1 - PDF 無料ダウンロード

簡単にできる Sophos UTM 9 評価導入手順書 ( ブリッジモード ) ( 初期設定 ~インターネット接続まで ) 第 1.2 版本ドキュメントに関する注意事項このドキュメントは一般的な評価環境を簡単なステップで構築するための補助資料です導入に際して必要な全てのトピックについての網羅的な解説は意図しておりません個々のトピックについての詳細は弊社 Web に公開されております製品マニュアルおよびレッジベース記事をご確認頂くようお願い致します尚弊社テクニカルサポートでは本ドキュメントについてサポートはいたしません本ドキュメントに関するご質問はセールスエンジニアリング部にご連絡頂くか該当箇所をマニュアルで確認のうえテクニカルサポートへご質問ください - ソフォス株式会社 http://www.sophos.com/ja-jp/ - マニュアル http://www.sophos.com/ja-jp/support/documentation.aspx - ナレッジベース http://www.sophos.com/ja-jp/support/knowledgebase.aspx 1/31

評価対象製品バージョン :Sophos UTM 9.3 作成日時作成担当者変更内容改訂版数 2015/11/20 新規作成第 1.0 版 2016/01/18 Sales Engineer 4.1 許可する通信を追加するを修正第 1.1 版 2016/02/23 Sales Engineer 1. はじめに 3. インタフェースとルーテ第 1.2 版ィング 4. ファイアウォールを修正 2/31

目次 1 はじめに... 4 2 初期設定... 6 2.1 Sophos UTM の初期設定... 6 2.2 UTM セットアップウィザード... 8 2.3 Sophos UTM 管理画面 (WebAdmin) の日本語化設定... 18 3 インタフェースとルーティング... 20 3.1 ブリッジの設定... 20 4 ファイアウォール... 23 4.1 許可する通信を追加する... 23 4.2 ICMP を設定する... 28 5 システム設定... 29 5.1 日付と時刻タイムゾーンを設定する... 29 5.2 シェルアクセスを設定する... 30 6 バックアップ... 31 7 設定手順で不明点の場合... 31 3/31

1 はじめにこのたびは Sophos UTM をご評価いただきまして誠にありがとうございます評価導入における本手順書の位置づけは以下のとおりです目的 : Sophos UTM を評価導入頂く際下図のような上位の既存ルータとブリッジモードの Sophos UTM を介してインターネット接続できるまでのわかりやすい初期設定手順をご提供すること本手順書ではシンプルにただ順番に沿って設定を進めて頂くことにより下記のようなシステム構成環境にて端末から UTM を介してインターネット接続できるようになりますなお本構成を実現するためには下記が前提となります下記管理端末には Windows など Web ブラウザを使用できる PC をご用意頂くこと既存ルータに IP アドレスルーティング参照先 DNS NAT DHCP サーバが正しく設定されていること 4/31

本手順書により習得できる内容は以下になります Sophos UTM のセキュリティ機能を使用する前に必要になる設定方法 Sophos UTM を介してインターネット接続を行うための設定方法サブスクリプションにより利用可能となる各種プロテクションの手順については本書には記載しておりません別紙のベースシステム編ネットワークプロテクション編 Web プロテクション編 Email プロテクション編 Web サーバープロテクション編をご参照ください 5/31

2 初期設定 2.1 Sophos UTM の初期設定 Sophos UTM は工場出荷時の状態で LAN インタフェース (eth0) に 192.168.0.1/24 の IP アドレスが割り当てられています次の手順で初期設定を行います (1) PC 端末と Sophos UTM の LAN インタフェース (eth0) を製品に同梱されている LAN ケーブルで接続します (2) PC 端末の IP アドレスを次のように設定します IP アドレス 192.168.0.10 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.0.1 (3) Sophos UTM の電源を投入してシステムを起動します (4) PC 端末のブラウザを起動して https://192.168.0.1:4444/ を開きます (5) 接続に成功しますと SSL の警告画面が表示されますので続行します (Mozilla Firefox の表示例 ) 6/31

