Sophos UTM

Sophos UTM

Sophos UTM

管 理 ガイド

製 品 バージョン:

9.300

文 書 作 成 日 :

2015年 2月 11日

当文書に記載されている仕様と情報は、予告なく変更される場合があります。例で使用されている会社、

名前、データは、明記されている場合を除き架空のものです。Sophos Limitedの書面による明示的な許可

なく、当文書の一部または全体を手段を問わず複製または配布することは、いかなる理由においても許

可されません。本マニュアル原文の翻訳には、「マニュアル原文の翻訳」と記載しなければなりません。

© 2015 Sophos Limited. All rights reserved.

http://www.sophos.com

Sophos UTM、Sophos UTM Manager、Astaro Security Gateway、Astaro Command Center、Sophos Gateway

Manager、WebAdminはSophos Limitedの商標です。CiscoはCisco Systems Inc.の登録商標です。iOSはApple

Inc.の商標です。LinuxはLinus Torvalds氏の商標です。他のすべての商標は、該当する所有者の財産で

す。

限定保証

当文書に記載されている情報の正確性は保証されません。コメントや修正については、[email protected]までご連絡ください。

目次

1 インストール

1.1 参考資料

1.2 システム要件

1.2.1 UPSデバイスのサポート

1.2.2 RAIDサポート

1.3 インストール手順

1.3.1 インストール中の主な機能

1.3.2 インストール中の特別なオプション

1.3.3 Sophos UTMのインストール

1.4 インストール手順

1.5 バックアップリストア

2 WebAdmin

2.1 WebAdminメニュー

2.2 ボタンバー

2.3 リスト

2.4 リストの検索

2.5 ダイアログボックス

2.6 ボタンとアイコン

2.7 オブジェクトリスト

3 ダッシュボード

3.1 ダッシュボード設定

3.2 フローモニター

4 マネジメント

4.1 システム設定

4.1.1 組織

4.1.2 ホスト名

4.1.3 日付と時刻

4.1.4 シェルアクセス

4.1.5 スキャン設定

4.1.6 設定またはパスワードのリセット

4.2 WebAdmin設定

4.2.1 一般

4.2.2 アクセス制御

4.2.3 HTTPS証明書

4.2.4 ユーザ設定

4.2.5 詳細

29

34

36

37

30

31

32

33

39

41

43

15

17

17

18

18

15

15

16

17

21

27

47

54

55

55

56

48

48

48

48

51

53

57

58

59

目次 iv

4.3 ライセンス

4.3.1 ライセンスの取得方法

4.3.2 ライセンスモデル

4.3.3 概要

4.3.4 インストール

4.3.5 アクティブなIPアドレス

4.4 Up2Date

4.4.1 概要

4.4.2 設定

4.4.3 詳細

4.5 バックアップ/リストア

4.5.1 バックアップ/リストア

4.5.2 自動バックアップ

4.6 ユーザポータル

4.6.1 グローバル

4.6.2 詳細

4.7 通知

4.7.1 グローバル

4.7.2 通知

4.7.3 詳細

4.8 カスタマイズ

4.8.1 グローバル

4.8.2 Webメッセージ

4.8.2.1 Webメッセージの変更

4.8.2.2 ダウンロードマネージャ

4.8.3 Webテンプレート

4.8.3.1 Webテンプレートのカスタマイズ

4.8.3.2 カスタムWebテンプレートおよび画像のアップロード

4.8.4 メールメッセージ

4.9 SNMP

4.9.1 クエリ

4.9.2 トラップ

4.10 集中管理(SUM)

4.10.1 Sophos UTM Manager

4.11 Sophos Mobile Control (SMC)

4.11.1 一般

4.11.2 コンプライアンスの概要

4.11.3 ネットワークアクセスコントロール

4.11.4 構成設定

4.12 冗長化(HA)

4.12.1 ハードウェアとソフトウェアの要件

91

91

93

93

88

88

90

90

84

84

85

86

81

83

83

83

100

102

102

103

95

97

97

99

103

105

74

77

78

81

70

72

72

73

67

68

69

69

62

62

63

UTM 9 WebAdmin

4.12.2 ステータス

4.12.3 システムステータス

4.12.4 設定

4.13 シャットダウンとリスタート

5 定義とユーザ

5.1 ネットワーク定義

5.1.1 ネットワーク定義

5.1.2 MACアドレス定義

5.2 サービス定義

5.3 時間帯定義

5.4 ユーザとグループ

5.4.1 ユーザ

5.4.2 グループ

5.5 クライアント認証

5.6 認証サービス

5.6.1 グローバル設定

5.6.2 サーバ

5.6.2.1 eDirectory

5.6.2.2 Active Directory

5.6.2.3 LDAP

5.6.2.4 RADIUS

5.6.2.5 TACACS+

5.6.3 シングルサインオン

5.6.4 ワンタイムパスワード

5.6.5 詳細

6 インタフェースとルーティング

6.1 インタフェース

6.1.1 インタフェース

6.1.1.1 自動インタフェースネットワーク定義

6.1.1.2 インタフェースタイプ

6.1.1.3 グループ

6.1.1.4 3G/UMTS

6.1.1.5 イーサネット

6.1.1.6 イーサネットVLAN

6.1.1.7 DSL (PPPoE)

6.1.1.8 DSL (PPPoA/PPTP)

6.1.1.9 モデム(PPP)

6.1.2 追加アドレス

6.1.3 リンクアグリゲーション

6.1.4 アップリンクバランス

UTM 9 WebAdmin

目次

113

136

138

140

141

129

130

131

133

142

149

122

125

127

128

113

113

118

119

121

122

151

155

155

157

160

162

151

152

153

153

164

167

169

170

171

106

107

107

111

v

目次 vi

6.1.5 マルチパスルール

6.1.6 ハードウェア

6.2 サービス品質(QoS)

6.2.1 ステータス

6.2.2 トラフィックセレクタ

6.2.3 帯域幅プール

6.2.4 ダウンロード帯域幅調整

6.2.5 詳細

6.3 アップリンクモニタリング

6.3.1 グローバル

6.3.2 アクション

6.3.3 詳細

6.4 IPv6

6.4.1 グローバル

6.4.2 プレフィックス広告

6.4.3 再割り当て

6.4.4 6to4

6.4.5 トンネルブローカー

6.5 スタティックルート

6.5.1 標準スタティックルート

6.5.2 ポリシールート

6.6 OSPF

6.6.1 グローバル

6.6.2 エリア

6.6.3 インタフェース

6.6.4 メッセージダイジェスト

6.6.5 デバッグ

6.6.6 詳細

6.7 BGP

6.7.1 グローバル

6.7.2 システム

6.7.3 ネイバー

6.7.4 ルートマップ

6.7.5 フィルタリスト

6.7.6 詳細

6.8 マルチキャストルーティング(PIM-SM)

6.8.1 グローバル

6.8.2 インタフェース

6.8.3 RPルータ

6.8.4 ルート

6.8.5 詳細

205

206

207

208

201

203

204

205

197

198

200

200

194

195

195

197

214

215

216

216

209

210

212

213

217

218

190

191

192

193

187

188

188

189

175

177

178

179

180

184

186

UTM 9 WebAdmin

7 ネットワークサービス

7.1 DNS

7.1.1 グローバル

7.1.2 フォワーダ

7.1.3 リクエストルーティング

7.1.4 スタティックエントリ

7.1.5 DynDNS

7.2 DHCP

7.2.1 サーバ

7.2.2 リレー

7.2.3 DHCPv6リレー

7.2.4 スタティックマッピング

7.2.5 IPv4リーステーブル

7.2.6 IPv6リーステーブル

7.2.7 オプション

7.3 NTP

8 ネットワークプロテクション

8.1 ファイアウォール

8.1.1 ルール

8.1.2 送受信国別ブロック

8.1.3 国ブロックの例外

8.1.4 ICMP

8.1.5 詳細

8.2 NAT

8.2.1 マスカレード

8.2.2 NAT

8.3 高度な脅威防御

8.3.1 グローバル

8.4 侵入防御(IPS)

8.4.1 グローバル

8.4.2 攻撃パターン

8.4.3 DoS/フラッド防御

8.4.4 ポートスキャン防御

8.4.5 除外

8.4.6 詳細

8.5 サーバロードバランシング

8.5.1 分散ルール

8.6 VoIP

8.6.1 SIP

8.6.2 H.323

UTM 9 WebAdmin

目次

237

255

256

257

259

250

253

254

255

244

246

248

249

237

238

241

242

261

262

264

264

267

267

268

219

228

228

229

229

231

232

234

221

221

224

225

219

219

220

221

vii

目次 viii

8.7 詳細

8.7.1 ジェネリックプロキシ

8.7.2 SOCKSプロキシ

8.7.3 IDENTリバースプロキシ

9 Webプロテクション

9.1 Webフィルタリング

9.1.1 Webフィルタリングの変更

9.1.1.1 重要な変更点

9.1.1.2 一般的なタスク

9.1.1.3 移行

9.1.2 グローバル

9.1.3 HTTPS

9.1.4 ポリシ

9.1.4.1 フィルタアクションウィザード

9.1.4.2 カテゴリ

9.1.4.3 Webサイト

9.1.4.4 ダウンロード

9.1.4.5 ウイルス対策

9.1.4.6 追加オプション

9.2 Webフィルタプロファイル

9.2.1 フィルタプロファイル

9.2.2 フィルタアクション

9.2.3 親プロキシ

9.3 フィルタリングオプション

9.3.1 除外

9.3.2 Webサイト

9.3.3 バイパスユーザ

9.3.4 望ましくないアプリケーション

9.3.5 カテゴリ

9.3.6 HTTP/S CA

9.3.7 その他

9.4 ポリシヘルプデスク

9.4.1 ポリシテスト

9.4.2 割当てステータス

9.5 アプリケーション コントロール

9.5.1 ネットワーク可視化

9.5.2 アプリケーション コントロール ルール

9.5.3 詳細

9.6 FTP

9.6.1 グローバル

273

315

315

318

318

319

313

313

314

314

303

304

305

309

299

299

302

303

292

292

298

298

286

288

289

290

282

283

284

284

274

274

275

275

277

278

269

270

271

272

UTM 9 WebAdmin

9.6.2 ウイルス対策

9.6.3 除外

9.6.4 詳細

10 Eメールプロテクション

10.1 SMTP

10.1.1 グローバル

10.1.2 ルーティング

10.1.3 ウイルス対策

10.1.4 スパム対策

10.1.5 データ保護

10.1.6 除外

10.1.7 リレー

10.1.8 詳細

10.2 SMTPプロファイル

10.3 POP3

10.3.1 グローバル

10.3.2 ウイルス対策

10.3.3 スパム対策

10.3.4 除外

10.3.5 詳細

10.4 暗号化

10.4.1 グローバル

10.4.2 オプション

10.4.3 内部ユーザ

10.4.4 S/MIME認証局

10.4.5 S/MIME証明書

10.4.6 OpenPGP公開鍵

10.5 SPX 暗号化

10.5.1 SPX設定

10.5.2 SPXテンプレート

10.5.3 Sophos Outlookアドイン

10.6 隔離レポート

10.6.1 グローバル

10.6.2 除外

10.6.3 詳細

10.7 メールマネージャ

10.7.1 メールマネージャウィンドウ

10.7.1.1 SMTP/POP3隔離

10.7.1.2 SMTP Spool

10.7.1.3 SMTP Log

UTM 9 WebAdmin

目次

320

320

321

323

372

373

374

375

366

367

369

372

376

377

377

379

380

361

362

364

365

352

356

358

360

347

348

349

350

337

339

342

347

323

323

324

326

329

334

335

ix

目次

10.7.2 グローバル

10.7.3 設定

11 エンドポイントプロテクション

11.1 コンピュータ管理

11.1.1 グローバル

11.1.2 エージェントの導入

11.1.3 コンピュータの管理

11.1.4 グループ管理

11.1.5 詳細

11.2 ウイルス対策

11.2.1 ポリシー

11.2.2 除外

11.3 デバイスコントロール

11.3.1 ポリシー

11.3.2 除外

11.4 エンドポイントWebコントロール

11.4.1 グローバル

11.4.2 詳細

11.4.3 サポートされていない機能

12 ワイヤレスプロテクション

12.1 グローバル設定

12.1.1 グローバル設定

12.1.2 詳細

12.2 ワイヤレスネットワーク

12.3 アクセスポイント

12.3.1 概要

12.3.2 グループ化

12.4 メッシュネットワーク

12.5 ワイヤレスクライアント

12.6 ホットスポット

12.6.1 グローバル

12.6.2 ホットスポット

12.6.3 バウチャー定義

12.6.4 詳細

13 Webサーバプロテクション

13.1 WAF

13.1.1 仮想Webサーバ

13.1.2 バックエンドWebサーバ

13.1.3 ファイアウォールプロファイル

x

403

418

421

421

423

424

432

433

404

404

405

406

410

411

417

435

435

435

439

440

381

382

385

400

400

400

401

395

396

397

397

390

392

392

393

387

387

388

389

UTM 9 WebAdmin

13.1.4 除外

13.1.5 サイトパスルーティング

13.1.6 詳細

13.2 リバース認証

13.2.1 プロファイル

13.2.2 フォームテンプレート

13.3 証明書管理

13.3.1 証明書

13.3.2 認証局 (CA)

13.3.3 証明書失効リスト (CRL)

13.3.4 詳細

14 REDマネジメント

14.1 概要

14.2 グローバル設定

14.3 クライアントマネジメント

14.4 導入ヘルパ

14.5 トンネルマネジメント

15 サイト間VPN

15.1 Amazon VPC

15.1.1 ステータス

15.1.2 セットアップ

15.2 IPsec

15.2.1 コネクション

15.2.2 リモートゲートウェイ

15.2.3 ポリシー

15.2.4 ローカルRSA鍵

15.2.5 詳細

15.2.6 デバッグ

15.3 SSL

15.3.1 コネクション

15.3.2 設定

15.3.3 詳細

15.4 証明書管理

15.4.1 証明書

15.4.2 認証局

15.4.3 証明書失効リスト (CRL)

15.4.4 詳細

16 リモートアクセス

16.1 SSL

UTM 9 WebAdmin

目次

475

481

483

485

489

490

476

476

477

478

496

497

497

499

492

492

492

495

500

501

457

458

458

460

471

473

446

447

449

449

450

453

455

455

456

456

456

503

504

xi

目次 xii

16.1.1 プロファイル

16.1.2 設定

16.1.3 詳細

16.2 PPTP

16.2.1 グローバル

16.2.2 iOSデバイス

16.2.3 詳細

16.3 L2TP over IPsec

16.3.1 グローバル

16.3.2 iOSデバイス

16.3.3 デバッグ

16.4 IPsec

16.4.1 コネクション

16.4.2 ポリシー

16.4.3 詳細

16.4.4 デバッグ

16.5 HTML5 VPNポータル

16.5.1 グローバル

16.6 Cisco VPNクライアント

16.6.1 グローバル

16.6.2 iOSデバイス

16.6.3 デバッグ

16.7 詳細

16.8 証明書管理

16.8.1 証明書

16.8.2 認証局 (CA)

16.8.3 証明書失効リスト (CRL)

