破棄されたトラフィックをすべてログする方法
「すべてをドロップ」のファイアウォールルールを追加し、破棄されたトラフィックをログに記録しながら、他のサービスを中断しないようにする方法を説明します。
Sophos Firewall には、「すべてをドロップ」するファイアウォールルール (ポリシー ID 0) があらかじめ用意されています。このルールは、常にファイアウォールルールリストの一番下に配置されます。このルールはトラフィックをログに記録しません。したがって、破棄されたトラフィックをログに記録するには、新しいルールを作成する必要があります。
デフォルトの「すべてをドロップ」ルールを以下に示します。
新しい「すべてをドロップ」ルールを作成するには、以下の手順に従います。
- 「ルールとポリシー > ファイアウォールルール」に移動します。プロトコル「IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加」を選択します。「新しいファイアウォールルール」を選択します。
-
次の設定を指定します。
名前 説明 ルール名 名前を入力します。 ルールの位置 ルールテーブル内のルールの位置を指定します。
- 最上位
- 最下位
アクション 破棄: 通知なしでトラフィックを破棄します。ファイアウォールルールで「不明なユーザーに Web 認証を使用する」を選択すると、通知せずに Web トラフィックを破棄するのではなく、ブロックページを表示します。この動作は、すべてのゾーンからのトラフィックに適用されます。 ファイアウォールトラフィックのログ 選択すると、このルールに一致するすべてのトラフィックがログに記録されます。デフォルトでは、ログは Sophos Firewall に保存されます。 送信元ゾーン トラフィックの発信元ゾーンを選択します。 送信元ネットワークとデバイス 送信元ネットワークとデバイスを選択するか、新しいネットワークとデバイスを作成します。 宛先ゾーン トラフィックが終端する宛先ゾーンを選択します。 宛先ネットワーク 宛先ネットワークを選択するか、新しいネットワークを作成します。 サービス サービスを選択するか、新しいサービスを作成します。サービスは、プロトコルとポートの組み合わせです。 注
「任意」ではなく、個々の送信元ゾーン名と宛先ゾーン名を必ず選択してください。ゾーンを選択することで、内部サービスが正常に動作します。
個々の送信元ゾーンと宛先ゾーンを選択している様子を以下に示します。
-
「保存」をクリックします。