Amazon VPC
Amazon Virtual Private Cloud (VPC) とは、仮想ネットワークを通じて Amazon Web Service (AWS) リソースへのアクセスを提供する、クラウド コンピューティング サービスです。Amazon のセキュリティ認証情報または VPC 設定ファイルを使って、接続情報を Sophos Firewall にインポートすることで、Sophos Firewall を Amazon VPC に接続できます。
前提条件
Sophos Firewall を Amazon VPC に接続する前に、Amazon VPC コンソールで AWS サイト間 VPN 接続を設定しておく必要があります。詳細は、AWS サイト間 VPN 接続の設定を参照してください。
注
AWS サイト間 VPN 接続の設定で、「ローカル IPv4 ネットワーク CIDR」と「リモート IPv4 ネットワーク CIDR」を 0.0.0.0/0
にし、BGP ピアリングを確立できるようにします。
注
Sophos Firewall で BGP を設定した場合は、「ルーティング > BGP > グローバル設定」に移動し、「ローカル AS」の値をメモします。AWS の「Create Customer Gateway」ページで、「BGP ASN」にローカル AS の値を入力してください。
Amazon VPC 接続の設定
AWS サイト間 VPN 接続を作成したら、その設定を Sophos Firewall にインポートする必要があります。この操作は 1回だけ行います。AWS サイト間 VPN 接続の設定を変更した場合は、設定を再度インポートしてファイアウォールの接続を更新する必要があります。
Amazon VPC 接続を追加する方法は、以下の 2つがあります。
- セキュリティ認証情報を使用して、AWS から接続をインポートする。
- VPC 設定ファイルから接続をインポートする。
AWS セキュリティ認証情報を使用して Amazon VPC 接続を追加するには、以下の手順に従います。
警告
ダウンロードした設定ファイルはサンプルであり、希望する設定と一致していない可能性があります。別のセキュリティアルゴリズムや、Diffie-Hellman グループ、非公開証明書、IPv6 トラフィックを使用するには、サンプルファイルに変更を加えてください。また、VPC 設定ファイルの tunnel_outside_address の値を、ファイアウォールの WAN インターフェースの IP アドレスに変更してください。
VPC 設定ファイルを使用して Amazon VPC 接続を追加するには、以下の手順に従います。
- Amazon VPC コンソールから、VPN 設定のサンプルファイルをダウンロードします。詳細は、AWS Site-to-Site VPN のサンプル設定ファイルをダウンロードするにはどうすればよいですか?を参照してください。
-
画面に表示される指示に従って、以下の設定を選択し、「Download」をクリックします。
設定 値 ベンダ Sophos プラットフォーム Sophos Firewall ソフトウェア v19+ Ike バージョン ikev1 または ikev2 を選択します 注
スタティックルーティングを使用する場合は、ベンダーに対して「全般」を選択し、VPC 設定ファイルの設定を使用して IPsec プロファイルと接続を手動で設定する必要があります。Sophos Firewall は、ベンダーとして Sophos を選択した場合にのみダイナミックルーティングをサポートします。以下を参照してください。
-
Sophos Firewall にサインインします。
- 「サイト間 VPN > Amazon VPC」に移動します。
- 「VPC 設定ファイルの使用」を選択します。
- 「参照」をクリックします。
- 設定ファイルを選択し、「開く」をクリックします。
-
「インポート」をクリックします。
AWS からインポートした設定に基づき、IPsec プロファイル、BGP 設定、XFRM インターフェースが自動的に作成されます。
次の段階の手順
- 「IPsec プロファイル」をクリックして、VPC 接続用に作成されたカスタムプロファイルを確認します。
- 「ネットワーク > インターフェース」に移動して、VPC 接続用に作成された XFRM インターフェースを確認します。
- 「ルーティング > BGP > ネットワーク」に移動して、「追加」をクリックし、ローカルネットワークのサブネットを追加します。詳細は、BGP ネットワークの追加を参照してください。
- AWS VPC と社内ネットワークリソース間のトラフィックを許可するファイアウォールルールを作成します。詳細は、ファイアウォールルールを追加するを参照してください。
- 「管理 > デバイスのアクセス」に移動し、VPN ゾーンのダイナミックルーティングをオンにします。
Amazon VPC 接続
接続は「Amazon VPC 接続」に表示され、自動的に有効になります。接続について、以下の管理操作を行えます。
- 「追加プロパティの表示」をクリックして、リストに表示したい接続プロパティを選択します。
- 「フィルタ」 をクリックして、接続リストにフィルタを適用できます。
- VPC 接続の有効化、無効化、ステータス確認を行えます。詳細は、接続ステータスを参照してください。
- リストから接続を削除するには、「削除」 をクリックします。接続を選択して「削除」をクリックすることもできます。
詳細情報