Sophos Firewall を Amazon Web Services (AWS) に導入する方法
Sophos Firewall は、Amazon EC2 インスタンス上で仮想セキュリティアプライアンスとして動作し、Amazon Virtual Private Cloud (VPC) にインラインで組み込まれ、送受信トラフィックをスキャンします。
なお、ここで提供する情報は、現時点で確認できているものであり、内容を保証するものではありません。各自の AWS 環境についてサポートが必要な場合は、ソフォス プロフェッショナル サービスまでお問い合わせください。
-
AWS Marketplace のソフォス製品のページにアクセスし、使用したい製品を選択します。
Sophos Firewall は、BYOL または PAYG ライセンスで提供されており、スタンドアロンで導入できます。どちらのライセンスでも無償評価版を利用することが可能です。
-
ソフトウェアのサブスクリプションを開始するには、「Continue to Subscribe」をクリックします。
-
「Continue to Configuration」をクリックします。
-
設定を選択します。「Fulfillment Option」の「CloudFormation Template」を選択します。
-
AWS のリージョンを選択します。
-
「Launch」をクリックすると、「AWS CloudFormation コンソール」に移動します。
-
「Create stack」ページで「Next」をクリックします。
CloudFormation テンプレートを使用すると、AWS アカウントへの Sophos Firewall 導入をすばやく簡単に行うことができます。
以下のスクリーンショットは、AWS Marketplace のリスティングページから AWS CloudFormation コンソールに移動し、選択したリージョンでスタック作成が開始されるところです。
-
「Specify stack details」ページで、「Stack name」に名前を入力します。
既存の Virtual Private Cloud (VPC) を使用する場合は、デフォルトのパラメータを変更しないでください。新しい VPC を作成する場合は、AMI ID、EC2 Instance size、Public Subnet Availability Zone、Network Prefix のデフォルトのパラメータに適宜変更を加えます。
-
Sophos Firewall の管理に使用する Trusted Network CIDR など、必須パラメータを入力し、料金形態 (BYOL または PAYG) を選択し、Sophos Firewall へのシェルアクセスに使用する SSH キーを入力します。
-
既存の VPC に導入する場合は、VPC ID、既存のパブリックサブネット ID、既存のプライベートサブネット ID を入力し、新しい EIP (Elastic IP) アドレスを作成するか、または既存の EIP アドレスを使用するかを選択します。
-
「次へ」をクリックします。
-
「Next」をクリックし、「Create Stack」をクリックします。
スタックの作成には、通常 5~10分ほどかかります。スタックの作成が完了すると、ステータスが CREATE_COMPLETE に変わります。「Outputs」タブに、Sophos Firewall に割り当てられた EIP アドレスが表示されます。スタックの作成後、EC2 インスタンスの起動が完了するまでに多少時間がかかる場合があります。EC2 コンソールで EC2 インスタンスのステータスを確認できます。EC2 インスタンスの物理 ID などの詳細は、「Resources」タブで確認できます。
-
EC2 インスタンスの実行が開始したら、割り当てられたパブリック IP アドレスをコピーし、HTTPS と Web 管理ポートも含めて以下のように指定し、初期設定を開始します。
https://PublicIPAddress:4444
デフォルトでは、Sophos Firewall はローカル署名された証明書を使用し、ブラウザに警告メッセージを表示します。この警告メッセージの後に、「Sophos Firewall へようこそ」ページが表示されます。
-
画面の一番下の「クリックして開始」をクリックします。
その後、基本設定の入力画面が表示されます。
-
Sophos Firewall へのサインインに使用するデフォルトの「admin」アカウントのパスワードを設定します。
-
ファイアウォール名を指定し、タイムゾーンを選択します。
-
以下のいずれかの方法で、Sophos Firewall を登録します。
- 既存の Sophos Firewall のシリアル番号を入力します。
- 30日間の無償評価版を開始します (Sophos Firewall のシリアル番号が自動生成されます)。
- 既存の UTM 9 ライセンスを移行します。
評価版を開始した場合は、Sophos Firewall のライセンスポータルが開き、新しいシリアル番号が生成されます。
-
次のいずれかの手順を実行してください。
- 詳細設定に進む場合は、「続行」をクリックします。
- それ以外の場合は、「スキップして完了」をクリックします。
警告
デフォルトでは、AWS で実行されているファイアウォールでは、管理アクセス (Web 管理コンソールアクセスと SSH アクセス) のみがオンになっています。AWS セキュリティグループルールを使用して、異なる場所からファイアウォールへのアクセスを許可するか、SSL VPN、IPsec、RED、ユーザーポータル、WAF などの他のファイアウォールサービスにアクセスする必要があります。たとえば、AWS のファイアウォールと RED トンネルを確立するには、AWS セキュリティグループにポート 3410 を追加します。
その他のリソース
- Sophos Firewall HA (active-passive) deployment with Amazon Transit Gateway (TGW) in AWS (AWS Transit Gateway を使用して Sophos Firewall HA (アクティブ-パッシブ) を導入する)
- Sophos Firewall HA (active-active) deployment with Amazon Transit Gateway (TGW) in AWS (AWS Transit Gateway を使用して Sophos Firewall HA (アクティブ-アクティブ) を導入する)
- Sophos Firewall: AWS への導入
- Sophos NSG CloudFormation テンプレート