16.8.4 詳細

17 ログとレポート

17.1 ログファイルの閲覧

17.1.1 今日のログファイル

17.1.2 アーカイブログファイル

17.1.3 ログファイルの検索

17.2 ドウェア

17.2.1 デイリー

17.2.2 ウィークリー

17.2.3 マンスリー

17.2.4 年次

17.3 ネットワーク使用状況

17.3.1 デイリー

535

539

539

539

540

540

537

537

537

538

538

538

530

531

532

532

525

525

526

530

533

533

533

534

534

515

518

520

523

511

511

514

515

504

505

506

508

508

510

510

UTM 9 WebAdmin

17.3.2 ウィークリー

17.3.3 マンスリー

17.3.4 年次

17.3.5 帯域使用状況

17.4 ネットワークプロテクション

17.4.1 デイリー

17.4.2 ウィークリー

17.4.3 マンスリー

17.4.4 年次

17.4.5 ファイアウォール

17.4.6 高度な脅威防御

17.4.7 IPS

17.5 Webプロテクション

17.5.1 Web使用状況レポート

17.5.2 検索エンジンレポート

17.5.3 部門

17.5.4 スケジュールレポート

17.5.5 アプリケーション コントロール

17.5.6 非匿名化

17.6 Eメールプロテクション

17.6.1 使用状況グラフ

17.6.2 メール使用状況

17.6.3 ブロックメール

17.6.4 非匿名化

17.7 ワイヤレスプロテクション

17.7.1 デイリー

17.7.2 ウィークリー

17.7.3 マンスリー

17.7.4 年次

17.8 リモートアクセス

17.8.1 アクティビティ

17.8.2 セッション

17.9 Webサーバプロテクション

17.9.1 使用状況グラフ

17.9.2 詳細

17.10 エグゼクティブレポート

17.10.1 レポートを見る

17.10.2 アーカイブエグゼクティブレポート

17.10.3 設定

17.11 ログ設定

17.11.1 ローカルログ

UTM 9 WebAdmin

目次

558

558

558

558

556

557

557

557

554

555

555

556

552

552

553

554

560

560

561

561

558

559

559

560

561

562

544

545

545

549

543

543

543

544

540

540

541

541

542

542

543

xiii

目次

17.11.2 リモートSyslogサーバ

17.11.3 リモートログファイルアーカイブ

17.12 レポート設定

17.12.1 設定

17.12.2 除外

17.12.3 匿名化

18 サポート

18.1 ドキュメント

18.2 印刷可能形式設定情報

18.3 サポート窓口

18.4 ツール

18.4.1 Pingチェック

18.4.2 トレースルート

18.4.3 DNSルックアップ

18.5 詳細

18.5.1 プロセスリスト

18.5.2 LANコネクション

18.5.3 ルーティングテーブル

18.5.4 インタフェーステーブル

18.5.5 コンフィグダンプ

18.5.6 REF_ をリゾルブ

19 ログオフ

20 ユーザポータル

20.1 ユーザポータル:メール隔離

20.2 ユーザポータル:メールログ

20.3 ユーザポータル:POP3アカウント

20.4 ユーザポータル:送信者ホワイトリスト

20.5 ユーザポータル:送信者ブラックリスト

20.6 ユーザポータル:ホットスポット

20.7 ユーザポータル:クライアント認証

20.8 ユーザポータル:OTPトークン

20.9 ユーザポータル:リモートアクセス

20.10 ユーザポータル:HTML5 VPNポータル

20.11 ユーザポータル:パスワードの変更

20.12 ユーザポータル:HTTPSプロキシ

xiv

573

577

577

577

577

578

578

575

576

576

577

573

574

574

575

563

564

566

566

569

570

579

581

582

584

585

585

586

586

589

589

590

591

592

593

UTM 9 WebAdmin

1 インストール

このセクションは、ネットワークへのSophos UTMのインストールとセットアップについての情報を提

供します。Sophos UTMのインストールは、2つのステップで行います。まずソフトウェアをインストー

ルし、次に基本システム設定を行います。ソフトウェアのインストールに必要な初期セットアップ

は、コンソールベースのインストールメニューで行います。内部設定は、管理ワークステーション

で、Sophos UTMのWebベースの管理用インタフェースであるWebAdminを使用して実行できます。イ

ンストールを開始する前に、ハードウェアがシステムの最低要件を満たしていることを確認してくだ

さい。

ハードウェアアプライアンスを使用する場合、次のセクションをスキップして、Sophos UTM基

本 設 定 のセクションに直接進むことができます。この理由は、すべてのハードウェアアプライア

ンスはSophos UTMソフトウェアがプレインストールされた状態で出荷されるためです。UTM

この章には次のトピックが含まれます。 l

参考資料

l

システム要件

l

インストール手

l

基本設定

l

バックアップリストア

1.1 参考資料

インストールを始める前に、Sophos UTM製品の設定の一助となる以下のマニュアルを読むことを

お勧めします。いずれのマニュアルも、Sophos UTMハードウェアアプライアンス装置に同梱されて

います。また、 Sophos UTMリソースセンター でもご利用いただけます。 l

クイックスタートガイドハードウェア l

取扱説明書

1.2 システム要件

UTMのインストールおよび使用のための最低限のハードウェア要件は以下のとおりです。

1.2 システム要件 1 インストール l

プロセッサ:Intel Atom Dual Core(1.46GHz)(あるいは互換のもの) l

メモリ:2 GB RAM l

HDD:40 GB SATAハードディスクドライブまたはSSD l

CD-ROMドライブ:ブート可能なIDEまたはSCSI CD-ROMドライブ l

NIC:2枚以上のPCI 2.0イーサネットネットワークインタフェースカード l

NIC(オプション):1枚のハートビート対応PCIイーサネットネットワークインタフェースカード。

冗長化システムでは、プライマリシステムとセカンダリシステムが、いわゆるハートビート要

求を介して互いに通信します。冗長化システムをセットアップする場合は、両方のユニットに

ハートビート対応のネットワークインタフェースカードを装備する必要があります。 l

USB(オプション):UPSデバイスとの通信用のUSBポート1つ、およびSophos UTMSmart

Installer(SUSI)接続用のUSBポート1つ l

スイッチ( オプション) :ネットワークセグメントの接続(およびその間の選択)を行うネットワー

クデバイス。このスイッチはジャンボフレームをサポートすることが必要です。

Sophosでは、UTMソフトウェアと互換性を持つハードウェアデバイスのリストを用意しています。

ハードウェア互 換 性 リスト(HCL)は Sophos Knowledgebase からご利用いただけます。UTMソフトウェ

アのインストールと使用でエラーの発生を防止するために、HCLにリストされたハードウェアのみを

使用してください。WebAdminへのアクセスに使用されるクライアントPCに必要なハードウェアおよ

びソフトウェアの条件を以下に示します。 l

プロセッサ:クロック周波数:2GHz以上 l

ブラウザ:最新バージョンのFirefox(推奨)、最新バージョンのChrome、最新バージョンの

Safari、またはMicrosoft Internet Explorer 8以降。JavaScriptを有効にする必要があります。さ

らに、UTMの内部ネットワークカードのIPアドレス(eth0)にプロキシを使用しないようにブラ

ウザを設定する必要があります。

1.2.1 UPSデバイスのサポート

無停電電源装置(UPS)デバイスは、公共の電力が利用できない場合に、別個の電源から接続し

た機器に電力を供給して給電を維持します。Sophos UTM は、MGE UPS SystemsおよびAPCの

UPSデバイスをサポートしています。UPS デバイスとSophos UTMの通信はUSBインタフェースを介

して行われます。

UPS デバイスがバッテリオペレーションを始動すると、管理者に通知が送信されます。停電が長期

間続いて UPS デバイスの電圧が限界値に近づいた場合は、管理者に別のメッセージが送信され

ます。そして、Sophos UTMは自動的にシャットダウンします。

16 UTM 9 WebAdmin

1 インストール 1.3 インストール手順

Sophos UTMにUPSデバイスを接続するときは、UPSデバイスの使用説明書をお読みくださ

い。UTMのUSB インタフェースを介してブート (起動) すると、UTM は UPS デバイスを認識します。

USB インタフェースを相互に接続してからSophos UTMをブートしてください。

1.2.2 RAIDサポート

RAID(Redundant Array of Independent Disks)とは、複数のハードドライブを使用してドライブ間で

データを共有あるいは複製するデータストレージ技術です。RAID システムが検出されてダッシュ

ボードに正しく表示されるようにするには、Sophos UTMでサポートされる RAID コントローラを使用す

ることが必要です。サポートされている RAID コントローラを確認するには、HCL をチェックしてくださ

い。HCL は Sophos Knowledgebase で提供されています。「HCL」を検索用語として使用して、該当す

るページを探してください。

1.3 インストール手順

次に、Sophos UTMソフトウェアのインストールプロセスを順を追って説明します。

インストールを始める前に、次のアイテムがお手元にあることを確認してください。 l

Sophos UTMCD-ROM l

用のライセンスキーSophos UTM

セットアッププログラムがシステムのハードウェアをチェックしてから、PCにソフトウェアをインストー

ルします。

1.3.1 インストール中 の主 な機 能

メニューのナビゲーションには、次のキーを使用します(画面の下部にも追加のキー機能がリスト

されています)。 l

F1:コンテキストに応じたヘルプ画面が表示されます。 l

カーソルキー:これらのキーを使用して、テキストボックス間をナビゲーションします(たとえ

ば、ライセンス条件や、キーボードレイアウトの選択時)。 l

Tabキー:テキストボックス、リスト、ボタンを前後に移動します。 l

Enterキー:入力した情報が確定され、インストールが次のステップに進みます。 l

Spaceキー:アスタリスク(*)の付いたオプションを選択または選択解除します。

UTM 9 WebAdmin 17

1.3 インストール手順 1 インストール l

Alt-F2:インストールコンソールに切り替えます。 l

Alt-F4:ログに切り替えます。 l

Alt-F1:インタラクティブバッシュシェルに切り替えます。 l

Alt-F1:メインのインストール画面に戻ります。

1.3.2 インストール中 の特 別 なオプション

一部の画面には追加のオプションがあります。

ログの閲 覧 :インストールログを開きます。

サポート:サポートダイアログ画面を開きます。

USBスティックへ:インストールログをzipファイルとしてUSBスティックへ書き込みます。このオプショ

ンを確定する前に、必ずUSBスティックを差し込んでください。このzipファイルは、インストールでの

問題をSophos UTMサポートチームなどが解決する際に使用されます。

戻 る:前の画面に戻ります。

キャンセル:インストールの中止を確認するダイアログウィンドウが開きます。

ヘルプ:コンテキストに応じたヘルプ画面が開きます。

1.3.3 Sophos UTMのインストール

1. CD-ROMドライブからPCを起動します。または、ダウンロードしたISOを仮想ドライブに搭載

します。

インストール開始画面が表示されます。

いつでもF1を押してヘルプメニューを利用することができます。開始画面でF3を押す

と、トラブルシューティングの画面が開きます。

2. Enterを押します。

開 始 画面が表示されます。

3.

インストール開 始 を選択します。

ハードウェア検 出 画面が表示されます。

ソフトウェアが次のハードウェアコンポーネントをチェックします。

18 UTM 9 WebAdmin

1 インストール 1.3 インストール手順 l

CPU l

ハードディスクドライブのサイズと型 l

CD-ROMドライブ l l

ネットワークインタフェースカード

IDEまたはSCSIコントローラ

システムが最低要件を満たしていない場合、エラーが報告され、インストールは中止されま

す。

ハードウェア検出が完了すると、 検 出 されたハードウェア画面が参考として表示されます。

4. Enterを押します。

キーボード選 択 画面が表示されます。

5. キーボードのレイアウトを選択します。

カーソルキーを使用してキーボードレイアウト(例:English (UK))を選択し、Enterを押して続

行します。

タイムゾーン選 択 画面が表示されます。

6. エリアを選択します。

カーソルキーを使用してエリア(例:Europe)を選択し、Enterを押して続行します。

7. タイムゾーンを選択します。

カーソルキーを使用してタイムゾーン(例:London)を選択し、Enterを押して続行します。

日 付 と時 刻 画面が表示されます。

8. 日付と時刻を設定します。

日付と時刻が正しくない場合、ここで変更できます。Tabキーとカーソルキーを使用して、テ

キストボックス間を切り替えます。

ホストクロックはUTCオプションの選択を解除するには、

Spaceキーを押します。無効なエントリは却下されます。設定をEnterキーで確認します。

管 理 インタフェース選 択 画面が表示されます。

9. 内部ネットワークカードを選択します。

WebAdminツールを使用してSophos UTMの残りの設定を行う場合、内部ネットワークカード

(eth0)とするネットワークインタフェースカードを選択します。リストから使用可能なネット

ワークカードを1つ選択し、Enterキーで選択を確認します。

アクティブな接続があるインタフェースは、[link] と表示されます。

UTM 9 WebAdmin 19

1.3 インストール手順 1 インストール

ネットワーク設 定 画面が表示されます。

10. 管理ネットワークインタフェースを設定します。

管理ネットワークインタフェースとする内部インタフェースのIPアドレス、ネットワークマスク、

ゲートウェイを定義します。デフォルト値は以下のとおりです。

アドレス: 192.168.2.100

ネットマスク: 255.255.255.0

ゲートウェイ: なし

ネットマスクで定義されたサブネット外にあるワークステーションからWebAdminインタフェー

スを使用したい場合のみ、ゲートウェイ値を変更する必要があります。ゲートウェイ自体が

サブネット内にある必要があります。

1

設定をEnterキーで確認します。

CPUが64ビットをサポートしている場合、64ビットカーネルのサポート画面が表示されます。

サポートしていない場合、続いてEnterprise Toolkit画面が表示されます。

11. 64ビットカーネルをインストールします。

はいを選択すると 64ビットカーネルが、いいえをインストールすると 32ビットカーネルがインス

トールされます。

Enterprise Toolkit画面が表示されます。

12. Enterprise Toolkitのインストールに同意します。

Enterprise ToolkitはSophos UTMソフトウェアから構成されています。Open Sourceソフトウェ

アのインストールのみを決定できます。ただし、Sophos UTMの全機能を使用するためには、

Enterprise Toolkitもインストールすることをお勧めします。

Enterを押して両方のソフトウェアパッケージをインストールするか、 いいえを選択してOpen

Sourceソフトウェアのみをインストールします。

インストール:パーティショニング画面が表示されます。

13. 警告メッセージを確認してインストールを開始します。

1

たとえば、255.255.255.0というネットワークマスクを使 用 している場 合 、サブネットはアドレスの

最 初 の3オクテットで定 義 されます。この場 合 は、192.168.2です。管 理 コンピュータのIPアドレス

が192.168.10.5である場 合 、同 じサブネット上 にないため、ゲートウェイが必 要 になります。ゲー

トウェイルータは、192.168.2サブネット上 にインタフェースが必 要 であり、管 理 コンピュータに連 絡

できなければなりません。この例 では、ゲートウェイのIPアドレスは192.168.2.1とします。

20 UTM 9 WebAdmin

1 インストール 1.4 インストール手順

警告は注意して読んでください。確認後、PCにすでに存在するすべてのデータが削除され

ます。

インストールをキャンセルしてリブートするには、 いいえを選択します。

警 告 インストールプロセスを行うと、ハードディスクドライブ上のすべてのデータが削除

されます。

ソフトウェアのインストールプロセスには最大2、3分かかる可能性があります。

インストール完 了 画面が表示されます。

14. CD-ROMを取り出して、内部ネットワークに接続し、システムをリブートします。

インストールプロセスが完了したら、ドライブからCD-ROMを取り出して、eth0ネットワーク

カードを内部ネットワークに接続します。 内部ネットワークカード(eth0)を除き、ネットワーク

カードの順序は、通常PCI IDおよびカーネルドライバによって決定されます。ハードウェア

構成を変更すると(特にネットワークカードを取り外した場合や追加した場合など)、ネット

ワードカード名の順序も変わる可能性があります。

次に、インストール画面でEnterを押し、UTMをリブートします。ブートプロセス中に、内部ネッ

トワークカードのIPアドレスが変わります。このとき、インストールルーチンコンソール

(Alt+F1)に、「eth0にIPなし(No IP on eth0)」というメッセージが表示されます。

Sophos UTMのリブート後 (ハードウェアによっては、このプロセスは数分かかります)、eth0 インタ

フェースの IP アドレスを ping し、このアドレスが到達可能であることを確認します。 接続できない

場合、次のいずれかの問題が発生していないかチェックしてください。 l

Sophos UTMのIPアドレスが誤っている。 l

管理者コンピュータのIPアドレスが正しくない。 l

クライアントのデフォルトゲートウェイが正しくない。 l

正しくないネットワークカードにネットワークケーブルが接続されている。 l

すべてのネットワークカードが同じハブに接続されている。

1.4 インストール手順

Sophos UTMインストールの2番目のステップはWebAdminで行います。これは、Webベースの管理イ

ンタフェースです。基本システム設定の前に、Sophos UTMをネットワークに統合する方法を計画し

ておく必要があります。どのような機能を提供するか(ブリッジモードと標準(ルーティング)モードの

UTM 9 WebAdmin 21

1.4 インストール手順 1 インストール

どちらで運用するか、インタフェース間でデータパケットの流れをどのようにコントロールするかな

ど)を決定する必要があります。 ただし、Sophos UTMは後でいつでも再設定できます。したがって、

Sophos UTMをネットワークに統合する方法をまだ計画していない場合でも、すぐに基本設定に着

手することも可能です。

1. ブラウザを起動して、WebAdminを開きます。

Sophos UTMの URL (eth0 の IP アドレスなど) を参照します。上記の設定例との整合性を保

つために、これは https://192.168.2.100:4444 とします (プロトコルが HTTPS であり、

ポート番号が 4444 であることに注意してください)。

設定例と異なり、各Sophos UTMの出荷時は次のデフォルト設定になっています。 l

インタフェース:内部ネットワークインタフェース(eth0) l

IPアドレス:192.168.0.1

l

ネットワークマスク:255.255.255.0

l

デフォルトゲートウェイ:なし(none)

任意のSophos UTMの WebAdmin にアクセスするには、代わりに次の URL を入力します。 https://192.168.0.1:4444

認証および暗号化された通信を提供するために、Sophos UTMには、自己署名済みのセ

キュリティ証明書が含まれています。この証明書は、WebAdmin への HTTPS 接続が確立す

ると Web ブラウザに対して提示されます。証明書の有効期間を確認できない場合、ブラウ

ザはセキュリティ警告を表示します。証明書に同意すると、最初のログインページが表示さ

れます。

22 UTM 9 WebAdmin

1 インストール 1.4 インストール手順

1 WebAdmin:初期ログインページ

2. 「基本システム設定」フォームに必要事項を入力します。

ここに表示されるテキストボックスに会社の情報を正確に入力します。さらに、管理者アカウ

ントのパスワードと有効なメールアドレスを指定します。ライセンス条件に同意する場合は、

基 本 システム設 定 の実 行 ボタンをクリックしてログインを続行します。基本システム設定の

実行中、多数の証明書と認証局が作成されます。 l

WebAdmin CA:WebAdmin証明書が割り当てられたCA(マネジメント> WebAdmin

の設 定 >

HTTPS証 明 書

を参照)。

l

VPNに署 名 するCA:VPN接続に使用されるデジタル証明書に署名するCA(サイト

VPN > 認 証 管 理 >

認 証 局 を参 照 )。

l

WebAdmin証 明 書 :WebAdminのデジタル証明書(サイト間 VPN > 証 明 書 管 理 >

証 明 書 を参照)。

l

ローカルX.509証 明 書 :Sophos UTMVPN接続に使用される、のデジタル証明書(サイ

ト間 VPN > 証 明 書 管 理 >

証 明 書 を参 照

)。

UTM 9 WebAdmin 23

1.4 インストール手順 1 インストール

ログインページが表示されます。(ただし、入力した値に基づいて証明書が変更されている

ため、一部のブラウザでは、さらにセキュリティ警告が表示される場合もあります。)

