コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=web-direct-proxy-ipv6-ipv4-firewall-rules

明示的プロキシを使用した IPv6 と IPv4 間のファイアウォールルール

IPv6 のみのネットワークが IPv4 のみの宛先と通信し、展開が明示モードの場合、ファイアウォールでトラフィックを処理するために IPv6 ルールと IPv4 ルールが必要です。

明示的プロキシモードでは、ユーザーのクライアント (ブラウザ) が Web プロキシに直接要求を送信するように設定されている必要があります。クライアントはプロキシを認識します。

  • IPv6 ルール:内部エンドポイントからファイアウォールへの IPv6 トラフィックを評価し、それを Web プロキシコンポーネントに転送してから、DNS 解決を実行します。

    このルールの Web フィルタリング設定はトラフィックに適用されます。

  • IPv4 ルール:ドメインが IPv4 アドレスのみに解決される場合、Web プロキシは IPv4 ルールを使用してトラフィックを宛先に転送します。

    このルールでは、アプリケーション制御や侵入防御などの他のセキュリティ機能がこのトラフィックに適用されます。

ファイアウォールは、両方のファイアウォールルールの「既知のユーザーの一致」設定を評価します。IPv6 のみのエンドポイントを使用しているユーザーの場合は、IPv6 ファイアウォールルールで設定を指定します。

導入例

この記事では、次のシナリオ例を使用しています。IPv6 のみの LAN ユーザーは、WAN ゾーンにある Web サイト example.com にアクセスしようとします。

明示的なプロキシファイアウォールルールのネットワーク図。

次のルール設定では、設定例を使用しています。

IPv6 ファイアウォールルールの追加

このルールは、内部ネットワークからファイアウォールの WAN インターフェースへのトラフィックを許可します。このルールは、Web フィルタリングとユーザー設定をトラフィックに適用します。

  1. ルールとポリシー > ファイアウォールルール」に移動し、 「IPv6」をクリックします。
  2. ファイアウォールルールの追加」をクリックして、「新しいファイアウォールルール」をクリックします。
  3. 名前を入力します。

  4. 送信元ゾーン」で LAN などのゾーンを選択します。

    DMZ ゾーンまたは VPN ゾーンの送信元ホストの場合は、これらのゾーンまたは「すべて」を選択できます。

  5. 送信元ネットワークとデバイス」で、送信トラフィックを許可する LAN サブネットを選択します。

  6. 宛先ゾーン」で「WAN」を選択します。

    トラフィックを Web プロキシコンポーネントに送信するには、ファイアウォールで WAN としてタグ付けする必要があります。したがって、宛先サーバーが LAN ゾーンまたは DMZ ゾーンにある場合でも、宛先ゾーンを WAN または「すべて」にのみ設定する必要があります。

  7. 宛先ネットワーク」で、サーバーまたは Web サイトの IP または FQDN ホストを選択します (例:example.com)。

    あるいは、「すべて」を選択します。

  8. サービス」で「すべて」を選択します。

    「すべて」ではなく明示的なプロキシポートを選択するには、「Web」 > 「全般設定」の「Web プロキシのリスニングポート」で指定したポートのサービスホストを追加します。デフォルトのポートは TCP 3128 です。

    エンドポイントの OS またはブラウザの設定が、このプロトコルとポートで構成されていることを確認します。

    IPv6 ファイアウォールルールの設定。

  9. (任意) 「既知のユーザーの一致」を選択し、ユーザーまたはグループを追加します。

    IPv6 のみのエンドポイントの場合は、このルールでこれらの設定を選択します。

  10. (任意) 「Web フィルタリング」をクリックし、Web ポリシーを選択します。

  11. 保存」をクリックします。

IPv4 ファイアウォールルールの追加

ファイアウォールから IPv4 宛先へのトラフィックの IPv4 ファイアウォールルールを追加します。このルールは、トラフィックにセキュリティポリシーを適用します。

  1. ルールとポリシー > ファイアウォールルール」に移動し、 「IPv4」をクリックします。
  2. ファイアウォールルールの追加」をクリックして、「新しいファイアウォールルール」をクリックします。
  3. 名前を入力します。
  4. 送信元ゾーン」で「すべて」を選択します。
  5. 送信元ゾーンとデバイス」で「すべて」を選択します。

  6. 宛先ゾーン」で「WAN」を選択します。

    宛先サーバーの場所に基づいて任意のゾーンを選択できます。

  7. 宛先ネットワーク」で、宛先サーバーの IPv4 ホストまたはドメインを選択します (例:example.com)。

    あるいは、「すべて」を選択します。

  8. サービス」で、宛先サーバーのサービスを選択します (例:HTTPHTTPS)。

    あるいは、「すべて」を選択します。

    IPv4 ファイアウォールルールの設定。

  9. (任意) 「その他のセキュリティ機能」で次のポリシーを選択します。

    1. アプリ制御」ポリシーを選択します。
    2. 侵入防御」ポリシーを選択します。
    3. トラフィックのシェーピング」で、トラフィックシェーピングポリシーを選択します。

  10. 保存」をクリックします。

その他のリソース