(1) Basic system setup の画面が表示されますので必要項目について入力します必要項目 Hostname Company or Organization Name City Country admin account password Repeat password admin account email address 機器のホスト名を入力企業名または組織名を入力都市名を入力 Japan を選択 admin アカウントのパスワードを入力 admin アカウントのパスワードを再入力 admin アカウントのメールアドレスを入力 (2) 画面下部にある I accept the license agreement のチェックボックスをオンにして [Perform basic system setup] ボタンをクリックします 7/31

2.2 UTM セットアップウィザード UTM の初期設定後 WebAdmin のログイン画面が開きます WebAdmin は Sophos UTM を管理するための Web ベースの管理インタフェースで Sophos UTM の全ての機能について設定ができます WebAdmin への初回ログイン後に自動実行されるセットアップウィザードを設定することで基本設定をスムーズに実施できます (1) Basic system setup で設定した値を使った SSL サーバ証明書が適用されるため再度 SSL の警告画面が表示されますので続行します (Mozilla Firefox の表示例 ) (2) WebAdmin のログイン画面が表示されますので Basic system setup で設定したパスワードを入力してログインします Username admin Password (Basic system setup で設定したパスワード ) 8/31

(3) Welcome to Sophos UTM Setup wizard の画面が表示されますセットアップウィザードは Sophos UTM を簡単に設定するためステップ方式で完了する自動設定手順です本画面では Continue を選択して [Next] ボタンをクリックします ([Cancel] ボタンをクリックしセットアップウィザードをスキップできます ) 9/31

(4) License Installation 評価版は 30 日無償にてご利用頂けるため本画面では入力せずに [Next] ボタンをクリックします 10/31

(5) Internal(LAN)Network Settings 本画面では LAN インタフェース (eth0) に割り当てるアドレス設定を入力して [Next] ボタンをクリックします Internal (LAN) firewall IP 192.168.0.1 Netmask /24(255.255.255.0) 11/31

(6) Internet Uplink(WAN) Settings 本画面では WAN インタフェースは設定しないため Setup Internet connection later をチェックし [Next] ボタンをクリックします 12/31

(7) Allowed Services 下記のとおりファイアウォールで LAN インタフェース WAN インタフェースへの許可する通信について選択し PING 設定についてオプションを選択して [Next] ボタンをクリックしますファイアウォール設定 Web Web アクセス (HTTP, HTTPS) チェック File transfer ファイル転送 (FTP) チェック Terminal services Citrix, Apple Remote Desktop, RDP, SSH, Telnet チェック Email メール (SMTP, POP3, IMAP) チェック DNS DNS(outgolng) チェック ICMP 設定 UTM responds to Pings ICMP エコー要求パケットに応答するチェック UTM forwards Pings 内部ネットワーク送信される ICMP エコー要求およびエコー応答パケットを転送するなし 13/31

(8) Advanced Threat Protection Settings 下記のとおり IPS 機能で対策するルールを選択して [Next] ボタンをクリックします IPS 設定 Intrusion Prevention Engine 侵入防御エンジンを有効にするチェック Command & Control/ Botnet Detection Engine ボットネット検知エンジンを有効にするチェック 14/31

(9) Web Protection Settings 下記のとおり Web プロテクション機能でブロックしたいカテゴリー全てにチェックせず [Next] ボタンをクリックします 15/31

(10) Email Protection Settings 下記のとおり Email プロテクション機能で有効化したい機能を選択して [Next] ボタンをクリックします Email 設定 Scan email fetched over POP3 POP3 プロキシ機能を有効化なし Configure internal mail server 内部メールサーバ設定なし 16/31

(11) Thank you for completing the UTM setup wizard 本画面ではこれまでに入力したパラメータの確認を行います問題なければ [Finish] ボタンをクリックします 17/31

