ファイアウォールをディスカバーモード (TAP モード) で導入する
ファイアウォールをディスカバーモード (TAP モード) で導入すると、ネットワークスキームに変更を加えずに、ネットワークトラフィックを監視することができます。
はじめに
ここでは、TAP インターフェースを使ってファイアウォールをディスカバーモードで導入し、セキュリティ監査レポート (SAR) をメールで送信するスケジュールを設定する方法について説明します。
ネットワーク図
要件
- ファイアウォールが Microsoft Entra ID、RADIUS、LDAP、Apple Directory、Novell eDirectory などの外部認証サーバーと連係していることを確認してください。そうすることで、セキュリティ監査レポート (SAR) でユーザーごとのデータを取得することができます。
- クラウドで Web の分類、IPS の更新、SAR の生成を行うため、ファイアウォールをインターネットに接続する必要があります。
- SPAN (スイッチポートアナライザ) またはミラーポート設定をサポートするスイッチにファイアウォールを接続する必要があります。
- ファイアウォールに、バインドされていないインターフェースが必要です。
ディスカバーモードでサポートされる機能
| サブスクリプション | 機能 | 利用可否 |
|---|---|---|
| 基本サブスクリプション | IPv6 | |
| ネットワークサービス (ARP、ルーティング、DNS、DHCP) | ||
| ファイアウォール | ||
| DoS 対策 | ||
| スプーフィング対策 | ||
| IPsec VPN | ||
| SSL VPN | ||
| ワイヤレスデバイスのサポート | ||
| 現在のアクティビティ | ||
| トラフィックのアクセスコントロールリスト (ACL) | ||
| QoS | ||
| レポート | ||
| ユーザーID | ||
| ユーザー ID ベースの制御 | (ユーザーベースのポリシーは適用不可) | |
| 冗長化 (HA) | (アクティブ-パッシブ HA のみ対応) | |
| ネットワークプロテクション | IPS 検出 | |
| IPS 制御 | ||
| Sophos X-Ops 脅威フィード | ||
| RED デバイス管理 | ||
| セキュリティハートビート | ||
| アプリケーション同期と制御 | ||
| Web プロテクション | Web 分類 (IPS を使用) | (URL に基づく分類) |
| Web フィルタリング | ||
| アプリケーションの分類 (シグネチャベース) | ||
| マイクロアプリ (HTTPS マイクロアプリ) | ||
| アプリケーションフィルタ | ||
| Web / メールプロテクション | マルウェア対策 | |
| メールプロテクション | メール使用状況 | |
| スパム対策 | ||
| Web サーバープロテクション | WAF | |
| Xsteam Protection バンドル | MDR 脅威フィード |
ファイアウォールに接続、アクセスする
ファイアウォールをスイッチに接続し、ファイアウォールの Web 管理コンソールにアクセスするには、以下の手順に従います。
- ファイアウォールのポート A をネットワークスイッチのポートに接続します。
- ファイアウォールにアクセスするコンピュータの IP アドレスを
172.16.16.2に、サブネットマスクを255.255.255.0に設定します。 - コンピュータで Web ブラウザを開き、
https://172.16.16.16:4444を参照します。 - デフォルトのユーザー名とパスワード (両方とも
admin) を使用して、ファイアウォールの Web 管理コンソールにサインインします。
バインドされていないインターフェースでディスカバーモードを有効にする
注
バインドされていないインターフェースでのみ、ディスカバーモードを有効にできます。
デフォルトでは、ポート A、B、C はそれぞれ LAN、DMZ、WAN ゾーンにバインドされており、それ以外のポートはバインドされていません。ただし、ポート A、B、C をはじめ、任意のポートをいつでも他のゾーンにバインドできます。この例では、ポート D でディスカバーモードを有効にします。
バインドされたインターフェース上でディスカバーモードを有効にするには、バインドを解除する必要があります。インターフェースのバインドを解除するには、「ネットワーク > インターフェース」に移動して、インターフェースを選択し、「ネットワークゾーン」を「なし」に設定します。
注
想定通りの出力を得るために、TAP インターフェースを CPU にバインドすることを推奨します。そのためには、ディスカバーモードの使用を開始する前に、CLI コンソールで bind-with オプションを使用し、ポートアフィニティの設定を変更して、インターフェースを設定してください。
以下の方法でディスカバーモードを有効にできます。
- アシスタント
- CLI
バインドされていないインターフェースでディスカバーモードを有効にするには、以下の手順に従います。
- バインドされていないポート (ポート D) とネットワークスイッチのポート (ポートミラーリングを設定するポート) を接続します。
- 管理用コンピュータから https://172.16.16.16:4444 にアクセスし、デフォルトのユーザー名とパスワード (両方
admin) でサインインします。 - 「クリックして開始」をクリックして、画面の指示に従います。
- 「ネットワークの設定 (LAN)」ページで、「TAP/ディスカバーモードを有効化」をクリックします。
- スイッチのミラーポートに接続するポートを 1つ以上選択します。この例では、ポート D を選択します。
- 「適用」、「続行」の順にクリックして、画面の指示に従います。
バインドされていないインターフェースでディスカバーモードを有効にするには、以下の手順に従います。
- バインドされていないポート (ポート D) とネットワークスイッチのポート (ポートミラーリングを設定するポート) を接続します。
- ファイアウォールのコマンドラインコンソール (CLI) にサインインします。
- 以下のオプションを選択します:
4. Device Console。 -
以下のコマンドを入力して、ポート D のディスカバーモードを有効にします:
console> system discover-mode tap add PortD以下のメッセージが表示されます:
Discover Interface added successfully
ファイアウォールのインターフェースページに、ポート D が TAP インターフェースとして設定されたことが以下のように示されます。
スイッチでポートミラーリングを設定します。詳細は、お使いのスイッチのドキュメントを参照してください。
セキュリティ監査レポートのメール送信スケジュールを設定する
セキュリティ監査レポートのメール送信スケジュールを設定するには、以下の手順に従います。
- 「レポート > レポート設定を表示 > レポートスケジュール」に移動します。
- 「追加」をクリックして、新しいレポートスケジュールを追加します。
- 「セキュリティ監査レポート」を選択し、設定を入力します。
- 「保存」をクリックします。
ファイアウォールのレポートスケジュールページを以下に示します。
追加情報
- ファイアウォールをディスカバーモードで導入した場合、セキュリティポリシーは適用できません。
-
ディスカバーモードは、ゲートウェイモード、混合モード、ブリッジモードと組み合わせて使用できます。ディスカバーモードをこれらのモードと組み合わせる場合は、以下の点に気を付けてください。
- ファイアウォールの TAP インターフェースと LAN ポートを同じスイッチに接続できます。ファイアウォールの TAP インターフェースをスイッチの SPAN ポートに、LAN ポートを別のポートに接続してください。
- TAP インターフェース上のトラフィックにセキュリティポリシーを適用することはできませんが、他のインターフェースには適用できます。
-
Sophos Firewall 仮想デバイスでも、ディスカバーモードを使用できます。
- HTTPS はディスカバーモードではサポートされていません。
- HA クラスタにおけるディスカバーモードの詳細については、ファイアウォールの管理と展開を参照してください。