24

2 WebAdmin:通常のログインページ

3. WebAdminにログインします。

ユーザ名 フィールドにadminと入力し、前の画面で指定したパスワードを入力します。

初期設定プロセスをガイドする設定ウィザードが表示されます。

継 続 :ウィザードを使用する場合、このオプションを選択し、次に 次 へをクリックします。ウィ

ザードのステップに従い、Sophos UTMの基本設定を行います。

バックアップのリストア:バックアップファイルがある場合、代わりにそのバックアップファイル

をリストアするかを決めることができます。 このオプションを選択し、 次 へをクリックします。

続行方法は、 バックアップリストア セクションで説明されています。

あるいは、(ウィザードの任意のステップで) キャンセルをクリックし、安全にウィザードを終了

することもできます (Sophos UTMをWebAdminで直接設定したい場合など)。どの段階でも

了 をクリックし、そこまでの設定を保存してウィザードを終了できます。

4. ライセンスをインストールします。

購入したライセンス (テキストファイル) をアップロードするには、フォルダのアイコンをクリッ

クします。 次 へをクリックしてライセンスをインストールします。ライセンスを購入していない

場合、 次 へをクリックして、製品に組み込まれた 30日間のトライアルライセンスを使用してく

ださい。Sophos UTMに搭載されたすべての機能が有効になります。

選択されたラインセンスが特定のサブスクリプションを含まない場合、さらに先の手

順の際、それぞれのページが無効化されます。

5. 内部ネットワークインタフェースを設定します。

UTM 9 WebAdmin

1 インストール 1.4 インストール手順

内部ネットワークインタフェース (eth0) に対して表示された設定を確認します。このインタ

フェースの設定は、ソフトウェアのインストール時に提供した情報に基づいています。さら

に、チェックボックスにチェックを入れて、Sophos UTMが内部インタフェースで DHCP サー

バーとして機能するように設定することができます。

内部インタフェースの IP アドレスを変更する場合、ウィザード終了後に新しい IP アド

レスを使用して WebAdmin に接続し直す必要があります。

6. 外部インタフェースのアップリンクタイプを選択します。

外部ネットワークカードで使用するアップリンク/インターネット接続の接続タイプを選択しま

す。インタフェースのタイプとその設定は、どのような種類のインターネット接続を使用する

かによって異なります。 次 へをクリックします。

Sophos UTMにアップリンクがないか、今すぐ設定したくない場合には、 インターネットアップリ

ンクタイプ入力ボックスを空欄のまま残します。インターネットアップリンクを設定すると、内

部ネットワークからインターネットへの接続用に IP マスカレードが自動設定されます。

スタティックIPアドレスによる標 準 イーサネットインタフェースを選択する場合、デフォルトゲート

ウェイの指定はオプションです。テキストボックスを空欄のままにすると、インストール時の

デフォルトゲートウェイ設定が維持されます。 次 へをクリックして、残りの各ステップをスキッ

プすることができます。スキップした設定は、後でWebAdminで設定・変更できます。

ライセンスに次の機能の1つが許可されていない場合、関連機能は表示されませ

ん。

7. 基本的なファイアウォール設定を行います。

ここで、インターネットで許可するサービスのタイプを選択できます。 次 へをクリックして設定

を確認します。

8.

高度な脅威防御設定を行います。

ここで、複数のオペレーションシステムとデータベースに対する侵入防止およびコマンド&コン

トロール/ボットネット検出を設定できます。 次 へをクリックして設定を確認します。

9.