2.3 Sophos UTM 管理画面 (WebAdmin) の日本語化設定 (1) PC 端末のブラウザを起動して https://192.168.0.1:4444/ を開きます (2) 接続に成功しますと SSL の警告画面が表示されますので続行します (Mozilla Firefox の表示例 ) (3) WebAdmin のログイン画面が表示されますのでユーザ名とパスワードを入力して [ ログイン ] ボタンをクリックします Username admin Password (Basic system setup で設定したパスワード ) WebAdmin のデフォルト表示言語は英語になります Sophos UTM は日本語の表示設定をサポートしていますので本設定により日本語表示で管理する事ができます 18/31

(4) 左メニューから Management WebAdmin Settings を開き表示される画面で General タブに表示されている WebAdmin language のリストボックスから Japanese を選択して [Apply] ボタンをクリックします (5) 適用処理が完了しますと以下のように緑色の文字で結果が表示されます結果が表示されない場合は WebAdmin との通信が切れている可能性があるため再度操作を行います (6) WebAdmin のログイン画面が表示されますのでユーザ名とパスワードを入力して [ ログイン ] ボタンをクリックします 19/31

3 インタフェースとルーティング 3.1 ブリッジの設定 Sophos UTM で以下のような構成を設定する場合はブリッジ設定が必要になります Sophos UTM からブリッジ接続を実行するには以下の手順を実行します (1) 本検証用に管理端末を 2 台準備します ( うち 1 台は UTM 操作 / 通信確認 - 兼用 ) (2) UTM の eth1 に紐付く External(WAN) インタフェースを削除し UTM 上で 2 つの NIC(eth1,eth2) が未使用であることを確認します (3) 管理端末 1 のネットワークを UTM の Internal インタフェースと同一セグメントに設定し UTM の eth0 と LAN ケーブルで接続します ( 例 :192.168.0.10/255.255.255.0) (4) 管理端末 2 のネットワークを自動取得に設定します (5) 管理端末 1 から UTM の WebAdmin へログイン後左メニューからインタフェースとルーティング - インタフェースのインタフェースタブで新規インタフェースをクリックします 20/31

(6) 以下のように設定し保存をクリックします名前 : ( 必須 ) ブリッジインタフェース名 ( 任意の名前例 : Bridge ) タイプ : ( 必須 )Ethernet Bridge Bridge selected NICs : ( 必須 ) ブリッジとして使用する NIC を 2 つ選択 ( 例 : eth1, eth2 ) IPv4 アドレス : ( 任意 ) ご使用になりたい IP アドレス ( 例 : 10.1.1.1 ) ネットマスク : ( 任意 ) ご使用になりたいネットマスク ( 例 : /24(255.255.255.0) ) IPv4 デフォルト G/W : ( 任意 ) 上位ルータ LAN 側 IP アドレス ( 例 : 10.1.1.254 ) (7) をクリックし Bridge インタフェースを有効化します 21/31

(8) 設定しますと下図のように有効化ボタンが緑色に変わります 22/31

4 ファイアウォール 4.1 許可する通信を追加する特定のプロトコルの通信を許可するルールを追加するには以下の手順を実行します (1)~(10) の手順に従って下記表の 4 ルールを追加します送信元サービス宛先アクション Bridge(Network) DNS Any 許可 Bridge(Network) Email Messaging Any 許可 Bridge(Network) Web Surfing Any 許可 Any DHCP-UDP67 Any 許可 DHCP-UDP68 (1) 左メニューから [ ネットワークプロテクション ] [ ファイアウォール ] を開き [ 新規ルール ] をクリックします 23/31

(2) 新規ルールの作成画面が表示されますので [ グループ ] [ 優先順位 ] [ 送信元 ] [ サービス ] [ 宛先 ] [ アクション ] の各項目が表示されることを確認します (3) をクリックし左側に表示されるリストから追加したいオブジェクトをドラックアンドドロップで [ 送信元 ] の枠内にコピーしてください下図では例として内部ネットワークとなっていますが実際は Bridge(Network) あるいは Any を選択します 24/31

(4) [ サービス ] を指定しますここでは Web サイトへのアクセスを許可しますのでをクリックして画面左側にサービスのリストを表示させ [DNS] [Email Messaging] [Web Surfing] をドラッグアンドドロップして [ サービス ] の枠内にコピーしてください [DHCP] はクして下記のとおり新規でサービスを登録します (DHCP-UDP67,DHCP-UDP68 は UDP のポート 67 と 68 を入力 ) をクリッ 25/31

