推奨の方法
WAN ゾーンから Web 管理コンソール (HTTPS)、CLI コンソール (SSH)、ユーザーポータルへのアクセスを許可しないことを推奨します。
注
ユーザポータルおよび Web 管理コンソールのポートを他のサービスに使用することはできません。
Web 管理コンソール
WAN のすべての送信元から Web 管理コンソールへのアクセスを許可することはできません。アクセス権を付与する必要がある場合は、以下の推奨の方法に従ってください。
-
ローカルサービス ACL の例外ルールを作成し、WAN ゾーンの特定の送信元 IP アドレスからコンソールへのアクセスを許可します。
ファイアウォールでは、あらゆる WAN ソースから Web 管理コンソールへのアクセスを禁止しています。したがって、送信元ネットワークを「任意」に設定したり、送信元 IP アドレスを 0.0.0.0 に設定したりした場合、ルールを作成できません。
-
Sophos Central を使用します。
- リモートアクセスまたはサイト間 VPN を使用します。
- Sophos Transparent Authentication Suite (STAS) などのリモートアクセスクライアントを使用します。
注
以前のバージョンでアクセスを許可している場合、WAN ゾーンからの正常なサインインが 90日間ないと、アクセスがオフになります。これはすべての導入形態に適用されます。ただし、ローカルサービス ACL 例外ルールによって、WAN の特定の IPアドレスおよびネットワークに与えられたアクセスは、影響を受けません。これらのソースは、サインインしていなくても、引き続きアクセスできます。
CLI コンソール
ローカルサービス ACL の例外ルールを作成し、WAN ゾーンの特定の送信元 IP アドレスからコンソールへのアクセスを許可します。
セキュリティをさらに強化するため、以下のいずれかを実行してください。
- 「管理 > デバイスのアクセス」から、公開鍵認証を設定します。
- リモートアクセスまたはサイト間 VPN を使用します。
- Sophos Transparent Authentication Suite (STAS) などのリモートアクセスクライアントを使用します。
ユーザーポータル
外部ネットワークからのアクセスを保護するには、VPN を使用して、以下の推奨の方法に従ってください。
- リモートアクセスまたはサイト間 VPN を使用します。
- Sophos Transparent Authentication Suite (STAS) などのリモートアクセスクライアントを使用します。
ユーザーアカウントに基づき安全なアクセスを実現するには、次の手順を実行します。
- Sophos Firewall に保存されているユーザーアカウントのワンタイムパスワードで多要素認証 (MFA) を使用します。詳細は、多要素認証 (MFA) の設定を参照してください。
- 外部ディレクトリサービスから提供される MFA を使用します。
注
WAN ゾーンからの正常なサインインが 90日間ないと、すべての WAN ソースからユーザーポータルへのアクセスがオフになります。これはすべての導入形態に適用されます。ただし、ローカルサービス ACL 例外ルールによって、WAN の特定の IPアドレスおよびネットワークに与えられたアクセスは、影響を受けません。これらのソースは、サインインしていなくても、引き続きアクセスできます。
SSL VPN ポート
デフォルトでは、すべての管理サービスが一意のポートを使用するように設定されています。SSL VPN は TCP ポート 8443 に設定されています。
警告
「管理 > デバイスのアクセス」にリストされているサービスには、それぞれ、ポートおよびプロトコルの異なる組み合わせを使用することを強くお勧めします。特定のゾーンからあるサービスへのアクセスをオンにすると、そのサービスのポートとプロトコルの組み合わせに対してアクセスが可能になります。そのため、同じポートとプロトコルの組み合わせを使用するサービスがほかにもあった場合、そのサービスへのアクセスをオフに設定したとしても、アクセスが可能になってしまいます。
たとえば、SSL VPN のデフォルトポートを TCP 443 に変更し、WAN からの SSL VPN アクセスを許可するとしましょう。そうすると、WAN から VPN ポータルへのアクセスをオフに設定したとしても、アクセスが可能になります。