Webプロテクション設定を行います。

ここで、Webトラフィックに対してウイルスやスパイウェアのスキャンを行うかどうかを選択で

きます。さらに、特定のカテゴリに属する Web ページのブロックを選択できます。 次 へをク

リックして設定を確認します。

10. Eメールプロテクション設定を行います。

UTM 9 WebAdmin 25

1.4 インストール手順 1 インストール

ここでは、最初のチェックボックスにチェックを入れて、POP3プロキシを有効にすることがで

きます。ここでは、2つ目のチェックボックスにチェックを入れて、UTMをインバウンド SMTP リ

レーとして有効にすることができます。内部メールサーバーの IP アドレスを入力し、SMTP ド

メインをルートに追加します。 次 へをクリックして設定を確認します。

11. ワイヤレスプロテクション設定を行います。

これにより、ワイヤレスプロテクションが有効になり、チェックボックスを選択することができ

ます。ボックスで、ワイヤレスアクセスポイントとシステムの接続を許可するインターフェース

を選択または追加します。インターフェースを追加するフォルダーアイコンをクリックするか、

新規インターフェースを作成するために「+」アイコンをクリックします。別のワイヤレスネット

ワークパラメータを入力します。 次 へをクリックして設定を確認します。

12. 詳細脅威適応型学習設定を行います。

Sophosのリサーチチームに匿名データを送信したい場合、この操作により、選択することが

できるようになります。このデータは、将来のバージョンの向上のため、またネットワークの

可視性やアプリケーションコントロールライブラリの改良および拡張に使用されます。

13. 設定を確認します。

設定のサマリが表示されます。 終 了 をクリックして確認するか、戻 るをクリックして変更しま

す。これらは後でWebAdminで変更することもできます。

終 了 をクリックすると設定は保存され、ユーザはWebAdminのダッシュボードにリダイレクト

されます。Sophos UTMここには、ユニットの最も重要なシステムステータス情報が表示され

ます。

26 UTM 9 WebAdmin

1 インストール 1.5 バックアップリストア

3 WebAdmin:ダッシュボード

Sophos UTMこれらのステップの実行中に問題が発生した場合は、サプライヤのサポート部門にお

問い合わせください。次のWebサイトでも詳細情報を提供しています。 l

Sophos UTM サポートフォーラム l

Sophos Knowledgebase

1.5 バックアップリストア

WebAdmin設定ウィザード( 基 本 設 定 のセクションを参照)を使用すると、基本設定プロセスをすべ

て実行する代わりに、既存のバックアップファイルをリストアすることができます。以下の手順に

従ってください。

UTM 9 WebAdmin 27

1.5 バックアップリストア 1 インストール

1. 設定ウィザードで 既 存 のバックアップファイルのリストアを選択します。

設定ウィザードで 既 存 のバックアップファイルのリストアを選択し、次 へをクリックします。

アップロードページが表示されます。

2. バックアップをアップロードします。

フォルダアイコンをクリックし、リストアするバックアップファイルを選択して、 アップロード開

始 をクリックします。

3. バックアップをリストアします。

終 了 をクリックしてバックアップをリストアします。

重 要 後で設定ウィザードを使用することはできません。

バックアップのリストアが成功すると、ログインページにリダイレクトされます。

28 UTM 9 WebAdmin

2 WebAdmin

WebAdmin は Web ベースの管理インタフェースで、ここではSophos UTMのあらゆる局面の設定を行

うことができます。WebAdmin はメニューとページで構成され、それらの多くには複数のタブが含ま

れています。画面左側のメニューには、Sophos UTMの機能が論理的に構成されています。 ネット

ワークプロテクションなどのメニュー項目を選択すると、それが拡大してサブメニューが表示された

り関連ページが開きます。メニュー項目の中には、関連ページがないものもあります。前に選択し

たメニューまたはサブメニュー項目のページは、そのまま表示されます。サブメニュー項目のいず

れかを選択すると、それによって最初のタブの関連ページが開きます。

WebAdminを初めて開始する際、 設 定 ウィザードが独自に表示されます。最も重要な設定のセット

アップに関しては、取扱説明書に従います。

この管理ガイドの手順に従ってメニュー項目、サブメニュー項目、およびタブを指定すると、ページ

が開きます:例: インタフェース& ルーティング> インタフェース> ハードウェアタブ)。

4 WebAdmin:概要

2.1 WebAdminメニュー 2 WebAdmin

2.1 WebAdminメニュー

WebAdminメニューは、Sophos UTMのすべての設定オプションへのアクセスを提供します。した

がって、特定パラメータの設定にコマンドラインインタフェースを使用する必要はありません。 l

ダッシュボード:ダッシュボードは、Sophos UTMユニットの現在の操作状況をグラフィカルに

表示します。 l

マネジメント:基本的なシステム設定、WebAdmin設定、Sophos UTMおよびユニットの設定に

関するすべての設定を構成します。 l

定 義 とユーザ:Sophos UTMユニットで使用するネットワーク、サービス、時間帯定義、および

ユーザアカウント、ユーザグループ、外部認証サービスを構成します。 l

インタフェース& ルーティング:ネットワークインタフェースおよびルーティングオプションなど

のシステム機能を設定します。 l

ネットワークサービス:DNSやDHCPなどのネットワークサービスを設定します。 l

ネットワークプロテクション:ファイアウォールルール、VoIP、侵入防御設定などの基本的な

ネットワークプロテクション機能を設定します。 l

Webプロテクション:Sophos UTMユニットのWebフィルタおよびアプリケーションコントロール、

ならびにFTPプロキシを設定します。 l

Eメールプロテクション:ユニットのSMTPおよびPOP3プロキシ、ならびにメールの暗号化を設

定します。Sophos UTM l

エンドポイントプロテクション:使用しているネットワークで、エンドポイントデバイスのプロテク

ションを設定、管理します。 l

ワイヤレスプロテクション:ゲートウェイのワイヤレスアクセスポイントを設定します。 l

Webサーバプロテクション:WebサーバをクロスサイトスクリプティングやSQLインジェクション

などの攻撃から防御します。 l

REDマネジメント:REDアプライアンスを設定します。 l

サイト間 VPN:サイト間VPN(バーチャルプライベートネットワーク)を設定します。 l

リモートアクセス:Sophos UTMユニットへのリモートアクセスVPN接続を設定します。 l

ログとレポート:Sophos UTMユニットの使用状況に関するログメッセージと統計を表示し、ロ

グおよびレポーティングに関する設定を構成します。

30 UTM 9 WebAdmin

2 WebAdmin 2.2 ボタンバー l

サポート:Sophos UTMユニットで利用できるサポートツールにアクセスします。 l

ログオフ:ユーザインタフェースからログアウトします。

メニューの検 索

メニュー上部に検索ボックスがあります。ここではキーワードについてメニューを検索し、特定のト

ピックに関するメニューを容易に検索できます。検索機能はメニュー名を検索しますが、非表示の

索引付けされた別名やキーワードも検索できます。

検索ボックスに入力を開始するとすぐに、関連するメニュー項目のみが自動的に表示されます。

検索ボックスはそのままにして、該当すると予想されるメニュー項目をクリックしてください。少なく

なったメニュー項目はそのまま残り、その隣りのリセットボタンをクリックするまで検索結果が表示

されます。

ヒントキーボードショートカットCTRL+Yで検索ボックスにフォーカスすることができます。

2.2 ボタンバー

WebAdminの右上隅にあるボタンから、次の機能にアクセスできます。 l

ユーザ名 /IP:現在ログインしているユーザと、WebAdminにアクセスしているIPアドレスを示

します。現在他のユーザもログインしている場合は、他のユーザのデータも表示されます。 l

ライブログを開 く:このボタンをクリックすると、現在使用しているWebAdminメニューまたはタ

ブに関連するライブログが開きます。メニューまたはタブを変更しなくても他のライブログを

表示するには、ライブログボタンの上にカーソルを合わせます。数秒後に使用可能なすべ

てのライブログのリストが表示されるため、ここで表示するライブログを選択できます。この

選択は、同じWebAdminメニューまたはタブを使用する限り、記憶されます。

ヒント多くのWebAdminページに用意されたライブログを開 くボタンをクリックしてもライブ

ログを開くことができます。 l

オンラインヘルプ: すべてのメニュー、サブメニュー、タブにはオンラインヘルプ画面があり、

WebAdminの現在ページのコントロールに関連するコンテキストに応じた情報や手順を提供

します。

UTM 9 WebAdmin 31

2.3 リスト 2 WebAdmin

オンラインヘルプはバージョンに基づいており、パターンによって更新されます。新し

いファームウェアバージョンに更新したときに、オンラインヘルプの更新が利用できる場合

は、オンラインヘルプも更新されます。 l

リロード:すでに表示されているWebAdminページを再び要求する場合、必ず リロードボタンを

クリックしてください。

ブラウザの「再読み込み」ボタンや「更新」ボタンは使用しないでください。これを行う

と、WebAdminからログアウトすることになります。

2.3 リスト

WebAdminの多くのページにはリストがあります。各リストの左にあるボタンを使用すると、アイテム

の編集、削除、または複製が可能です(詳しくは ボタンとアイコンセクションを参照してください)。 リ

ストにアイテムを追加するには、

新 規 ...ボタンをクリックします。ここで「...」は、作成中のオブジェクト

(インタフェースなど)を示すプレースホルダです。 ダイアログボックスが開き、新規オブジェクトのプ

ロパティを定義することができます。

5 WebAdmin:リストの例

一番上の最初のドロップダウンリストで、タイプまたはグループ別にすべてのアイテムをソートする

ことができます。上部にある2番目のフィールドを使用して、具体的なアイテムを検索することがで

きます。検索文字列を入力し、

検 索 をクリックします。

アイテムが11個以上含まれるリストは、複数ページに分割され、(>>)進むボタンと(<<)戻るボタンを

使用して移動することができます。 表 示 ドロップダウンリストで、ページ当たりのアイテム数を一時

32 UTM 9 WebAdmin

2 WebAdmin 2.4 リストの検索

的に変更することもできます。 さらに、 マネジメント> WebAdmin設 定 >

ユーザ設 定 タブですべて

のリストのデフォルト設定を変更することができます。

リストのヘッダには、機能があります。 ソート順 ドロップダウンリストからアイテムを選択すると、そ

のアイテムのリストが並べ替えられます。例えば、Name ascを選択するとオブジェクト名による昇

順にリストが並べ替えられます。 ヘッダの アクションフィールドには、選択しているリストオブジェク

トに対して実行できるバッチオプションがあります。オブジェクトを選択するには、それぞれのチェッ

クボックスを選択します。この選択は、複数ページにわたって維持されます。つまり、リストを数

ページにわたって閲覧する間、既に選択したオブジェクトが選択された状態で維持されます。

ヒント情報アイコンをクリックすると、そのオブジェクトが使用されているすべての設定オプショ

ンが表示されます。

2.4 リストの検索

フィルタフィールドを使用すると、リストに表示される項目数を制限することができます。これによ

り、目的のオブジェクトを素早く探すことができます。

重 要 事 項

l

リストの検索では、通常複数のフィールドで検索式を検索します。たとえば、ユーザとグルー

プで検索を行うと、ユーザ名、実際の名前、コメント、最初のEメールアドレスが検索されま

す。一般的に、情報アイコンを使用して表示される情報を除いて、リストに表示されるすべ

てのテキストに検索が行われます。 l

リストの検索では、大文字と小文字が区別されないため、 大文字または小文字のどちらを

入力しても同じ結果になります。検索結果には、一致した大文字と小文字のテキストが表

示されます。大文字または小文字のテキストを限定して検索することはできません。 l

リストの検索は、Perl正規表現構文に基づいています(しかし、大文字と小文字は区別され

ません)。テキストエディタなどでよく使用される * や ? などの単純なワイルドカード文字、

AND や OR などの演算子をはじめとする検索式は、リスト検索では 機能しません。

ここには、役立つ検索文字列をいくつか示します。

単 純 な文 字 列 :指定した文字列を含むすべてのワードを検索します。たとえば、「inter」を指定す

ると、「Internet」、「interface」、「printer」が検索されます。

UTM 9 WebAdmin 33

2.5 ダイアログボックス 2 WebAdmin

ワードの最 初 :検索文字列の最初に\bを付加します。たとえば、\binterを指定すると、

「Internet」と「interface」が検索されますが、「printer」は検索されません。

ワードの最 後 :検索文字列の最後に\bを付加します。たとえば、http\bを指定すると、「http」が

検索されますが、「https」は検索されません。

エントリの最 初 :検索文字列の最初に^を付加します。たとえば、^interを指定すると、「Internet

Uplink」が検索されますが、「Uplink Interfaces」は検索されません。

IPアドレス:IPアドレスを検索する場合は、ドットをバックスラッシュでエスケープする必要がありま

す。たとえば、192\.168 を指定すると、"192.168" が検索されます。IPアドレスをより一般的に検

索するために、任意の数と一致する\dを使います。\d+を指定すると、行の複数の桁が一致しま

す。たとえば、\d+\.\d+\.\d+\.\d+を指定すると、あらゆるIPv4アドレスが検索されます。

より完全な検索文字列を指定すると、予想しない結果が得られたり、不正確な結論を導くこ

とになるため、それよりは簡単で無難な検索文字列を使用して多くの検索結果を得ることをお勧

めします。

正規表現の詳細とSophos UTMでの使用方法については、 SophosKnowledgebase を参照してくださ

い。

2.5 ダイアログボックス

ダイアログボックスとは、特定の情報の入力を求めるためにWebAdminが使用する特別なウィンド

ウです。この例では、 定 義 とユーザ > ユーザとグループメニュー内の新規グループを作成するため

のダイアログボックスが示されています。

34 UTM 9 WebAdmin

2 WebAdmin 2.5 ダイアログボックス

6 WebAdmin:ダイアログボックスの例

各ダイアログボックスは、テキストボックス、チェックボックスなどの各種ウィジェットから構成され

ています。さらに、多くのダイアログボックスにはドラッグ&ドロップ機能があり、DNDと記された特

別な背景で識別されます。このようなボックスが表示された場合、ボックスにオブジェクトをドラッ

グすることができます。オブジェクトをドラッグする元の場所となるオブジェクトリストを開くには、テ

キストボックスのすぐ横にあるフォルダアイコンをクリックします。これにより、設定オプションに応じ

て、使用可能なネットワーク、インタフェース、ユーザ/グループ、またはサービスのリストが開きま

す。緑色の「+」アイコンをクリックすると、ダイアログウィンドウが開き、新しい定義を作成することが

できます。特定の設定で不要なウィジェットは、グレーアウト表示されます。これらのウィジェットを

編集できる場合もありますが、効果はありません。

WebAdminには、保 存 ボタンと適 用 ボタンの両方が存在します。保 存 ボタンは、スタティック

ルートやネットワーク定義といったWebAdmin内のオブジェクトを作成または編集するときに使用

します。常に、対応する キャンセルボタンが用意されています。一方、適 用 ボタンは、バックエンド

で設定を確認し、速やかに有効にするために使用します。

UTM 9 WebAdmin 35

2.6 ボタンとアイコン 2 WebAdmin

2.6 ボタンとアイコン

ここでは、WebAdminで使用されているボタンとアイコンの用途について説明します。

ボタン 機 能 アイコン

オブジェクトの詳 細 情 報 を示 すダイアログウィンドウが表 示 されます。

オブジェクトのプロパティを編 集 するためのダイアログウィンドウが開 きます。

オブジェクトを削 除 します。そのオブジェクトが他 の箇 所 でまだ使 用 されて

いる場 合 は、警 告 が表 示 されます。使 用 中 のオブジェクトは削 除 できな

い場 合 があります。

同 じ設 定 やプロパティで別 のオブジェクトを作 成 するためのダイアログウィン

ドウが開 きます。同 じ設 定 を何 度 も繰 り返 し入 力 する必 要 なく、類 似 の

オブジェクトを作 成 できます。

機 能

アイコ

意 味

情 報 :オブジェクトが使 用 されているすべての設 定 が表 示 されます。

詳 細 :トピックに関 する詳 細 情 報 がある、WebAdmin別 のページにリンクします。

トグルスイッチ:機 能 を有 効 または無 効 にします。有 効 な場 合 は緑 、無 効 な場 合 はグ

レー、有 効 化 する前 に設 定 が必 要 な場 合 はアンバーとなります。

フォルダ:2種 類 の機 能 があります。(1) 左 側 にあるオブジェクトリストを開 く( 下 のセク

ションを参 照 ) 。ここで適 切 なオブジェクトを選 択 できます。(2) ファイルのアップロード用

のダイアログウィンドウを開 く。

プラス + :必 要 なタイプの新 しいオブジェクトを追 加 するためのダイアログウィンドウが

開 きます。

アクション:アクションがあるドロップダウンメニューを開 きます。アクションは、アイコンの場

所 によります。(1) リストヘッダにあるアイコン:アクション、例 有 効 化 、無 効 化 、削 除 、

選 択 したリストオブジェクトへの適 用 。(2) テキストボックスにある場 合 、インポート/エク

スポートを使 用 して、テキストをインポート/エクスポートできます。また、空 にするを使 っ

て、コンテンツ全 体 を削 除 することもできます。一 部 の要 素 にリストを絞 るためのフィル

タフィールドも提 供 されています。フィルタでは大 文 字 と小 文 字 が区 別 されます。

36 UTM 9 WebAdmin

2 WebAdmin 2.7 オブジェクトリスト

機 能

アイコ

意 味

空 にする:オブジェクトの前 にある場 合 、現 在 の設 定 からオブジェクトを除 去 します。 ア

クションメニューにある場 合 、ボックスからすべてのオブジェクトを除 去 します。ただし、こ

のオブジェクトは削 除 されるわけではありません。

インポート:複 数 のアイテムまたは行 を持 つテキストをインポートするためのダイアログ

ウィンドウが開 きます。複 数 のアイテムを個 別 に入 力 するのではなく、まとめて追 加 す

ることができます (たとえば、URL ブラックリストに大 規 模 なブラックリストを追 加 する)。

任 意 の場 所 からテキストをコピーし、CTRL+V で貼 り付 けます。

エクスポート:既 存 のアイテムをすべてエクスポートするためのダイアログウィンドウが開 き

ます。アイテムを区 切 るための区 切 り文 字 として、新 しい行 、コロン、コンマのいずれか

を選 択 できます。アイテムをテキストとしてエクスポートするには、 エクスポートするテキス

トフィールドでテキスト全 体 を選 択 し、CTRL+C を押 してコピーします。続 いて、CTRL+V

を使 用 してすべての共 通 アプリケーション(テキストエディタなど) にこれを貼 り付 けま

す。

ソート:2つの矢 印 を使 用 してリストの各 要 素 を上 下 に動 かし、並 べ替 えることができ

ます。

進 む/戻 る:場 所 に応 じて、長 いリストのページを移 動 したり、変 更 や設 定 の履 歴 を前

へ または後 ろへ 移 動 することができます。

PDF:現 在 表 示 されているデータをPDFファイルに保 存 してから、保 存 したファイルをダ

ウンロードするためのダイアログウィンドウが開 きます。

CSV:現 在 表 示 されているデータをCSV コンマ区 切 り値 ファイルに保 存 してから、保

存 したファイルをダウンロードするためのダイアログウィンドウが開 きます。

2.7 オブジェクトリスト

オブジェクトリストとは、WebAdminの左側に一時的に表示されるドラッグ&ドロップリストで、メイン

メニューをカバーします。

UTM 9 WebAdmin 37

2.7 オブジェクトリスト 2 WebAdmin

7 WebAdmin:オブジェクトリストネットワーク

オブジェクトリストは、フォルダアイコンをクリックすると自動的に開きます(上のセクションを参

照)。あるいは、キーボードショートカットを使用して手動で開くこともできます( マネジメント>

WebAdmin設 定 >

ユーザプリファレンス を参照)。

オブジェクトリストから、ユーザ/グループ、インタフェース、ネットワーク、サービスなどのWebAdmin

オブジェクトにすばやくアクセスし、設定時に選択することができます。オブジェクトを選択するに

は、現在の設定にオブジェクトをドラッグ&ドロップするだけです。

既存の各種オブジェクトタイプに従い、オブジェクトリストには5つのタイプがあります。「フォルダ」ア

イコンをクリックすると、現在の設定で必要なタイプが常に開きます。

38 UTM 9 WebAdmin

3 ダッシュボード

ダッシュボードは、Sophos UTMの現在の操作状況をグラフィカルに表示します。特に、右上に表示

されているダッシュボード設定アイコンを利用して、どのトピックセクションを表示するかを設定でき

ます。設定についての詳細情報は、 ダッシュボード> ダッシュボード設 定 で確認できます。

このダッシュボードにはデフォルトで、ユーザがいつWebAdminにログインしたのかを示す情報と次

の情報が表示されます。 l

一 般 情 報 :ユニットのホスト名、モデル、ライセンスID、サブスクリプション、およびアップタ

イム。サブスクリプションの表示色は、有効期限が切れる30日前からオレンジ色に変わりま

す。7日前から、また有効期限が切れると、サブスクリプションの表示色は赤になります。 l

バージョン情 報 :現在インストールされているファームウェアとパターンバージョン、および利

用可能な更新パッケージの情報。 l

リソース使 用 状 況 :次のコンポーネントを含むシステムの現在の使用状況。 l

CPU 使用率(%) l

RAM 使用率(%) 表示される合計メモリは、オペレーティングシステムが使用できる部

分であることに注意してください。32ビットシステムでは、一部がハードウェア用に予

約されているため、必ずしも設置されている物理メモリの実際のサイズが表示されな

い場合もあります。 l

ログパーティションで消費されているハードディスクの容量(%) l

ルートパーティションで消費されているハードディスクの容量(%) l

UPS(無停電電源装置)モジュールがある場合はその状況 l

今 日 の脅 威 ステータス:深夜以降に検出された関連するセキュリティ脅威のカウンタ: l

ログが有効になっているドロップされたデータパケットと拒否されたデータパケットの

合計 l

侵入がブロックされた回数の合計 l

ブロックされたウイルスの合計(全プロキシ) l

ブロックされたスパムメッセージの合計(SMTP/POP3) l

ブロックされたスパイウェアの合計(全プロキシ) l

ブロックされたURLの合計(HTTP/S)

40

3 ダッシュボード l

ブロックされたWebサーバ攻撃の合計(WAF) l

ブロックされたエンドポイント攻撃およびブロックされたデバイスの合計 l

インタフェース:設定されているネットワークインタフェースカードの名前とステータス。さら

に、受信トラフィックと送信トラフィックの両方に対する過去75秒間の平均ビットレートに関す

る情報も表示されます。表示される値は、15秒間隔で収集されるサンプルに基づく平均ビッ

トレートから取得されます。インタフェースのトラフィックアイコンをクリックすると、フローモニ

タが新しいウィンドウで開きます。フローモニタには、過去10分間のトラフィックが表示され、

短い間隔で自動更新されます。フローモニタについて詳しくは、

フローモニタ

を参照してくださ

い。 l

高 度 な脅 威 防 御 (ATP):高度な脅威防御のステータス。表示は、高度な脅威防御が有効

であるかどうか、および感染したホストのカウンタを示しています。 l

現 在 のシステム設 定 : 最も関連するセキュリティ機能が有効であるか無効であるかを示し

ます。エントリの1つをクリックすると、それぞれの設定と共にWebAdminページが開きます: l

ファイアウォール:アクティブファイアウォールルールの合計に関する情報。 l

IPS:侵入防御システム(IPS)は、シグニチャに基づくIPSルールセットを利用して攻

撃を認識します。 l

Webフィルタリング:HTTP/Sプロトコル用のアプリケーションレベルのゲートウェイ。

サービスの使用が許可されているネットワークに対し、豊富なWebフィルタ技術を提

供します。 l

ネットワーク可 視 化 :Sophos'レイヤ7アプリケーションコントロールを使用すると、

ネットワークトラフィックを分類およびコントロールできます。 l

SMTPプロキシ:SMTP(簡 易 メール転 送 プロトコル)を使用したメッセージ送信用の

アプリケーションレベルのゲートウェイ。 l

POP3プロキシ:POP3(Post Office Protocol 3)を使用したメッセージ送信用のアプリ

ケーションレベルのゲートウェイ。 l

RED:支社のセキュリティのためのリモートイーサネットデバイス(RED)アプライアン

スの設定。 l

ワイヤレスプロテクション:ワイヤレスネットワークおよびアクセスポイントの設定。 l

エンドポイントプロテクション:ネットワークにおけるエンドポイントデバイスの管理。接

続されているエンドポイントおよびアラートの数を表示します。 l

サイト間 VPN:サイト間VPNシナリオの設定。 l

リモートアクセス:ロードウォリアVPNシナリオの設定。

UTM 9 WebAdmin

3 ダッシュボード 3.1 ダッシュボード設定 l

WAF:WebサーバをクロスサイトスクリプティングやSQLインジェクションなどの攻撃

から防御するためのアプリケーションレベルのゲートウェイ。 l

HA/クラスタ:冗 長 化 (HA)フェイルオーバおよびクラスタリング。つまり、処理集約型

のタスク(コンテンツフィルタ、ウイルススキャン、侵入検知、復号化など)を複数のク

ラスタノードに均一に分散します。 l

Sophos UTM Manager:Sophos UTM集中管理ツールSophos UTM Manager(SUM)