(5) [ 宛先 ] を指定しますここでは全ての Web サイトに対するアクセスを許可しますのでをクリックして画面左側にネットワークオブジェクトのリストを表示され Any をドラックアンドドロップして [ 宛先 ] にコピーします (6) [ アクション ] を指定しますここでは Web サイトへの通信を許可しますので [ 許可 ] を選択してください (7) 必要事項の入力が完了したら [ 保存 ] をクリックして入力内容を保存してください 26/31

(8) [ 詳細 ] をクリックすると設定項目が表示されますルールを適用する時間帯トラフィックのログの取得送信元 MAC アドレスについての設定することができますので必要に応じて入力してください (9) 保存すると [ ファイアウォール ] のルール一覧の画面に戻ります作成したルールが一覧に表示されていることを確認してください画面左側に表示されるネットワークオブジェクト等の一覧を消す場合は右上のをクリックしてください (10) 作成したファイアウォールルールはデフォルトではオンになっていませんのでオンに切り替えるにはをクリックして表示をに切り替えます 27/31

4.2 ICMP を設定する [ICMP] に関する設定にて ping や traceroute などの ICMP パケットの処理方法を設定できます (1) 左メニューから [ ネットワーク ] [ ファイアウォール ] を開き表示される画面で [ICMP] タブをクリックしますグローバル ICMP 設定にてゲートウェイ上での ICMP を許可 ICMP のゲートウェイ通過を許可 Allow ICMP through Gateway from external networks をチェック Ping 設定にてゲートウェイは Ping で可視ゲートウェイからの ping をチェック Traceroute 設定にてゲートウェイは traceroute で可視にチェックしぞれぞれの項目の [ 適用 ] をクリックすることで設定を反映できます (2) 管理端末 2 にてコマンドプロンプトを起動し 10.1.1.254 8.8.8.8 www.yahoo.co.jp へ Ping 疎通できることを確認します (3) 管理端末 2 にてブラウザを起動し https://10.1.1.1:4444 http://www.yahoo.co.jp へ接続できることを確認します 28/31

5 システム設定 5.1 日付と時刻タイムゾーンを設定する初期セットアップで設定した日時やタイムゾーンを変更する場合には以下の手順で変更します (1) 左メニューからマネジメントシステム設定を開き表示される画面で日付と時刻タブをクリックして開く画面で Sophos UTM の時刻同期に関する変更ができますタイムゾーンの設定にて Asia/Tokyo を選択 [ 適用 ] ボタンをクリックします 29/31

5.2 シェルアクセスを設定する Sophos UTM へのシェルアクセスを設定する場合には以下の手順で設定します (1) 左メニューからマネジメントシステム設定を開き表示される画面でシェルアクセスタブをクリックします (2) 有効化するには画面右上の有効化 / 無効化ボタンを押して状態にしますまたシェルユーザパスワードにて root 用 loginuser 用のパスワードを入力し [ 入力されたパスワードを設定する ] をクリックします許可ネットワークにて Any をにて削除を押し左から Internal(Network) をドラッグアンドドロップし[ 適用 ] ボタンをクリックします 30/31

6 バックアップバックアップをただちに作成して保存するには以下の手順を実行します (1) 左メニューからマネジメントバックアップ/ リストアを開き表示される画面でバックアップ/ リストアタブをクリックします (2) バックアップの作成欄にあるコメント( 任意 ) にて年月日時間を入力 [ バックアップを直ちに作成 ] ボタンを押してバックアップを作成します作成されたバックアップは利用可能なバックアップとして表示されます 7 設定手順で不明点の場合オンラインヘルプは開いている画面上部のボタンバーにあるアイコンをクリックして開くことができます現在選択しているメニューサブメニューまたはタブに関するオンラインヘルプ画面が自動的に表示され WebAdmin 言語にあわせた言語が自動選択されますただし WebAdmin と同じ言語版が存在しない場合は英語で表示されます 31/31