コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=CLI-set-advanced-firewall

advanced-firewall

advanced-firewall コマンドを使って、検査対象のトラフィック、プロトコルタイムアウト値、トラフィックフラグメンテーションなど、ファイアウォール関連のさまざまなパラメータや設定を指定できます。

Command

set advanced-firewall

show advanced-firewall

構文

set advanced-firewall
bypass-stateful-firewall-config [add|del] [dest_host|dest_network] {<IP アドレス>|<ネットワーク IP アドレス>| <ネットマスク>} [source_host|source_network] {<IP アドレス>|<ネットワーク IP アドレス>|<ネットマスク>}
restrict-admin-console-wan-access [enable|disable]
icmp-error-message [allow|deny]
tcp-selective-acknowledgement [on|off]
tcp-window-scaling [on|off]
fragmented-traffic [allow|deny]
ipv6-unknown-extension-header [allow|deny]
strict-policy [on|off]
tcp-est-idle-timeout <2700-432000>
tcp-seq-checking [on|off]
udp-timeout <30-3600>
udp-timeout-stream <30-3600>
ftpbounce-prevention [control|data]
midstream-connection-pickup [on|off]
sys-traffic-nat [add|delete] [destination] {<宛先 IP アドレス>} [interface] {<インターフェース>} [netmask] {<ネットマスク>} [snatip] {<SNAT IP アドレス>}
tcp-frto [on|off]
tcp-timestamp [on|off]
ipv6-ready-logo-compliance [on|off]

備考

bypass-stateful-firewall-config [add|del] [dest_host|dest_network] {<IP address>|<network IP address>| <netmask>} [source_host|source_network] {<IP address>|<network IP address>|<netmask>}

: ファイアウォールを通過する際に問題が発生したトラフィックをバイパスします (通常は、トラフィックの特性やプロトコルに起因する問題です)。個々のホストまたはネットワーク全体をバイパスできます。

バイパスできるホストやネットワークの数に制限はありません。

??? example "例"

    送信方向のトラフィックをバイパスするために、受信および送信方向の両方のトラフィックのバイパスルールを設定する必要があります。これにより、接続全体が検査を回避できるようになります。

    `set advanced-firewall bypass-stateful-firewall-config add dest_host 192.0.2.2`

    `set advanced-firewall bypass-stateful-firewall-config add source_host 198.51.100.2`

restrict-admin-console-wan-access [enable|disable]

: WAN 送信元からの Web 管理コンソールへのアクセスを許可するか、拒否します。

`enable` を入力すると、すべての WAN 送信元からアクセスできなくなります。これにより、より高いセキュリティレベルが保証されます。[](../../../AdministratorHelp/Administration/DeviceAccess/DeviceAccessBestPractices.md) を参照してください。

Default: `enable`

icmp-error-message [allow|deny]

: ICMP エラーパケット (ネットワーク、ホスト、到達できないポート、不明な宛先ネットワークやホストなどの情報を含む) を許可または拒否します。

Default: `allow`

tcp-selective-acknowledgement [on|off]

: TCP 選択的確認応答 (SACK) をオンまたはオフにします。SACK を使えば、受信側が送信側に対して特定の受信セグメントについて通知することを許可できます。送信側は TCP ウィンドウ全体ではなく、損失セグメントや順序が乱れたセグメントのみを再送信できるため、効率的な再送信が可能となります。

不要な再送信を回避し、遅延を減らすとともにスループットを向上でき、信頼性の高いデータ転送を実現できます。

Default: `on`

tcp-window-scaling [on|off]

: TCP ウィンドウの拡縮をオンまたはオフにします。ウィンドウの拡縮を使用すると、従来の 16 ビット制限 (64 KB) を超えて、広帯域ネットワークをサポートするように TCP ウィンドウサイズを拡張できます。ウィンドウサイズを拡張することで、単一の TCP 接続でより大きなデータ転送が可能となり、スループットが向上して遅延が低減されます。

ネットワーク容量に基づいてウィンドウサイズを動的に調整することで、輻輳を回避し、データ転送を最適化して、フローを適切に制御することが可能となります。[RFC1232](https://tools.ietf.org/html/rfc1323) を参照してください。

Default: `on`

fragmented-traffic [allow|deny]

: 断片化されたトラフィックを許可または拒否します。IP フラグメンテーションは、IP データグラムをより小さなパケットに分割してから、受信側で送信して再構築するプロセスです。RFC4459 セクション 3.1 をご覧ください。

