていない未知の脅威からネットワークを保護します。
    FTP のマルウェアをスキャン FTP トラフィックにマルウェアがないかスキャンする場合に選択します。
    DPI エンジンではなく Web プロキシを使用する ポート 80 (HTTP) および 443 (HTTPS) のトラフィックのみを Web プロキシを使用してフィルタリングする場合に選択します。その他のポートの HTTP および SSL/TLS トラフィックは、引き続き DPI エンジンによってフィルタリングされます。プロキシモードは、SafeSearch と YouTube の制限を適用する、Google アプリ (Gmail、ドライブなど) へのサインインを特定のドメインアカウントに制限する、ファーミング対策と Web コンテンツキャッシングをオンにする、および親プロキシに接続する場合に必要です。

    DPI エンジンを Web フィルタリングに使用するには、このチェックボックスをオフにします。この場合、DPI エンジンによって全ポートの HTTP および SSL/TLS トラフィックがフィルタリングされます。この設定で、Sophos Firewall は直接モードを使用します。SSL/TLS インスペクションルールを適用して、ルール一致基準と復号化プロファイルに基づいて、暗号化されたトラフィックを代行受信、復号化、および検査します。

    SSL/TLS インスペクションルールを有効にして作成するには、「ルールとポリシー > SSL/TLS インスペクションルール」に移動します。
    Web プロキシでのフィルタリング中に HTTPS を復号化する このオプションをオンにすると、直接プロキシモードで HTTPS トラフィックも復号化されます。

    ヒント

    ファイアウォールルールに Web プロキシフィルタリングを含めて、あらかじめ設定されている FQDN ホストグループを指定することによって、セーフサーチを適用したり、YouTube の使用や Google Workspace アプリケーションへのサインインを制限することができます。このファイアウォールルールを作成するには、このページにリンクされている学習コンテンツを参照してください。

    ダイレクトプロキシモードは、「DPI エンジンではなく Web プロキシを使用する」を選択しなくても使用できます。直接プロキシモードを使用するには、クライアントのプロキシ設定で Sophos Firewall を使用するように設定する必要があります。Sophos Firewall を直接 Web プロキシとして使用する方法について詳しくは、「Web > 全般設定」で「Web プロキシ設定」に移動して確認してください。

  10. ハートビートを設定するには、「Synchronized Security ハートビート」を選択します。これらのコントロールを指定すると、Sophos Firewall を介してネットワーク内のエンドポイントデバイスおよびサーバーを保護できます。

    Synchronized Security が設定されたエンドポイントデバイスおよびサービスは、ハートビートを一定間隔で Sophos Firewall に送信し、セキュリティ状態を伝えます。

    名前 説明
    送信元ハートビートの最小値 トラフィックの発信元デバイスが維持する必要がある最小ヘルスステータスを選択します。デバイスが最小ハートビートを送信しない場合、そのデバイスのユーザーはこのルールで定義されているアクセス権を受け取りません。

    緑色: このヘルスステータスを送信するエンドポイントだけがアクセスできます。

    黄色: 緑色または黄色のセキュリティステータスを送信するエンドポイントだけがアクセスできます。

    制限なし: ハートビートを送信していないエンドポイントや、赤色のステータスを送信しているエンドポイントを含め、すべてのエンドポイントがアクセスできます。
    ハートビートがないクライアントをブロック ハートビートを送信しないデバイスをブロックする場合に選択します。
    宛先ハートビートの最小値 デバイスがトラフィックを受信するために維持する必要がある最小ヘルスステータスを選択します。デバイスが最小ハートビートを送信しない場合、そのデバイスのユーザーはこのルールで定義されているアクセス権を受け取りません。

    緑色: このヘルスステータスを送信するエンドポイントだけがアクセスできます。

    黄色: 緑色または黄色のセキュリティステータスを送信するエンドポイントだけがアクセスできます。

    制限なし: ハートビートを送信していないエンドポイントや、赤色のステータスを送信しているエンドポイントを含め、すべてのエンドポイントがアクセスできます。

    宛先ハートビート制御は、 WAN ゾーンではなく、内部ネットワーク内のデバイスに適用できます。
    ハートビートがない宛先へのリクエストをブロック ハートビートを送信しないデバイスをブロックする場合に選択します。

    ハートビートがないクライアントをブロック」を選択し、「Web > 例外」でポリシーチェックに Web 例外を追加した場合、Web 要求はブロックされません。

  11. その他のセキュリティ機能の設定を選択します。新しいアプリケーション制御、IPS、およびトラフィックシェーピングポリシーを選択または作成できます。

    名前 説明
    アプリケーションの特定・制御 (アプリケーションコントロール) アプリケーションフィルタポリシーを選択します。
    アプリケーションベースのトラフィックシェーピングポリシーの適用 選択すると、アプリケーションカテゴリ内のアプリケーションに指定された帯域幅設定が適用されます。
    エクスプロイトの検出・防止 (IPS) IPS ポリシーを選択します。
    トラフィックシェーピング 帯域幅の保証または制限を適用するトラフィックシェーピングポリシーを選択します。

    「既存のユーザーを一致」を選択した場合、指定したユーザーのトラフィックシェーピングポリシーが適用されます。ユーザーポリシーがない場合は、グループポリシーが適用されます。
    DSCP マーキング

    DSCP マーキングを選択して、パケットの優先順位を指定します。詳しくは、DSCP 値を参照してください。

    • Expedited forwarding (EF: 完全優先転送): 遅延やパケットロスが抑制される優先度付きキュー。リアルタイムサービスに適しています。
    • Assured forwarding (AF: 相対的優先転送): 優先度に応じて混雑した場合にはパケットが破棄されます。ベストエフォートよりも高い優先度がパケットに付けられます。
    • クラスセレクタ (CS): ToS (Type of Service) に転送の優先度 (IP Precedence) を使用するネットワークデバイスと下位互換性があります。
  12. メールコンテンツをスキャンするには、IMAP、IMAPS、POP3、POP3S、SMTP、および SMTPS のプロトコルを選択します。

    ここでプロトコルを選択し、このルールで標準ポートを「サービス」に追加していない場合は、「ポートの追加」を選択します。選択したプロトコルの標準ポートがサービスに追加されます。

  13. 保存」をクリックします。

その他のリソース