によるアプライアンスの管理。 l

Sophosモバイル制 御 :コンテンツ、アプリケーション、Eメールを制御するためのモバ

イルデバイスの管理。 l

ウイルス対 策 :ウイルス、ワーム、その他のマルウェアなどの有害で危険なコンテン

ツを伝送するWebトラフィックからネットワークを保護します。 l

スパム対 策 :未承諾のスパムメールを検知し、既知の(または疑わしい)スパム発信

者からのスパム送信を特定します。 l

スパイウェア対 策 :シグニチャデータベースとスパイウェアフィルタリング技術が定期

的に更新される2種類のウイルススキャンエンジンを使用して、スパイウェア感染を

防止します。受信トラフィックと送信トラフィックの両方を保護します。

3.1 ダッシュボード設定

ダッシュボードでは、いくつかの設定を変更できます。ダッシュボード右上のダッシュボード設定ア

イコンをクリックすると ダッシュボード設 定 の編 集 ダイアログウィンドウが開きます。

ダッシュボードの更 新 :デフォルトで、ダッシュボードは5秒間隔で更新されます。更新間隔は 無 し

毎 分 の間で設定できます。

左 の列 右 の列 :ダッシュボードは、各トピックに関する情報を示すいくつかのトピックセクション

に分かれています。 左 の列 および右 の列 の 2つのボックスを使用すると、これらのトピックセクショ

ンの配置を変えたり、表示に追加したり表示から削除することができます。これらの設定がその後

ダッシュボードに反映されます。列のトピックセクションを並べ替えるには、矢印アイコンを使用し

ます。特定のトピックセクションを表示に追加したり表示から削除するには、チェックボックスに

チェックを入れるか、外します。

デフォルトで表示されるトピックセクションについては、「ダッシュボード」の章を参照してください。

追加のトピックセクションも表示することができ、ここでそれについて説明します。

UTM 9 WebAdmin 41

3.1 ダッシュボード設定 3 ダッシュボード l

Webプロテクション:上 位 アプリ: 最もよく使用されているアプリケーションの概要。このセク

ションで、アプリケーションの上にカーソルを移動させると、追加の機能を提供するアイコン

が1つか2つ表示されます。 l

ブロックアイコンをクリックすると、現時点から該当アプリケーションがブロックされま

す。これにより、 アプリケーション制 御 ルール

ページにルールが作成されます。このオ

プションは、Sophos UTMの正常なオペレーションに必要なアプリケーションに対して

は利用できません。たとえば、WebAdminトラフィックはブロックできません。これをブ

ロックすると、ユーザ自身がWebAdminからシャットアウトされてしまいます。未分類の

トラフィックもブロックできません。 l

シェーピングアイコンをクリックすると、それぞれのアプリケーションのトライフィック

シェーピングが有効になります。ダイアログウィンドウが開き、ルール設定を定義する

よう要求されます。完了したら

保 存 をクリックします。これにより、

および帯 域 幅 プー

ページの両方にルールが作成されます。シェーピングはインタフェース単位で機能

するため、

すべてのインタフェースフローモニタを閲覧している際はトラフィックシェーピ

ングを利用できません。 l

帯 域 幅 調 整 アイコンをクリックすると、それぞれのアプリケーションのトライフィック

帯域幅調整が有効になります。ダイアログウィンドウが開き、ルール設定を定義する

よう要求されます。完了したら

保 存 をクリックします。これにより、 トラフィックセレクタ

および

ダウンロード帯 域 幅 調 整

ページにルールが作成されます。ダウンロード帯域

幅調整はインタフェース単位で機能するため、

すべてのインタフェースフローモニタを

閲覧している際はダウンロード帯域幅調整を利用できません。 l

Webプロテクション:時 間 別 の上 位 サイト:最もよく閲覧されたドメインの時間別の概要。 l

Webプロテクション:トラフィック別 の上 位 サイト:最もよく閲覧されたドメインのトラフィック別

の概要。 l

ログ:ディスクのSophos UTM残容量、フィルアップレート(使用量増加速度)の情報を含むユ

ニットのログパーティションのステータス。 l

ニュースフィード:Sophosおよびその製品に関するニュース。 l

グラフ:同 時 接 続 :同時接続の総数に関する日々の統計およびヒストグラム。 l

グラフ:ログパーティションステータス:ログパーティションの使用状況に関する過去4週間の

統計およびヒストグラム。 l

グラフ:CPUの使 用 状 況 :現在のプロセッサ使用状況(%)に関する日々の統計およびヒスト

グラム。 l

グラフ:メモリ/スワップの使 用 状 況 :メモリおよびスワップ使用状況(%)に関する日々の統計

およびヒストグラム。

42 UTM 9 WebAdmin

3 ダッシュボード 3.2 フローモニター l

グラフ:パーティション使 用 状 況 :選択したパーティションの使用状況(%)に関する日々の統

計およびヒストグラム。

ダッシュボードでの自 動 グループ化 の有 効 化 :ダッシュボード上にコンパクトに情報を表示するに

はこのオプションを選択します。このオプションは、左の列のWeb プロテクションの選択項目と、右

の列の グラフの選択項目のみに影響を及ぼします。これを選択すると、各情報要素がダッシュ

ボード上のタブとして重なって表示されます。選択を解除すると、情報要素が左右に並んで表示さ

れます。

保 存 をクリックして設定を保存します。

3.2 フローモニター

Sophos UTMのフローモニタは、現在UTMのインタフェースを通過しているネットワークトラフィックに

関する情報を素早く確認するためのアプリケーションです。ダッシュボードの右上でいずれかのイ

ンタフェースをクリックすることにより簡単にアクセスできます。 すべてのインタフェースをクリックする

と、すべてのアクティブなインタフェースについて蓄積されたトラフィックがフローモニタに表示され

ます。単一のインタフェースをクリックすると、そのインタフェースのトラフィックのみがフローモニタ

に表示されます。

フローモニタは新しいブラウザウィンドウで開きます。このウィンドウはポップアップブロッカ

によってブロックされる可能性があるため、WebAdminに対してポップアップブロッカを無効にする

ことをお勧めします。

フローモニタには、グラフとテーブルという2種類のビューがあります。それぞれについては後述し

ます。ビューは5秒間隔で更新されます。更新を停止するには 一 時 停 止 ボタンをクリックします。

続 行 をクリックして更新を再開すると、フローモニタが最新のトラフィック情報に更新します。

テーブルビュー

フローモニタのテーブルには、過去5秒間のネットワークトラフィックに関する情報が表示されます。

#:トラフィックは、現在の帯域幅使用状況に基づいてランク付けされます。

Application(アプリケーション):利用可能な場合、ネットワークトラフィックのプロトコルまたは名

前。未分類のトラフィックは、システムにとって不明な種類のトラフィックです。アプリケーションをク

リックすると、ウィンドウにサーバ、使用ポート、サーバ接続ごとの帯域幅の使用状況、合計トラ

フィックの情報が表示されます。

UTM 9 WebAdmin 43

3.2 フローモニター 3 ダッシュボード

Client(クライアント):アプリケーションを使用しているクライアント接続数。クライアントをクリックす

ると、ウィンドウにクライアントのIPアドレス、クライアント接続ごとに使用される帯域幅、合計トラ

フィックの情報が表示されます。未分類のトラフィックの場合は、テーブル内のクライアント数が追

加情報ウィンドウに表示されるクライアント数よりも多くなる可能性があります。これは「未分類」に

複数のアプリケーションが含まれるためです。したがって、情報ウィンドウのクライアント数が1つで

もテーブルには3つのクライアントが存在する場合があります。これは、1つのクライアントが3種類

の未分類のアプリケーションに接続していることが考えられます。

Bandwidth Usage Now(現 在 の帯 域 幅 使 用 状 況 ):過去5秒間の帯域幅使用状況。帯域幅を

クリックすると、ウィンドウにアプリケーション接続のダウンロード速度とアップロード速度の情報が

表示されます。

Total Traffic(合 計 トラフィック):接続の「ライフタイム」中に生成されたネットワークトラフィックの

合計数。例1:ダウンロードが、過去のある時点で開始され、まだ継続中です。ダウンロード開始時

点から、期間中に生成されたトラフィック全体が表示されます。例2:複数のクライアントが

Facebookを使用しています。いずれか1つのクライアントが接続をオープンにしている限り、すべて

のクライアントによってこれまでに生成されたトラフィックがすべて蓄積されて合計トラフィックに表

示されます。

合計トラフィックをクリックすると、ウィンドウにアプリケーション接続の総合ダウンロード速度とアッ

プロード速度の情報が表示されます。

Actions(アクション):アプリケーションの種類に応じて、利用可能なアクションがあります(未分類

のトラフィックを除く)。 l

ブロック:Blockボタンをクリックすると、現時点から該当アプリケーションがブロックされます。

これにより、 アプリケーション制 御 ルール ページにルールが作成されます。このオプション

は、Sophos UTMの正常なオペレーションに必要なアプリケーションに対しては利用できませ

ん。たとえば、WebAdminトラフィックはブロックできません。これをブロックすると、ユーザ自

身がWebAdminからシャットアウトされてしまいます。未分類のトラフィックもブロックできま

せん。 l

トラフィックシェーピング:シェーピング(Shape)ボタンをクリックすると、それぞれのアプリ

ケーションのトライフィックシェーピングが有効になります。ダイアログウィンドウが開き、

ルール設定を定義するよう要求されます。完了したら 保 存 をクリックします。これにより、

よび帯 域 幅 プール

ページの両方にルールが作成されます。シェーピングはインタフェース

単位で機能するため、 すべてのインタフェースフローモニタを閲覧している際はトラフィック

シェーピングを利用できません。 l

ダウンロード帯域幅調整:Throttleボタンをクリックすると、当該アプリケーションのダウンロー

ド帯域幅の調整が有効になります。ダイアログウィンドウが開き、ルール設定を定義するよ

う要求されます。完了したら 保 存 をクリックします。これにより、

トラフィックセレクタ

および ダウ

44 UTM 9 WebAdmin

3 ダッシュボード 3.2 フローモニター

ンロード帯 域 幅 調 整

ページにルールが作成されます。ダウンロード帯域幅調整はインタ

フェース単位で機能するため、

すべてのインタフェースフローモニタを閲覧している際はダウ

ンロード帯域幅調整を利用できません。

グラフビュー

フローモニタのグラフには、過去10分間のネットワークトラフィックが表示されます。横軸は時間

を、縦軸はスループットにスケールを動的に適用したときのトラフィック量を示します。

グラフビューの下部には、インタフェースを通過するトラフィックの種類を示す凡例が表示されま

す。トラフィックは種類ごとに色分けされるため、グラフ内で簡単に見分けることができます。

ネットワーク可視化を有効にした場合(Webプロテクション> アプリケーション制 御 >

ネット

ワーク可 視 化

の章を参照)、フローモニタはトラフィックについてより差別化された情報を表示し

ます。

マウスのカーソルをグラフ上に置くと、大きなドット (点) が表示され、グラフのその部分の詳細な

情報が表示されます。このドットは、グラフの線に沿って移動します。マウスのカーソルを移動する

と、ドットもそれに従って移動します。グラフに何本かの線がある場合、ドットはマウスカーソルの

移動に従って線の間を移動します。さらに、ドットの色は、それが表示している情報がどの線に関

連するかによって変わるため、線が互いに近接している場合に役立ちます。ドットは、ある時点で

のトラフィックの種類とサイズに関する情報を示します。

UTM 9 WebAdmin 45

4 マネジメント

この章では、基本システム設定や、Sophos UTMなどのWebベース管理インタフェースの設定を、定

義する方法を説明します。 概 要 ページには、加えられた可能性のある変更を含め、最近の

WebAdminセッションの統計が表示されます。変更の詳細を確認するには、 変 更 ログ列の表 示 ボ

タンをクリックします。

状 態 列には、前回のWebAdminセッションの終了時間が表示されます。

WebAdminセッションを終了するには、ログオフメニューをクリックします。ログオフメニューをク

リックしないでブラウザを閉じた場合、セッションは マネジメント> WebAdmin設 定 >

詳 細 タブで

定義されている期間の後にタイムアウトします。

この章には次のトピックが含まれます。 l

システム設定

l

WebAdmin設定

l

ライセンス

l

Up2Date

l

バックアップ/リストア

l

ユーザーポータル

l

通知

l

カスタマイズ

l

SNMP

l

集中管理

l

冗長化(HA)

l

証明書管理

l

シャットダウン/リスタート

4.1 システム設定 4 マネジメント

4.1 システム設定

システム設定メニューで、UTMの基本設定を設定できます。ホスト名、日付、時刻設定のほか、ウ

イルス対策エンジンのスキャン設定または高度な脅威防御オプションを設定できます。また、設

定またはパスワードのリセットや、SSHシェルアクセス設定も行えます。

4.1.1 組 織

以下の組織情報を入力します(インストールウィザードにより行われていない場合)。 l

組 織 名 :組織の名前です。 l

市 :組織の所在地です。 l

国 :組織が所在する国です。 l

管 理 者 のEメールアドレス:Sophos UTMの技術サポートを担当する人物またはグループに

連絡するためのEメールアドレスです。

このデータは、IPsec、Eメール暗号化、およびWebAdminの証明書でも使用されます。

4.1.2 ホスト名

完 全 修 飾 ドメイン名 (FQDN)として、UTMのホスト名を入力します。完全修飾ドメイン名とは、DNS

ツリー階層でのノードの絶対位置を指定する明瞭なドメイン名です(utm.example.comなど)。ホ

スト名には英数字、ドット、およびハイフンを使用できます。ホスト名の末尾にはcom、org、deなど

の特殊な識別子を使用する必要があります。ホスト名は、通知メッセージでUTMを識別するため

に使用されます。また、Webフィルタから送信されたステータスメッセージにも表示されます。 お客

様のドメインのDNSゾーンにホスト名を登録する必要はありません。

4.1.3 日 付 と時 刻

UTMでは、日付と時刻を常に正しく設定しておく必要があります。これは、ロギングおよびレポー

ティングシステムから正しい情報を取得したり、インターネット上の他のコンピュータとの相互運用

性を保証するために必要です。

通常は、日付と時刻を手動で設定する必要はありません。デフォルトで、パブリックのインターネッ

トサーバとの自動同期が有効化されています( インターネットサーバと時 間 を同 期 のセクションを

参照)。

48 UTM 9 WebAdmin

4 マネジメント 4.1 システム設定

まれではありますが、タイムサーバとの同期を無効にする必要がある場合、時刻と日付を手動で

変更することができます。ただし、これを行う場合は、以下の警告に注意してください。 l

システム時間を標準時間からサマータイムに (あるいはその逆に) 変更しないでください。こ

の変更は、タイムサーバとの自動同期を無効にした場合でも、タイムゾーンの設定によって

自動的に行われます。 l

タイムサーバとの同期が有効になっている場合は、日付または時刻を手動で変更しないで

ください。多くの場合、自動同期により、手動で行った変更がすぐに取り消されます。日付ま

たは時刻を手動で設定する必要がある場合、最初にNTPサーバボックス(下のインターネッ

トサーバと時 間 を同 期 セクション)からすべてのサーバを削除し、適 用 をクリックしてくださ

い。 l

システム時間を手動で変更してから、変更が成功したことを通知する緑色の確認メッセー

ジが表示されるまで待機します。次に、システムをリブートします( マネジメント> シャットダウ

/リスタート)。多くのサービスでは、時間は連続的に変化し、急に変化する訳ではないとい

う事実に依存しているため、これが推奨されます。時間に飛びがあると、様々なサービスの

誤作動につながる可能性があります。このアドバイスは、あらゆる種類のコンピュータシス

テムに共通して該当します。 l

まれに、システム時間を変更すると、WebAdminセッションが強制終了される可能性がありま

す。これが発生した場合、ログインし直して、時刻が正しく設定されていることを確認し、後で

システムを再起動してください。

UTMこれは、アカウンティングとレポートデータをさらに処理する必要がある場合やデータの精度が

重要な場合には、特に言えることです。

これは、レポートデータをさらに処理する必要がある場合やデータの精度が重要な場合には、特に

言えることです。 l

時 刻 を早 める l

時刻に基づくレポートの場合、スキップされた時間のデータがなくなります。ほとんど

のグラフでは、この期間は、最近記録された値が直線で表示されます。 l

アカウンティングレポートでは、この期間は、すべての変数が0で表示されます。 l

時 刻 を戻 す l

時刻に基づくレポートには、該当する期間のログデータがすでに存在します。 l

ほとんどの図は、この期間に記録された値を圧縮して表示します。 l

ダッシュボードで表示される最後のパターンチェックからの経過時間は、たとえ最後

のチェックがほんの数分前に行われた場合であっても、値について「なし」と表示し

ます。

UTM 9 WebAdmin 49

4.1 システム設定 4 マネジメント l

UTM上で自動的に作成された証明書は、それらの有効期間の開始日付が将来に

なっている場合は無効になります。 l

アカウンティングレポートは将来の時刻から記録された値を保持します。再度リセット

の時刻になると、アカウンティングデータは再度通常どおりに記述されます。

こうした欠点があるため、システム時間はシステムのセットアップ時に一度だけ設定し、その後は

少し調整するだけにするべきです。 これは、レポートデータをさらに処理する必要がある場合や

データの精度が重要な場合には、特に言えることです。

日 付 と時 刻 の設 定

システム時間を手動で設定するには、日付と時刻をそれぞれのドロップダウンリストから選択しま

す。設定を保存するには 適 用 をクリックします。

タイムゾーンの設 定

システムのタイムゾーンを変更するには、ドロップダウンリストから地域またはタイムゾーンを選択し

ます。設定を保存するには 適 用 をクリックします。

タイムゾーンを変更してもシステム時間は変更されず、影響があるのは、ロギングデータやレポー

ティングデータなどの出力における時間の表示のみです。サービスの妨げとなることはなくても、す

べてのサービスが新しい時間設定を確実に使用するように後でリブートすることを強く推奨いたし

ます。

インターネットサーバとの時 刻 同 期

タイムサーバを使用してシステム時刻の同期をとるには、1台以上のNTPサーバを選択します。設

定を終了したら

適 用 をクリックします。

NTPサーバ:デフォルトではNTP Server Poolが選択されています。このネットワーク定義は

pool.ntp.orgプロジェクトのパブリックタイムサーバの大きな仮想クラスタにリンクしています。イン

ターネットサービスプロバイダが顧客用にNTP サーバを運用しており、これらのサーバへのアクセ

ス権がある場合、NTP Server Poolを削除してプロバイダのサーバを使用することが推奨されま

す。独自のサーバまたはプロバイダのサーバを選択する場合、複数のサーバを使用すると、精度

や信頼性が向上します。3つの独立したサーバを使用すれば、常に十分です。それ以上のサーバ

を追加しても、さらなる改良はほとんど期待できず、サーバの負荷が増加します。NTP Server

Poolと独自またはプロバイダのサーバの両方を使用しても、精度や信頼性は向上しないため、使

用は推奨されません。

ヒントクライアントコンピュータをこれらのNTP サーバと接続可能にするには、 ネットワークサー

ビス> NTP

ページの許可ネットワークに追加します。

50 UTM 9 WebAdmin

4 マネジメント 4.1 システム設定

テスト構 成 サーバ:デバイスから選択されたNTPサーバへの接続を確立できることと、NTPサーバ

が使用可能な時刻データを返すことをテストする際は、このボタンをクリックします。これで、お使い

のシステムとサーバ間の時間のオフセットを測定します。お使いのシステムが正しく設定されてお

り、一定時間にわたって安定した状態で動作している場合は、オフセットは一般的に1秒未満にな

ります。

通常、NTPを有効化したり他のサーバを追加した直後は、オフセットがこれより長くなります。時間

の飛びを防ぐために、NTPはゆっくりとシステム時間をずらします。やがて、システム時間は時間の

飛びなく補正されます。このような状況が発生した場合は、しばらく待機してください。特に、このよ

うな場合には、システムを再起動

しないでください。その代わりに、約1時間後に再びチェックしてく

ださい。オフセットが減少すると、すべてが正しく機能するようになります。

4.1.4 シェルアクセス

セキュアシェル(SSH)はコマンドラインアクセスモードであり、主にUTMへのリモートシェルアクセ

スを取得するために使用されます。これは通常、より深いレベルのメンテナンスやトラブルシュー

ティングに使用されます。このシェルにアクセスするには、SSHクライアントが必要です。SSHクライ

アントは一般的に、ほとんどのLinuxディストリビューションに装備されています。Windowsの場合、

無料のSSHクライアントをダウンロード可能です。例:PuTTY( www.putty.org

)またはDameWare

( www.dameware.com

)。

許 可 ネットワーク

許 可 ネットワークコントロールを使用して、この機能へのアクセスを特定ネットワークのみに制限し

ます。ここにリストされたネットワークは、SSHサービスに接続できます。

認 証

このセクションで、SSHアクセスの認証方法とアクセスの厳格さを定義できます。以下の認証方法

を利用できます。 l

パスワード(デフォルト) l

公開鍵 l

パスワードと公開鍵

これらのオプションを利用するには、対応するチェックボックスを選択します。 公 開 鍵 認 証 を使用

するには、公開鍵での認証を許可された各ユーザについて、それぞれの公開鍵を ログインユーザ

に承 認 された鍵 フィールドにアップロードする必要があります。

rootログインの許 可 :rootユーザに対してSSHアクセスを許可できます。このオプションを有効にす

るとセキュリティリスクが高くなるため、デフォルトでは無効になっています。このオプションを有効

UTM 9 WebAdmin 51

4.1 システム設定 4 マネジメント

にすると、ルートユーザは公開鍵を介してログインできます。root用 の公 開 鍵 フィールドにrootユー

ザの公開鍵をアップロードします。

- Sophos Knowledgebase 内でのSSH鍵作成についての詳細は、

PuTTYを使 用 する

Linux

ベースのシステム 上 のSSH鍵 の作成の項でご確認ください。

設定を保存するには 適 用 をクリックします。

シェル ユーザ パスワード

デフォルトのシェルアカウントroot(ルート)およびloginuser(ログインユーザ)用のパスワードを

入力します。これら2つのアカウントのいずれか一方のパスワードのみを変更するには、他方のア

カウントの入力ボックスを空白のままにします。

SSHシェルアクセスを有効にするには、最初にパスワードを設定する必要があります。 さら

に、 定 義 とユーザ > 認 証 サービス>

詳 細

タブで設定したパスワードの複雑さの設定に準拠した

パスワードのみを指定できます。つまり、複雑なパスワードを有効にした場合は、シェルユーザ

のパスワードも同じ要件を満たすことが必要になります。

SSH経 由 でのUTMへのアクセス

SSH経由でUTMへアクセスするには、通常のSSHユーティリティプログラム(PuTTYなど)を利用し

て、SSHポート(デフォルトではTCP 22)経由で接続します。

ログインユーザとして、 l loginuserおよびSSHで上記で設定された関連パスワードをプロンプトして、ログイン可能

です。または、 l

ログインユーザとしてログイン後に、su - とタイプし上記で設定された関連パスワードを入

力してルート可能です。

- ルートを利用して行った変更により、サポートが無効となります。代わりに、設定変更には

WebAdminを使用します。

SSHデーモンリスニングポート

このオプションで、SSHに使用するTCPポートを変更できます。デフォルトでは、標準SSHポートの

22が設定されています。ポートを変更するには、1024~65535の適切な値をポート番 号 ボックス

に入力し、 適 用 をクリックします。

52 UTM 9 WebAdmin

4 マネジメント 4.1 システム設定

4.1.5 スキャン設 定

親 プロキシ

親プロキシは、多くの場合、政府承認のプロキシサーバを通してインターネットアクセスをルーティ

ングする必要のある国で必要とされます。親プロキシの使用がセキュリティポリシで求められてい

る場合、ここでホスト定義とポートを選択して親プロキシを設定できます。

親プロキシを使用:

1. 親 プロキシの使 用 を有 効 にするには、チェックボックスにチェックを入 れます。

2. ホストを選 択 または追 加 します。

3. プロキシのポートを入力します。

定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明

しています。

4.