Default: `allow`

ipv6-unknown-extension-header [allow|deny]

: 拡張ヘッダーが不明である IPv6 パケットを許可またはドロップします。

Default: `deny`

strict-policy [on|off]

: 厳密なポリシーをオンまたはオフにします。厳密なポリシーを適用すると、デバイスにおいて特定のトラフィックや IP ベースの攻撃がドロップされます。

Default: `on`

tcp-est-idle-timeout <2700-432000>

: 確立された TCP 接続のアイドルタイムアウト値を秒単位で設定します。

範囲:2700~432000

tcp-seq-checking [on|off]

: この設定をオンまたはオフにします。すべての TCP パケットには、シーケンス番号 (SYN) と受信確認番号 (ACK) が含まれます。Sophos Firewall は、特定のウィンドウ内の SYN および ACK 番号を監視して、パケットがセッションの一部であることを確認します。しかし、特定のアプリケーションやサードパーティベンダーはパケットの有効性を検証するため、またはその他の理由で、RFC 以外の方法を使用するため、サーバーが無効なシーケンス番号を持つパケットを送信し、受信確認を期待する可能性があります。このため、tcp-seq-checking をオフにすることを検討してください。

Default: `on`

udp-timeout <30-3600>

: まだ確立されていない UDP 接続のタイムアウト値を秒単位で設定します。

範囲:30~3600

udp-timeout-stream <30-3600>

: UDP ストリーム接続のタイムアウト値を秒単位で設定します。UDP ストリームは、2 つのクライアントが特定のポート上で相互に、ネットワークセグメント間で UDP トラフィックを送信すると確立されます。(例:LAN から WAN。)

範囲:30~3600

ftpbounce-prevention [control|data]

: FTP 制御およびデータ接続に対する FTP バウンス攻撃を防止します。送信者が、自身の IP アドレスではなく、サードパーティの IP アドレスを使用して PORT コマンドを FTP サーバーに送信すると、FTP バウンス攻撃と見なされます。

Default: `control`

midstream-connection-pickup [on|off]

: TCP 接続のミッドストリームピックアップをオンまたはオフにします。オンにすると、Sophos Firewall をライブネットワークのブリッジとして導入するときに、サービスの切断を回避できます。また、これは、ネットワークの設計や設定が独自のものである場合に、ネットワーク動作を処理する際にも使用できます。たとえば、非定型ルーティング設定は、ICMP リダイレクトメッセージにつながります。Sophos Firewall はデフォルトで、どちらの導入モードでも、追跡対象外 (ミッドストリームセッション) の TCP 接続をすべてドロップします。

Default: `off`

sys-traffic-nat [add|delete] [destination] {<destination IP address>} [interface] {<interface>} [netmask] {<netmask>} [snatip] {<snat IP address>}

: NAT を使って、ファイアウォール生成トラフィックのインターフェースの IP アドレスを非表示にしたり、指定の宛先に向けたトラフィックの変換後 IP アドレスを変更したりします。

!!! note "注"

    このコマンドでは、[destination] {<宛先 IP アドレス>} と [snatip] {<SNAT IP アドレス>} パラメータは必須です。

??? example "例"

    `set advanced-firewall sys-traffic-nat add destination 172.16.16.5 snatip 192.168.2.1`

tcp-frto [on|off]

: 転送 RTO リカバリ (F-RTO) をオンまたはオフにします。F-RTO は、TCP 再送信タイムアウトのための強化リカバリアルゴリズムです。これは、パケット損失が通常、中間ルータの輻輳ではなくランダムな無線干渉によって発生するという、ワイヤレス環境で特に有益です。F-RTO の編集は送信側でのみ行います。ピアからのサポートは不要です。

Default: `off`

tcp-timestamp [on|off]

: TCP のタイムスタンプをオンまたはオフにします。TCP のタイムスタンプを使うと、転送 RTO リカバリ方式よりも正確にラウンドトリップ測定を行えます。

Default: `off`

ipv6-ready-logo-compliance [on|off]

: IPv6 Ready ロゴのコンプライアンスの有効・無効を切り替えます。IPv6 Ready ロゴは、IPv6 が動作し、すぐに使用できることをテストするプログラムです。オンにすると、IPv6 のロゴテストをパスできるようになります。

Default: `off`

show advanced-firewall

: 現在設定されているファイアウォールの詳細パラメータを表示します。