コンテンツにスキップ

Amazon VPC

Amazon Virtual Private Cloud (VPC) とは、仮想ネットワークを通じて Amazon Web Service (AWS) リソースへのアクセスを提供する、クラウド コンピューティング サービスです。Amazon のセキュリティ認証情報または VPC 設定ファイルを使って、接続情報を Sophos Firewall にインポートすることで、Sophos Firewall を Amazon VPC に接続できます。

前提条件

Sophos Firewall を Amazon VPC に接続する前に、Amazon VPC コンソールで AWS サイト間 VPN 接続を設定しておく必要があります。詳細は、AWS サイト間 VPN 接続の設定を参照してください。

AWS サイト間 VPN 接続の設定で、「ローカル IPv4 ネットワーク CIDR」と「リモート IPv4 ネットワーク CIDR」を 0.0.0.0/0 にし、BGP ピアリングを確立できるようにします。

Sophos Firewall で BGP を設定した場合は、「ルーティング > BGP > グローバル設定」に移動し、「ローカル AS」の値をメモします。AWS の「Create Customer Gateway」ページで、「BGP ASN」にローカル AS の値を入力してください。

Amazon VPC 接続の設定

AWS サイト間 VPN 接続を作成したら、その設定を Sophos Firewall にインポートする必要があります。この操作は 1回だけ行います。AWS サイト間 VPN 接続の設定を変更した場合は、設定を再度インポートしてファイアウォールの接続を更新する必要があります。

Amazon VPC 接続を追加する方法は、以下の 2つがあります。

  • セキュリティ認証情報を使用して、AWS から接続をインポートする。
  • VPC 設定ファイルから接続をインポートする。

AWS セキュリティ認証情報を使用して Amazon VPC 接続を追加するには、以下の手順に従います。

  1. サイト間 VPN > Amazon VPC」に移動します。
  2. AWS セキュリティ認証情報の使用」を選択します。

    AWS サイト間 VPN の設定へのアクセス権をもつ AWS IAM (Identity and Access Management) ユーザーの認証情報を使用してください。

  3. アクセスキーとシークレットキーを入力します。

  4. インポート」をクリックします。

    AWS セキュリティ認証情報の使用。

警告

ダウンロードした設定ファイルはサンプルであり、希望する設定と一致していない可能性があります。別のセキュリティアルゴリズムや、Diffie-Hellman グループ、非公開証明書、IPv6 トラフィックを使用するには、サンプルファイルに変更を加えてください。また、VPC 設定ファイルの tunnel_outside_address の値を、ファイアウォールの WAN インターフェースの IP アドレスに変更してください。

VPC 設定ファイルを使用して Amazon VPC 接続を追加するには、以下の手順に従います。

  1. Amazon VPC コンソールから、VPN 設定のサンプルファイルをダウンロードします。詳細は、AWS Site-to-Site VPN のサンプル設定ファイルをダウンロードするにはどうすればよいですか?を参照してください。
  2. 画面に表示される指示に従って、以下の設定を選択し、「Download」をクリックします。

    設定
    ベンダ Sophos
    プラットフォーム Sophos Firewall
    ソフトウェア v19+
    Ike バージョン ikev1 または ikev2 を選択します

    ダウンロードをクリックします。

    スタティックルーティングを使用する場合は、ベンダーに対して「全般」を選択し、VPC 設定ファイルの設定を使用して IPsec プロファイルと接続を手動で設定する必要があります。Sophos Firewall は、ベンダーとして Sophos を選択した場合にのみダイナミックルーティングをサポートします。以下を参照してください。

  3. Sophos Firewall にサインインします。

  4. サイト間 VPN > Amazon VPC」に移動します。
  5. VPC 設定ファイルの使用」を選択します。
  6. 参照」をクリックします。
  7. 設定ファイルを選択し、「開く」をクリックします。
  8. インポート」をクリックします。

    VPC 設定ファイルの使用。

AWS からインポートした設定に基づき、IPsec プロファイル、BGP 設定、XFRM インターフェースが自動的に作成されます。

次の段階の手順

  • IPsec プロファイル」をクリックして、VPC 接続用に作成されたカスタムプロファイルを確認します。
  • ネットワーク > インターフェース」に移動して、VPC 接続用に作成された XFRM インターフェースを確認します。
  • ルーティング > BGP > ネットワーク」に移動して、「追加」をクリックし、ローカルネットワークのサブネットを追加します。詳細は、BGP ネットワークの追加を参照してください。
  • AWS VPC と社内ネットワークリソース間のトラフィックを許可するファイアウォールルールを作成します。詳細は、ファイアウォールルールを追加するを参照してください。
  • 管理 > デバイスのアクセス」に移動し、VPN ゾーンのダイナミックルーティングをオンにします。

Amazon VPC 接続

接続は「Amazon VPC 接続」に表示され、自動的に有効になります。接続について、以下の管理操作を行えます。

  • 追加プロパティの表示」をクリックして、リストに表示したい接続プロパティを選択します。
  • 「フィルタ」 「フィルタ表示」ボタン。 をクリックして、接続リストにフィルタを適用できます。
  • VPC 接続の有効化、無効化、ステータス確認を行えます。詳細は、接続ステータスを参照してください。
  • リストから接続を削除するには、「削除」 「削除」ボタン。 をクリックします。接続を選択して「削除」をクリックすることもできます。

Amazon VPC 接続。

詳細情報