適 用 をクリックします。

設定が保存されます。

プロキシ認 証 を使 用 :親プロキシで認証が必要な場合、ここでユーザ名とパスワードを入力しま

す。

ウイルス対 策 エンジン設 定

WebAdminを通してすべてのシングルスキャン設定に使用するウイルス対策エンジンを選択しま

す。デュアルスキャン設定では、両方のウイルス対策エンジンが使用されます。デュアルスキャン

は、ベーシックガードサブスクリプションでは使用できません。設定を保存するには 適 用 をクリック

します。

高 度 な脅 威 防 御 オプション

保護を強化するため分析オプションに対し、 疑 わしいファイルは分 析 のためSophosLabs(ソフォスラ

)へ送 信 を選択します。SophosLabsは、疑わしいマルウェアのふるまいを自動的に観察、分析す

るクラウドベースのサンドボックスが特徴です。これにより、使用しているUTMに対し、保護の更新

の迅速な配信を確保するのに役立ちます。この機能を無効にした場合、防御の応答時間が長くな

る可能性があります。

すべての送信に関し、セキュアなチャネルで送信され、 SophosLabs情報セキュリティポリシ に従っ

て取り扱われます。

UTM 9 WebAdmin 53

4.1 システム設定 4 マネジメント

4.1.6 設 定 またはパスワードのリセット

設 定 またはパスワードのリセットタブのオプションで、シェルユーザのパスワードを削除できます。さ

らに、工場リセットを実行して、UTMのシステムIDをリセットすることができます。

システムパスワードのリセット

システムパスワードを今 すぐリセット機能を実行すると、以下のユーザのパスワードがリセットされま

す。 l root ユーザ(シェルユーザ) l loginuser (シェルユーザ) l admin(事前に定義されている管理者アカウント)

さらに、システムを停止するには、 後 でシステムをシャットダウンオプションを選択します。

セキュリティに関 する注 記 次にiView Setupに接続する人に対して、adminパスワード設 定 ダイ

アログウインドウが表示されます。したがって、パスワードをリセットしたら、すぐにログアウトし、

ブラウザでそのページをリロード(再読み込み)して、新しいadminパスワードを設定してください。

また、マネジメント> システム設 定 >

シェルアクセス タブで新しいシェルパスワードを設定しない限

り、シェルアクセスは実行できなくなります。

出 荷 時 設 定 に初 期 化 する

今 すぐ工 場 リセット機能は、デバイスを工場出荷時のデフォルト設定にリセットします。以下の

データが削除されます。 l

システム設定 l

Webフィルタキャッシュ l

ログおよびレポーティングデータ l

データベース l

更新パッケージ l

ライセンス l

パスワード l

HAステータス

54 UTM 9 WebAdmin

4 マネジメント 4.2 WebAdmin設定

ただし、Sophos UTMソフトウェアのバージョン番号はそのままです。つまり、インストールされたす

べてのファームウェアおよびパターンの更新が維持されるということです。

Sophos UTMは、出荷時設定への初期化が開始するとシャットダウンします。

UTM ID リセット

UTM IDをすぐにリセット機能では、UTMのシステムID を新しい、ランダム値にリセットします。これ

は、たとえばエンドポイントプロテクションを使用する場合に関連します。エンドポイントプロテクショ

ンを使用するすべてのUTMは、一意のシステムIDによってSophosLiveConnectで自身を識別しま

す。たとえば、エンドポイントプロテクションを使用して仮想UTMを複製し、複製でもそUTMれを使

用したい場合は、以後、新しいシステムIDで識別できるように、複製されたのシステムID をリセット

する必要があります。リセット中、オンにすると、エンドポイントプロテクションはオフになります。

エンドポイントは、UTMシステムIDを使用して、UTMに接続されます。UTMシステムID をリ

セットし、他に古いUTMIDでリスンしているUTMがなければ、エンドポイントを再インストールする

必要があります。

UTMがSophosUTMManagerに接続されていて、そのUTMシステムIDをリセットすると、UTM

は新しいデバイスとして接続されます。必要であれば、2つのデバイスを管理できます。

4.2 WebAdmin設定

マネジメント> WebAdmin設 定 の下にあるタブで、アクセスコントロール、TCPポート、HTTPS証明

書、ユーザ設定、およびWebAdminの言語といったWebAdminの基本設定を構成できます。

4.2.1 一 般

WebAdmin設 定 > 一 般 タブで、WebAdmin言語と基本アクセス設定を構成できます。

WebAdmin 言 語

WebAdminの言語を選択します。 選択した言語も、一部のWebAdmin出力で使用できます。例、メー

ル通知、実行レポート。 例、実行レポート。これはグローバル設定で、すべてのユーザに適用され

ます。設定を保存するには 適 用 をクリックします。

言語を変更した場合、ブラウザのキャッシュを空にして、すべてのテキストが正しい言語で表示さ

れていることを確認する必要があります。

UTM 9 WebAdmin 55

4.2 WebAdmin設定 4 マネジメント

WebAdminアクセス設 定

ここで、WebAdminへのアクセスが許可されるユーザやネットワークを設定できます。

許 可 する管 理 者 :Sophos UTMは同時に複数の管理者によって管理できます。 許 可 された管 理

者 ボックスで、WebAdminインタフェースへの無制限の読み取りおよび書き込みアクセスを持つ

ユーザまたはグループを指定できます。デフォルトでは、これはSuperAdminsのグループになりま

す。ユーザを追加する方法は、 定 義 とユーザ > ユーザとグループ> ユーザページで説明していま

す。

許 可 ネットワーク: 許 可 ネットワークボックスで、WebAdminインタフェースに接続できるネットワーク

を定義できます。をスムーズにインストールするために、デフォルトはUTMすべてになっています。

これは、WebAdminインタフェースはどこからでもアクセスできることを意味します。この設定は、で

きるだけ早く内部ネットワークに変更してください。ただし、最もセキュアなソリューションは、アクセ

スを、HTTPS経由の1台の管理者用PCのみに制限することです。定義を追加する方法は、 定 義 と

ユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

アクセストラフィックをログ:すべてのWebAdminアクセスアクティビティをファイアウォールログにログ

する場合は、

アクセストラックをログチェックボックスにチェックを入れます。

4.2.2 アクセス制 御

WebAdmin設 定 > アクセス制 御 タブで、特 定 のユーザに対 してWebAdminロールを作成すること

ができます。これにより、WebAdminユーザに付与できる権限を細かく定義することができます。

以下の2つのユーザロールがあらかじめ定義されています。

AUDITOR 監 査 担 当 者 :このロールのユーザは、ログデータやレポートデータを参照できます。

READONLY 読 取 専 用 :このロールのユーザは、WebAdmin内のすべてを参照できますが、編

集、作成、削除は一切できません。

これらのいずれかの役割をユーザまたはグループに割り当てるには、 編 集 ボタンをクリックし、各

ユーザまたはグループを

メンバボックスに追加します。

セキュリティポリシに応じて、追加の役割を作成することができます。次の手順で実行します:

1.

アクセスコントロールタブで、新 規 役 割 をクリックします。

役 割 の追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :この定義を説明する名前を入力してください。

56 UTM 9 WebAdmin

4 マネジメント 4.2 WebAdmin設定

メンバ:このロールを割り当てるユーザまたはグループを追加または選択します。ユーザを

追加する方法は、 定 義 とユーザ > ユーザとグループ> ユーザページで説明しています。

読 取 専 用 アクセスのみ許 可 (オプション):このチェックボックスにチェックを入れると、

WebAdminのすべてのエリアへの読取専用アクセスが、指定メンバに付与されます。

権 限 :このボックスでは、WebAdminの異なる職種に対し、異なる権限レベルが含まれてい

ます:Auditor:監査担当者とManager:管理者。Managerは各機能に対する完全な管理権限

を持ちますが、Auditorは参照権限のみです。権限の前にあるチェックボックスにチェックを

入れて、1つ以上の権限を選択することができます。

ユーザJon Doeに、メールプロテクションのManager権限を付与し、追加で 読 取 専 用 アクセス

を付 与 チェックボックスにチェックを入れるとします。このユーザは、メールプロテクションの

セクションでは設定を変更できますが、WebAdminのその他のエリアでは参照のみ可能で、

変更は一切できません。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

設定が保存されます。

役割を編集または削除するには、対応するボタンをクリックします。AUDITORREADONLYの各

ロールは削除できません。

4.2.3 HTTPS証 明 書

マネジメント> WebAdmin設 定 > HTTPS証 明 書 タブで、WebAdmin CA証明書をブラウザにイン

ポートしたり、WebAdmin証明書を再生成したり、WebAdminとユーザポータルでの署名証明書の使

用を選択したりできます。

WebAdminアクセスの初回セットアップ時に、ローカルCAUTM証明書をで作成しました。このCA証

明書の公開鍵をお使いのブラウザにインストールすると、WebAdminインタフェースへのアクセス時

にセキュリティ警告が表示されなくなります。

CA証明書をインポートするには、以下の手順に従います。

1. HTTPS証 明 書 タブでCA証 明 書 をインポートをクリックします。

CA証明書の公開鍵がエクスポートされます。

CA証明書の公開鍵は、ディスクに保存するか、お使いのブラウザにインストールできます。

2. 証明書をインストールします オプション 。

ブラウザにダイアログボックスが表示され、証明書のインストールをすぐに選択できます。

UTM 9 WebAdmin 57

4.2 WebAdmin設定 4 マネジメント

システム時刻とタイムゾーンの違いによって証明書を作成してもすぐに有効にならない場合

があります。この場合、ほとんどのブラウザでは、証明書が期限切れであると表示されますが、

この表示は間違っています。ただし、証明書は24時間以内には自動的に有効になり、その後27

年間有効期間が持続します。

WebAdmin証 明 書 の再 生 成

WebAdmin証明書は、お客様が初回ログイン時に指定したホスト名を参照します。その間にホスト

名が変更された場合は、ブラウザがセキュリティ警告を表示します。この問題を避けるために、新

しいホスト名を考慮に入れて証明書を作成できます。このようなホスト名を入力して 適 用 をクリッ

クします。証明書の変更後、WebAdminで引き続き作業を行うには、多くの場合、お使いのWebブラ

ウザでページをリロード(再読み込み)し、新しい証明書を承認して、WebAdminに再度ログインする

必要があります。

WebAdmin/ユーザポータル証 明 書 を選 択 してください

CA証明書をインポートする代わりに、独自に署名した証明書をWebAdmin/ユーザポータルで使用

したい場合、ここでその証明書を選択します。 ただし、ドロップダウンリストで証明書を選択できる

ようにするためには、最初に リモートアクセス> 証 明 書 管 理 > 証 明 書 タブにおいて、証明書、CA、

秘密鍵が含まれる証明書をPKCS#12形式でアップロードする必要があります。 アップロードされた

証明書を使用するには、 証 明 書 ドロップダウンリストから選択し、適 用 をクリックします。

4.2.4 ユーザ設 定

マネジメント> WebAdmin設 定 > ユーザ設 定 タブで、現在ログインしているユーザのためにグロー

バルショートカットやページあたりのアイテムといったユーザプリファレンス(基本設定)を構成でき

ます。

WebAdminショートカット設 定

ここでは、多 くの設 定 に使 用 されるドラッグ& ドロップのオブジェクトリストを開 いたり閉 じたりするため

のキーボードショートカットを設 定 できます( 詳 細 は、

WebAdmin >

オブジェクトリストを参 照 ) 。ま

た、検 索 ボックスのカーソルフォーカスを設 定 できます

WebAdmin >

WebAdminメニューを参照)。

ドロップダウンリストを使用して、Alt、Ctrl、Shiftなどの各種修飾キーとテキストボックスを選択し、

異なる文字を入力してください。また、ドロップダウンリストで

オフを選択して、キーボードショート

カットをオフにできます。

デフォルトの設定に戻るには、 出 荷 時 設 定 にリセットボタンをクリックします。設定を保存するには

適 用 をクリックします。

58 UTM 9 WebAdmin

4 マネジメント 4.2 WebAdmin設定

テーブルページャオプション

ここでWebAdminのテーブルのページネーション(ページ割り)、 つまり、ページあたりのアイテムの

表示数をグローバルに定義できます。ドロップダウンリストをクリックして値を選択します。設定を

保存するには

適 用 をクリックします。

WebAdminブラウザタイトルのカスタマイズ

ここでは、WebAdminブラウザのウィンドウまたはタブに表示するラベルを変更できます。プレーンテ

キストを入力するか、次の変数を使用できます。 l

%h:ホスト名 l

%u:ユーザ名 l

%i:リモートIP アドレス

デフォルト設定は、WebAdmin - User %u - Device %hで、WebAdmin - User admin - Device

asg.example.comのように表示されます。設定を保存するには適 用 をクリックします。

4.2.5 詳 細

WebAdminアイドルタイムアウト

待 ち時 間 :このフィールドでは、どれぐらいWebAdminセッションのアイドル期間が続いたら管理者

に再度ログインを要求するかを秒単位で指定できます。デフォルトでは、アイドルタイムアウトは

1,800秒に設定されています。指定できる範囲は60~86,400秒です。

ダッシュボード画 面 でもログアウト:WebAdminの ダッシュボードページを開くと、自動ログアウト機能

はデフォルトで有効になっています。ただし、このオプションを選択して、自動ログアウト機能をダッ

シュボードでのみ、無効化することができます。

WebAdmin TCPポート

デフォルトでは、ポート4444をWebAdminのTCPポートとして使用します。TCPポートボックスには、

443あるいは1024~65535の任意の値を入力できます。ただし、一部のポートは他のサービス用

に予約されています。 特に、ポート10443は使用できません。また、ユーザポータルあるいはSSLリ

モートアクセスに使用しているものと同じポートは使用できません。 WebAdminにアクセスするとき

は、ブラウザのアドレスバーでポート番号をIPアドレスに(コロンで区切って)追加する必要があり

ます。例えば、https://192.168.0.1:4444のように指定します。

UTM 9 WebAdmin 59

4.2 WebAdmin設定 4 マネジメント

利 用 規 約

会社ポリシで、WebAdminへのアクセスを求めるユーザに利用規約への同意を求めることができま

す。ユーザがWebAdminにログインするたびに利用規約に同意することを要求するには、 ログイン後

に「利 用 規 約 」を表 示 チェックボックスにチェックを入れます。これにより、ユーザーがログインする

と利用条件が表示されるようになります。利用条件に同意しないと、再びログアウトされます。

必要に応じて利用規約の文面を変更することができます。設定を保存するには 適 用 をクリックし

ます。

Sophos Adaptive Learning

現在の設定に関する一般的な匿名情報や検出されたウイルス、または匿名指紋をSophosに転送

することで、Sophos UTMの改善にご協力ください。この種の情報からユーザを特定することはあり

ません。また特定することもできません。ユーザ固有の情報、つまりユーザ名、オブジェクト名、コメ

ント、その他の個人情報を収集することはありません。ただし、Webフィルタのウイルス対策スキャ

ンが有効であると、ウイルスが検出されたURLは転送されます。

情報は、SSLにより暗号化してSophosラボに送信されます。 送信されたデータは集計形式で保存

されます。Sophosのソフトウェアアーキテクトは、このデータを基に設計関連の決定を行い、将来の

バージョンのSophos UTMの向上に役立てます。

匿 名 テレメトリデータを送 信 :有効であると、UTMは、以下の情報を収集します: l

設定および使用のデータ:システムは、以下のデータをSophosのサーバに毎週一度送信し

ます。 l

次のようなハードウェアおよびライセンス情報(所有者を除く): processor Intel(R) Core(TM)2 Duo CPU E8200 @ 2.66GHz

memory 512MiB System Memory eth0 network 82545EM Gigabit Ethernet Controller id: UTM

バージョン:9.000000

バージョン:4.000000

タイプ:仮 想

ライセンス:標 準

モード:スタンドアロン active_ips:2 system_id:58174596-276f-39b8-854b-ffa1886e3c6c

60 UTM 9 WebAdmin

4 マネジメント 4.2 WebAdmin設定

システムIDは、再インストールの後などに、システム情報が誤って2回収集されること

がないように確認できる範囲のみでUTMを識別します。 l

次のような機能の使用状況(有効か無効かの特定のみ): main->backup->status:1 main->ha->status:オフ l

次のような設定オブジェクトの数: objects->interface->ethernet: 2 objects->http->profile: 5 l

有効化されたWebフィルタリングカテゴリおよび除外 l

CPU、メモリおよびスワップ使用状況(%)に関する過去7日の値 l

ウイルスデータ:システムは、以下のデータをファイルに書き込みます。このファイルは、15

分毎にSophosのサーバにアップロードされます。 l

たとえば、名前、MIMEタイプ、リクエストのURL、ファイルサイズなどのWebプロテク

ションで検出されたウイルスに関する情報。 l

侵入防御データ:IPSログで、新しいアラートを毎分毎にチェックします。新しいアラートがあ

ると、以下のデータがただちにSophosに送信されます: l snortルール識別子やタイムスタンプなどのアラートに関する情報。 l

ハードウェアおよびライセンス情報(所有者を除く)例:CPUトータル、CPU使用状況、

メモリトータル、メモリ使用状況、SWAPトータル、SWAP使用状況、システムID、

Engineのバージョン、パターンのバージョンなど。

データは、24時間ごとに送信されます。 l

高度な脅威防御データ:システムは、高度な脅威防御データを30分毎に生成し、アップロー

ドします。 l

収集情報:システムID、タイムスタンプ、Sophos脅威名、ソースIP、宛先ホスト、検出コ

ンテンツ、検出詳細、脅威数、ルール識別子。

匿 名 アプリケーション正 確 性 遠 隔 測 定 データの送 信 :Sophos UTMAppAccuracyプログラムに

参 加 すると、ネットワークの可視性とアプリケーション制御の認識と分類の向上に貢献いただけま

す。有効であれば、このシステムは、匿名のアプリケーション指紋という形でデータを収集し、

Sophosのリサーチチームへ送信します。ここでは、指紋を使用して、未分類のアプリケーションを識

別し、ネットワーク可視化およびアプリケーションコントロールライブラリを改良および拡張します。

UTM 9 WebAdmin 61

4.3 ライセンス 4 マネジメント

4.3 ライセンス

Sophos UTMの特定の機能を使用できるか否かは、ライセンスとサブスクリプションによって定義さ

れています。UTMつまり、とともに購入したライセンスとサブスクリプションに応じて、一部の機能は

使用でき、他の機能は使用できなくなります。

4.3.1 ライセンスの取 得 方 法

Sophos UTMには、すべての機能が有効になる30日間のトライアルライセンスが付属しています。

このライセンスの期限満了後にSophos UTMを操作したい場合には、有効なライセンスをインストー

ルする必要があります。すべてのライセンス(無料のホームユーザーライセンスを含む)は MyUTM 

ユーザガイド で作成されます。

UTMライセンスの購入後に、アクティベーションキーがメールで送信されます。これらのキーを使用

して、ライセンスを作成するか、既存のライセンスをアップグレードしてください。ライセンスを有効

にするには、 MyUTM ユーザガイド にログインし、ライセンス管理のページにアクセスしてください。

ページ上部にあるフォームの該当フィールドに、メールからアクティベーションキーをカット&ペース

トします。詳しくは、 MyUTMユーザガイド を参照してください。

62

8 MyUTMポータル

UTM 9 WebAdmin

4 マネジメント 4.3 ライセンス

別のフォームが表示されます。ここで、お客様がライセンスを購入した代理店についての情報と、

お客様自身の詳細情報を入力してください。このフォームには、わかる限りの情報があらかじめ入

力されています。また、該当する場合、SophosはUTMハードウェアのシリアル番号をこのフォーム

から収集します。フォームの送信後、ライセンスが作成され、ライセンス詳細ページが表示されま

す。ここで、ライセンスファイルをダウンロードすることができます。

ライセンスを実際に使用する場合、ライセンスファイルをハードドライブにダウンロードして、インス

トールされているWebAdminにログインする必要があります。WebAdminで、 マネジメント> ライセンス

> インストレーションタブにアクセスし、アップロード機能を使用してハードドライブ上のライセンステ

キストファイルを検索します。ライセンスファイルをアップロードすると、WebAdminがこれを処理し

て、すべてのサブスクリプションと、ライセンスに規定されたその他の設定を有効にします。

メールで受信したアクティベーションキーをWebAdminにインポートすることはできません。こ

のキーは、ライセンスの有効化だけに使用されます。UTMにインポートできるのはライセンスファ

イルのみです。

4.3.2 ライセンスモデル

Sophosのモジュール式ライセンスモデルは非常に柔軟です。まず、基本ライセンスでは、基本機

能を無料で提供しています(下の表を参照)。次に、6種類の追加サブスクリプションがあります。 l

ネットワークプロテクション l

Webプロテクション l

Eメールプロテクション l

エンドポイントプロテクション l

ワイヤレスプロテクション l

Webサーバープロテクション

これらは、ニーズに合わせて個別に購入することも組み合わせて購入することもできます。

FullGuardライセンスにはすべてのサブスクリプションが含まれています。それぞれのサブスクリプ

ションを使用して、製品の特定の機能を利用できます。下の表は、どのサブスクリプションでどの

機能を使用できるかを示しています。

UTM 9 WebAdmin 63

4.3 ライセンス 4 マネジメント

機 能

管 理 バック

アップ、通 知 、

SNMP、SYM

など

ローカル認 証

ユーザー、グ

ループ

基 本 ネットワー

キング スタ

ティックルート、

DHCP、

DNS、Auto

QoS、NTPな

ファイアウォー

ル/NAT

DNAT、

SNATなど

PPTP & L2TP

リモートアクセ

ローカルログ、

標 準 エグゼク

ティブレポート

侵 入 防 御 パ

ターン、DoS、

フラッド、ポート

スキャンなど

IPsec & SSLサ

イト間 VPN、

IPsec & SSLリ

モートアクセス

基 本 ライ

センス

ネット

ワーク

Web

Eメール

エンドポ

イント

ワイヤレ

Webサー

バー

64 UTM 9 WebAdmin

4 マネジメント 4.3 ライセンス

機 能

冗 長 化

リモート認 証

AD、eDir、

RADIUSなど

リモートログ、

詳 細 エグゼク

ティブレポート

アーカイブ、

設 定

基 本 Webフィ

ルタリング&

FTPプロキシ

Web & FTPマ

ルウェアフィルタ

リング

アプリケーショ

ンコントロール

アドバンスト

ネットワーキン

グ リンクアグリ

ゲーション、リ

ンクバランシン

グ、ポリシー

ルーティング、

OSPF、マルチ

キャスト、カスタ

ムQoS、サー

バロードバラン

シング、ジェネ

リックプロキシ

など

ユーザポータル

基 本 ライ

センス

ネット

ワーク

Web

Eメール

エンドポ

イント

ワイヤレ

Webサー

バー

( ) ( )

UTM 9 WebAdmin 65

4.3 ライセンス 4 マネジメント

機 能 基 本 ライ

センス

ネット

ワーク

Web

Eメール

エンドポ

イント

ワイヤレ

Webサー

バー

基 本 SMTPプ

ロキシ、隔 離

レポート、メー

ルマネージャ

SMTP &

POP3マルウェ

アフィルタリング

エンドポイント

プロテクション、

ウイルス対 策

エンドポイント

プロテクション、

デバイスコント

ロール

ワイヤレスプロ

テクション

Webサーバー

プロテクション

また、UTMアプライアンス モデル100で選択可能なベーシックガードサブスクリプションもあります。

これは、上記の基本機能を提供します(詳細は 製品情報ページを参照してください)。

UTM機器はSophos UTM Manager(SUM)経由で一括管理およびライセンス許可できます。この場

合、SUMがMSP(Managed Service Provider)ライセンスをUTMに提供し、 インストールタブは無効化

されます。サブスクリプションはSUMサービスプロバイダーによってのみ有効化できます。

サブスクリプションとその機能セットについて詳しくは、認定UTMパートナーまたは Sophos UTM Web

サイト までお問い合わせください。

サブスクリプションがないと、WebAdminのタブが無効になります。タブの上には、ライセンス警告

メッセージが表示されます。

66 UTM 9 WebAdmin

4 マネジメント 4.3 ライセンス

9 ライセンス:サブスクリプション警告メッセージ

Up2Date

つまり、新しいファームウェアの更新に関する情報が自動的に通知されます。各サブスクリプショ

ンは、自動更新を完全にサポートします。つまり、 また、ファームウェアとパターン更新を自動的に

ダウンロード(およびインストール)できます。

サブスクリプションなしの基本ライセンスでは、自動更新に制限があります。オンラインヘルプの更

新などのパターン更新に限り、自動的にダウンロードされ、インストールされますが、 使用可能な

ファームウェア更新については通知されず、ファームウェア更新は手動でダウンロードする必要が

あります。新しいファームウェアの通知は、 Sophos UTMUp2Dateブログ に表示されます。

サポートとメンテナンス

基本ライセンスにはWebサポートが含まれます。 Sophos UTM サポートフォーラム および Sophos

Knowledgebase を使用できます。

いずれかのサブスクリプションを購入すると、すぐに 標 準 サポートに自動的にアップグレードされま

す。これにより、さらに MyUTM ユーザガイド でサポートを受けたり、認定済みのUTMパートナーに

問い合わせをすることができます。

UTMエンジニアが担当者として24時間年中無休のサポートを提供する プレミアムサポートサブスク

リプションを購入することもできます。

4.3.3 概 要

ライセンス> オーバビュータブには、ライセンスに関する詳細情報が表示され、次のように複数のエ

リアに分割されています。

UTM 9 WebAdmin 67

4.3 ライセンス 4 マネジメント l

基 本 ライセンス:ID、登録日、タイプなどの基本的なライセンスパラメータが表示されます。 l

ネットワークプロテクション、Eメールプロテクション、Webプロテクション、Webサーバプロテク

ション、ワイヤレスプロテクション、エンドポイントウイルス対 策 、ベーシックガード:サブスクリ

プションに関する情報(購入したものか否か、有効化されているか、有効期限、および提供

する機能の簡単な説明など)が表示されます。

MSPライセンスを使用する場合、ライセンスはSophosUTM Manager(SUM)によって管

理されるので、有効期限は表示されません。従来のキーおよびサブスクリプションは、

SUM MSPシステムによって置き換えられます。SUMの管理の詳細は、 集 中 管 理

>  Sophos UTM Manager

を参照してください。 l

サポートサービス:サポートレベルと有効期限が表示されます。

4.3.4 インストール

マネジメント> ライセンス> インストールタブでは、新しいライセンスのアップロードおよびインストー

ルを実行できます。

MSP ライセンスを使用する場合、ライセンスはSophos UTM Manager (SUM)によって管理さ

れるので、このタブは無効になります。新しいライセンスは、SUMサービスプロバイダによってイ

ンストールされます。SUMの管理の詳細は、

集 中 管 理

Sophos UTM Manager

を参照してくだ

さい。

ライセンスをインストールするには、次の手順に従ってください。

1.

ファイルのアップロードダイアログウィンドウを開きます。

ライセンスファイルボックスの横にあるフォルダアイコンをクリックします。

ファイルのアップロードダイアログウィンドウが開きます。

2. ライセンスファイルを選択します。

ライセンスファイルが保存されているディレクトリを参照します。

アップロードするライセンスファイルを選択します。

3.

アップロード開 始 をクリックします。

ライセンスファイルがアップロードされます。

4.

適 用 をクリックします。

68 UTM 9 WebAdmin

4 マネジメント 4.4 Up2Date

ライセンスがインストールされます。新しいライセンスは、すでにインストールされている他

のライセンスを自動的に置き換えます。

ライセンスのインストールには約60秒かかります。

4.3.5 アクティブなIPアドレス

Sophos UTM Managerの無料ライセンスでは、IPアドレスは無制限です。

ユーザ(IPアドレス)が無制限に許可されるライセンスをお持ちでない場合は、お客様のライセンス

でカバーされるIPアドレスに関する情報がこのタブに表示されます。お客様のライセンスの範囲外

となるIPアドレスは、別のリストに記載されています。制限を超えると、定期的にEメール通知が送

信されます。

7日間にわたって使用されなかったIPアドレスは、ライセンスカウンタから自動的に削除さ

れます。

4.4 Up2Date

マネジメント> Up2Dateメニューを使用して、Sophos UTMの更新サービスを設定できます。定期的

に更新パッケージをインストールすることで、UTMをバグフィックス、製品改善機能、ウイルスパ

ターンなどが最新に保たれます。各更新パッケージは、Sophosによってデジタル署名されていま

す。署名がないものや偽造された更新は拒否されます。デフォルトでは新しい更新パッケージは

自動的にUTMにダウンロードされます。このオプションは、

マネジメント> Up2Date > 設 定 メニュー

で設定できます。

2種類の更新を利用できます。 l

ファームウェアの更 新 :ファームウェアの更新には、Sophos UTMソフトウェアのバグフィックス

および拡張機能が含まれています。 l

パターンの更 新 : パターンの更新によって、ウイルス対策、スパム対策、IPSのルール、お

よびオンラインヘルプが最新状態に保たれます。

Up2Dateパッケージをダウンロードするために、UTMは更新サーバに対するTCP接続をポート443

で開きます。このため、この接続は管理者の調整なしで使用できます。ただし、途中に別のファイ

アウォールがある場合は、ポート443 TCPを介 した更 新 サーバへの通 信 を明 示 的 に許 可 する必

要 があります。

UTM 9 WebAdmin 69

4.4 Up2Date 4 マネジメント

4.4.1 概 要

マネジメント> Up2Date > 概 要 タブには、お使いのシステムが最新のものであるかどうかを示す

概要が表示されます。ここで、新しいファームウェアやパターンの更新パッケージをインストールで

きます。

Up2Date進 行 状 況

ここで、新しいファームウェアやパターンの更新パッケージをインストールできます。Up2Dateの進

行 状 況 を新 しいウィンドウで確 認 するボタンをクリックして、更新の進行状況をモニタしてください。

ブラウザでポップアップウインドウの表示を禁止していない限り、更新の進行状況を示す新しいウ

インドウが表示されます。表示されない場合は、ポップアップウインドウを明示的に許可する必要

があります。

インストールプロセスが開始する前に、標準バックアップメール受信者にバックアップが送

信されます。

70

10 Up2Date:進捗ウィンドウ

UTM 9 WebAdmin

4 マネジメント 4.4 Up2Date

ファームウェア

ファームウェアセクションには、現在インストールされているファームウェアのバージョンが表示され

ます。更新パッケージが利用できる場合は、 すぐに最 新 バージョンに更 新 ボタンが表示されます。

また、

利 用 可 能 なファームウェアの概 要 セクションにメッセージが表示されます。ここで最新の更

新パッケージを直接ダウンロードしてインストールできます。 すぐに最 新 バージョンに更 新 をクリック

すると、新しいウインドウに更新の進行状況が表示されます。これには、Webadmin リロードボタンを

クリックします。

利 用 可 能 なファームウェア

Up2Date

設 定 タブで手 動 を選択すると、このセクションにすぐにUp2Dateパッケージを確 認 ボタンが表示さ

れます。このボタンを使用して、ファームウェアのUp2Dateパッケージを手動でダウンロードできま

す。Up2Dateが複数利用できる場合は、どれをインストールするかを選択できます。最も新しい

バージョンを直接インストールしたい場合は、

ファームウェアセクションのすぐに最 新 バージョンに更

新 ボタンを使用します。

各Up2Dateには スケジュールボタンがあり、更新パッケージを自動的にインストールする日時を指

定できます。スケジュールしたインストールを取り消す場合は、 キャンセルをクリックします。

「暗黙的」インストールに関する注記:スケジュールしたUp2Dateパッケージが、古いUp2Dateパッ

ケージを最初にインストールすることを必要とする場合があります。その場合、この古いUp2Date

パッケージは、実際のUp2Dateパッケージの前にインストールするよう自動的にスケジュールされ

ます。このパッケージに特定のタイミングを指定することもできますが、そのインストールを止めるこ

とはできません。

パターン

パターンセクションには、インストールしたパターンの現在のバージョンが表示されます。設 定 タブ

で 手 動 を選択すると、すぐにパターンを更 新 ボタンが表示されます。このボタンを使用して、使用可

能な新しいパターンをダウンロードしてインストールします。

UTMユニットを正常に動作させるために、現在のパターンバージョンと利用可能な最新の

パターンバージョンが一致している必要はありません。お使いのユニットに新しいパターンを適用

できない場合は、現在のパターンバージョンと利用できる最新パターンバージョンが異なってき

ます。どのパターンをダウンロードするかは、お客様の設定とハードウェアの構成によります。 た

とえば、Sophos UTMのIPS機能を使用しない場合は、新しく利用可能になったIPSパターンはイン

ストールされません。このようにして、現在インストールされているパターンバージョンと利用でき

る最新のパターンバージョンの開きが大きくなっていきます。

UTM 9 WebAdmin 71

4.4 Up2Date 4 マネジメント

4.4.2 設 定

デフォルトでは、新しい更新パッケージは自動的にUTMにダウンロードされます。

ファームウェアのダウンロードを行 う間 隔

このオプションは、デフォルトで15分に設定されています。つまり、Sophos UTMは、15分毎に利用で

きるファームウェアの更新を確認します。Sophos UTMは、利用できるファームウェア更新パッケー

ジを自動的にダウンロードします (インストールは行いません)。これが行われる実際の時間は、選

択された間隔の制限内でランダムに決定されます。最長で マンスリーの間隔を指定できます。また

は、ドロップダウンリストから 手 動 を選択することで、ファームウェアの自動ダウンロードを無効にで

きます。

手 動 を選択した場合は、すぐにUp2Dateパッケージを確 認 ボタンが概 要 タブに表示されま

す。

パターンのダウンロード

/インストールを行 う間 隔

このオプションは、デフォルトで15分に設定されています。つまり、Sophos UTMは、15分毎に利用で

きるパターン更新を確認します。Sophos UTMは、利用できるパターン更新パッケージを自動的にダ

ウンロードしてインストールします。これが行われる実際の時間は、選択された間隔の制限内でラ

ンダムに決定されます。最長で マンスリーの間隔を指定できます。または、ドロップダウンリストか

ら 手 動 を選択することで、パターンの自動ダウンロードとインストールを無効にできます。手 動 を選

択した場合は、

すぐにパターンを更 新 ボタンが概 要 タブに表示されます。

4.4.3 詳 細

マネジメント> Up2Date > 詳 細 タブで、詳細なUp2Dateオプションを設定できます。たとえば、UTM

用に親プロキシまたはUp2Dateキャッシュを選択することなどができます。

更新パ Sophos UTM FTP サーバ ッケージはからダウンロードできます。

手 動 Up2Dateパッケージアップロード:UTMが新 規 更 新 パッケージを直接ダウンロードするために

インターネットまたはUp2Dateキャッシュに直接アクセスできない場合は、更新パッケージを手動で

アップロードできます。手動でアップロードするには、以下の手順に従います。

1.

ファイルのアップロードダイアログウィンドウを開きます。

Up2Dateファイルボックスの横にあるフォルダアイコンをクリックします。

ファイルのアップロードダイアログウィンドウが開きます。

72 UTM 9 WebAdmin

4 マネジメント 4.5 バックアップ/リストア

2. 更新パッケージを選択します。

ファイルのアップロードダイアログボックスの参 照 をクリックして、アップロードする更新パッ

ケージを選択します。

3.

アップロード開 始 をクリックします。

更新パッケージがUTMにアップロードされます。

4.

適 用 をクリックします。

設定が保存されます。

親 プロキシ

親プロキシは、多くの場合、政府承認のプロキシサーバを通してインターネットアクセスをルーティ

ングする必要のある国で必要とされます。親プロキシの使用がセキュリティポリシで求められてい

る場合、ここでホスト定義とポートを選択して親プロキシを設定できます。

親プロキシを使用:

1. 親 プロキシの使 用 を有 効 にするには、チェックボックスにチェックを入 れます。

2. ホストを選 択 または追 加 します。

3. プロキシのポートを入力します。

定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明

しています。

4.

適 用 をクリックします。

設定が保存されます。

プロキシ認 証 を使 用 :親プロキシで認証が必要な場合、ここでユーザ名とパスワードを入力しま

す。

- 集 中 管 理 > Sophos UTM Managerタブで、SUMサーバをUp2Dateキャッシュとして使 用 オ

プションが有効化されている場合、親プロキシは無効となります。

親プロキシが設定されている場合は、Sophos UTMはファームウェアとパターンのUp2Dateの両方を

親プロキシからフェッチします。

4.5 バックアップ/リストア

バックアップ/リストア機能を使用すると、UTMの設定をローカルディスク上のファイルに保存するこ

とができます。このバックアップファイルを使用すると、新しいシステムや設定が誤っているシステ

UTM 9 WebAdmin 73

4.5 バックアップ/リストア 4 マネジメント

ムに、適切であるとわかっている設定をインストールすることができます。

システムに変更を加えるたびに忘れずにバックアップをとってください。これにより、常に最新の設

定を使用できるようになります。さらに、バックアップは安全な場所に保存してください。この理由

は、証明書や暗号化鍵といったセキュリティ関連のデータも含まれているためです。バックアップ

の生成後、読み取り可能であることを必ずチェックしてください。外部プログラムを使用してMD5

チェックサムを生成すると良いでしょう。これにより、バックアップの完全性を後でチェックすること

ができます。

4.5.1 バックアップ/リストア

マネジメント> バックアップ/リストア> バックアップ/リストアタブでは、バックアップの作成やインポート

に加え、既存のバックアップのリストア、ダウンロード、送信、削除ができます。

利 用 可 能 なバックアップ

このセクションは、自動バックアップ機能か手動により以前に1つ以上のバックアップが作成されて

いる場合にのみ表示されます( バックアップの作 成 のセクションを参照してください)。

すべてのバックアップが、作成日時、UTMバージョン番号、作成ユーザー、コメントと共にリストされ

ます。

バックアップに対して、ダウンロード、リストア、削除、送信を実行できます。 l

ダウンロード:開 いたダイアログウィンドウで、暗号化されたファイル(パスワードを指定)ま

たは暗号化されていないファイルのダウンロードを選択できます。 バックアップのダウンロード

をクリックします。ダウンロードするバックアップを保存するファイルシステム内の場所を選

択するよう求められます。 l

ダウンロード前 に暗 号 化 :バックアップのダウンロードまたは送信の前に、バックアッ

プを暗号化することもできます。CBCモードでの暗号化は、Blowfish暗号によって行

われます。パスワードを入力します(確認のために2回入力します)。バックアップのイ

ンポート時に、このパスワードが求められます。暗号化されたバックアップのファイル

拡張子はebf、暗号化されていないバックアップのファイル拡張子はabfです。

- バックアップには、管理者パスワード、HAパスフレーズ(設定している場合)、

すべてのRSA鍵およびX.509証明書が含まれます。これは機密情報なので、暗号

化を有効にするのが賢明です。 l

リストア: 現在のシステム設定をバックアップに保存されている設定に変更します。リストア

74 UTM 9 WebAdmin

4 マネジメント 4.5 バックアップ/リストア

後に再度ログインする必要があります。選択したバックアップにすべてのデータが含まれて

いる場合、すぐにログインできます。選択したバックアップにすべてのデータが含まれていな

い場合( バックアップの作 成 のセクションを参照)、ログイン過程で必要なデータを入力する

必要があります。選択したバックアップでホストデータのみが削除されている場合は、必要

に応じて管理者のメールアドレスを追加することができます。この情報は受信者が指定さ

れていない場合に使用されるか、複数受信者を指定できる場合に追加アドレスとして使用

されます。

バックアップリストアは後方互換性のみがあります。現在のバージョンより古いもの

からのバックアップのみが、機能するものと見なされます。バージョンの対立がある場

合、 使 用 可 能 なバックアップリスト内のバージョン番号がオレンジになります。 l

USBフラッシュドライブからのバックアップのリストア:USBスティックなどのFATフォー

マットされたUSBフラッシュドライブから、暗号化されていないバックアップファイル

(ファイル拡張子abf)をリストアすることもできます。USBフラッシュドライブからバッ

クアップをリストアするには、バックアップファイルをUSBフラッシュドライブにコピーし

て、ブート(起動)前にデバイスをSophos UTMにプラグインします。デバイスに複数の

バックアップファイルが保存されている場合、辞書的に最初のファイルが使用されま

す(数字は文字より優先します)。 たとえば、バックアップファイルであるgateway_ backup_2012-04-17.abfと2011-03-20_gateway_backup.abfの両ファイルが

USBフラッシュドライブに保存されているとします。 ブート時に使用されるのは2つ目

のファイルです。このファイルはもう一方より日時が古いのですが、ファイル名の先

頭が数字であるためです。

さらに、バックアップのリカバリが成功するとロックファイルが作成され、USBフラッ

シュドライブが接続されている間に同じバックアップが何度も繰り返しインストールさ

れることを防ぎます。前のバックアップを再びインストールしたい場合には、USBフ

ラッシュドライブをプラグインしていない状態でリブート(再起動)する必要がありま

す。これにより、すべてのロックファイルが削除されます。再びUSBフラッシュドライブ

を接続してからブートすると、同じバックアップをインストールすることができます。 l

削 除 : リストからバックアップを削除します。リストの最下部にある削除アイコンを使用し

て、選択したバックアップをすべて削除することができます。バックアップを選択するには、

バックアップの左にあるチェックボックスをクリックするか、最下部にあるチェックボックスを

使用してすべてのバックアップを選択します。 l

送 信 : ダイアログウィンドウで、メール受信者を指定することができます。デフォルトでは、

自 動 バックアップタブで指定したアドレスが選択されています。次に、ファイルを暗号化して

(パスワードとともに)送信するか、暗号化せずに送信するかを決めることができます。 直 ち

UTM 9 WebAdmin 75

4.5 バックアップ/リストア 4 マネジメント

に送 信 をクリックしてバックアップを送信します。 l

送 信 前 に暗 号 化 :前述の

ダウンロード前 に暗 号 化 を参照してください。

バックアップの作 成

バックアップは、(予期しない)変更または故障の後でシステムをリストアするために便利なだけで

はありません。類似の設定にするシステムをセットアップする際のテンプレートとして使用し、これら

のシステムをあらかじめある程度設定しておくことで、時間を大幅に節約できます。そのためには、

バックアップを作成する前に、ホスト名、証明書など特定の情報を削除しておくことができます。

現在のシステム状態のバックアップを作成するには、次の手順に従います。

1.

バックアップの作 成 セクションに、コメントを入力します オプション 。

コメントは、バックアップリストでバックアップとともに表示されます。

2. 次の設定を行います オプション 。

サイト固 有 情 報 を削 除 する:ホスト固有のデータなしでバックアップを作成するには、この

オプションを選択します。この対象となるのは、ホスト名、システムID、SNMPデータ、HAデー

タ、ライセンス、シェルユーザパスワード、匿名パスワード、ならびにメールプロテクション、

Webプロテクション、クライアント認証、IPsec、SSL VPN、RED、WebAdmin、Webアプリケー

ションファイアウォール、およびプロキシ用のすべての証明書、公開鍵と秘密鍵、および指

紋とシークレットなどです。

このようなバックアップは、類似のシステムを複数セットアップするために便利です。ただし、

いくつか考慮すべき点があります。1) リストア後は、基本システムセットアップになります。2)

最初のインタフェースのみが設定されています。プライマリIPアドレスは、インストール中に

構成される設定の1つです。他のすべてのインタフェースは無効になり、IPアドレスが

0.0.0.0に設定されます。

警 告 - ほとんどのホスト固有データが削除されても、このようなバックアップテンプレート

にはユーザパスワードなどの機密情報がまだ含まれています。そのため、必ず暗号化す

ることをお勧めします。

管 理 メールメッセージの削 除 :UTMの様々な部分(メールプロテクションのポストマスタアド

レス、通知など)で使用される管理者のメールアドレスを追加で削除するには、このオプショ

ンを選択します。このオプションは、Sophos UTM顧客のサイトでデバイスをセットアップする

ITパートナーにとって特に便利です。

3.

バックアップを直 ちに作 成 をクリックします。

使用可能なバックアップのリストに、バックアップが表示されます。

76 UTM 9 WebAdmin

4 マネジメント 4.5 バックアップ/リストア

これらのオプションのいずれかまたは両方を選択してバックアップを作成した場合には、

バックアップエントリにそれぞれの追加コメントが含まれるようになります。

HA設定は、ハードウェア設定の一部であり、バックアップ内に保存できません。これ

は、HA設定はバックアップリストアで上書きできないということを意味します。

バックアップのインポート

バックアップをインポートするには、次の手順に従ってください。

1. フォルダアイコンをクリックし、アップロードするバックアップファイルを選 択 します。

2. アップロード開 始 をクリックします。

3. バックアップを復号化します。

暗号化されたバックアップファイルをアップロードする場合、バックアップのインポート前に、

正しいパスフレーズを入力する必要があります。

4.

バックアップのインポートをクリックして、バックアップをインポートします。

バックアップはすぐにリストアされるのではなく、 使 用 可 能 なバックアップリストに追加され

ます。

4.5.2 自 動 バックアップ

マネジメント> バックアップ/リストア> 自 動 バックアップタブでは、バックアップの自動生成に関する

複数のオプションを設定することができます。バックアップを自動的に作成するためには、次の手

順に従います。

1.

自 動 バックアップタブで自動バックアップを有効にします。

トグルスイッチをクリックします。

トグルスイッチが緑色になり、 オプションおよびバックアップをメール送 信 エリアが編集可能

になります。

2. 間隔を選択します。

自動バックアップは、さまざまな間隔で作成することができます。

デイリー、ウィークリー、マンスリーから選択できます。

3. 保存する最大バックアップ数を指定します。

最大バックアップに達した時点で、最古の自動バックアップが削除されます。最大値に到

達すると、一番古いバックアップが削除されます。

UTM 9 WebAdmin 77

4.6 ユーザポータル 4 マネジメント

この対象となるのは、自動作成されたバックアップのみです。システム更新の前に手動で

作成されたバックアップや 自動的に作成されたバックアップは削除されません。

4.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

UTMのバックアップ作業を簡素化するために、バックアップ機能では、定義したメールアドレスのリ

ストに対して、バックアップファイルをメールで送信することができます。

受 信 者 :自動的に生成されたバックアップは、 受 信 者 ボックスに含まれるユーザに送信されま

す。複数のアドレスを追加できます。デフォルトでは、最初の管理者のメールアドレスが使用され

ます。

Eメールバックアップの暗 号 化 :さらに、オプションでバックアップを暗号化できます(3DES暗号化)。

パスワード:Eメールバックアップの暗 号 化 オプションを選択したら、パスワードを入力します(確認

のために2回)。バックアップのインポート時に、このパスワードが求められます。

自動的に作成されたバックアップは、 作 成 者 を示す System フラグ付きでバックアップ/リストアタブ

使 用 可 能 なバックアップリストに表示されます。ここで、自分で作成したバックアップと同様に、リ

ストア、ダウンロード、削除を実行できます。

4.6 ユーザポータル

Sophos UTMのユーザポータルは、許可されたユーザにパーソナルなメールおよびリモートアクセス

サービスを提供するユニットの特別なブラウザベースアプリケーションです。 ユーザポータルにアク

セスするには、Sophos UTMのURL(https://192.168.2.100など)にブラウズします(HTTPSプロ

トコルを使用していることと、WebAdminインタフェースにアクセスするために通常入力するポート番

号4444がないことに注意)。

ユーザポータルは、メール隔離を始めとする機能を備えています。メール隔離は、悪意あるソフト

ウェアに感染したメッセージ、不審な添付物を含むメッセージ、スパムと特定されたメッセージ、ま

たは明確に禁止した表現を含むメッセージを保持します。

ログインページで、ユーザはヘッダバーの右側にあるドロップダウンリストから言語を選択できま

す。

78 UTM 9 WebAdmin

4 マネジメント 4.6 ユーザポータル

11 ユーザポータル:「ようこそ」のページ

ユーザポータルで、ユーザは以下のサービスにアクセスできます。 l

SMTP隔 離 :ユーザは隔離場所に保持されているメッセージを表示したり、リリースできま

す。どのタイプのメッセージをユーザがリリースできるかはEメールプロテクション> 隔 離 レ

ポート>

詳 細

タブで決定できます。(このタブは、POP3が無効な場合は

メール隔 離 となりま

す。) l

SMTPログ:ここでは、ユーザはメールトラフィックのSMTPログを表示できます。(このタブ

は、POP3が無効な場合は

メールログとなります。) l

POP3隔 離 :ユーザは隔離場所に保持されているメッセージを表示したり、リリースできま

す。どのタイプのメッセージをユーザがリリースできるかはEメールプロテクション> 隔 離 レ

ポート>

詳 細

タブで決定できます。(このタブは、SMTPが無効な場合は メール隔 離 となりま

す。) l

POP3アカウント:ユーザは使用するPOP3アカウントの資格情報を入力できます。POP3ア

カウントの資格情報が与えられたスパムメールのみがユーザポータルに表示されます。

POP3アカウントの資格情報が保存されているユーザは、各Eメールアドレスについて個々

の隔離レポートを受け取ります。許可されるPOP3サーバはEメールプロテクション> POP3 >

詳 細 タブで指定する必要があります。

l

送 信 者 ホワイトリスト:ここで送信者をホワイトリストに追加することで、それらの送信者か

ら送信されたメッセージがスパムとして分類されないようにできます。ただし、ウイルスを伴

うメールや、スキャン不能なメールは引き続き隔離されます。ホワイトリスト内の送信者は、

有効なメールアドレス (例: [email protected]) またはアスタリスクをワイルドカードとして

使用して特定ドメインの全メールアドレス (例: *@example.com) を指定できます。ホワイトリ

ストのエントリが完全に一致する場合、送信者ブラックリストのチェックは省略されます。

UTM 9 WebAdmin 79

4.6 ユーザポータル 4 マネジメント l

送 信 者 ブラックリスト:ここで、ユーザがメール送信者をブラックリスト化することができます。

例、[email protected], or whole domains, e.g. *@hotmail.com。ブラックリストは、シ

ステム内でSMTPとPOP3が使用されていれば、SMTPとPOP3の両方のメールに適用され

ます。ブラックリストに送信者を追加するには、「+」アイコンをクリックしてアドレスを入力し、

チェックアイコンをクリックして保存します。 l

ホットスポット:ここでユーザは、ホットスポットのアクセスデータを確認して管理できます。こ

のタブは、特定のユーザに対して1つ以上のホットスポットが有効にされている場合にのみ

使用できます。当日有効パスワードタイプのホットスポットには、現在のパスワードの表示

と変更を行うことができます。バウチャータイプのホットスポットには、バウチャーの生成、印

刷、エクスポート、削除を行うことができます。生成バウチャーのリストには、使用状況の情

報が表示されます。詳細は、 ワイヤレスプロテクション>

ホットスポット

を参照してください。 l

クライアント認 証 :ここでユーザは、SophosAuthentication Agent(SAA)のセットアップファイル

をダウンロードできます。SAAはWebフィルタの認証モードとして使用できます。 クライアント

認 証 タブは、クライアント認証が有効化されている場合にのみ使用できます。詳細は、定

義 とユーザ >

クライアント認 証

を参照してください。 l

OTPトークン:ここUTMで、ユーザは、使用しているモバイルデバイスでのワンタイムパス

ワードサービスを設定するためのQRコードおよびそれぞれの詳細情報を検索できます。詳

細は、 定 義 とユーザ > 認 証 サービス>

ワンタイムパスワード

を参照してください。 l

リモートアクセス:ユーザはリモートアクセスクライアントソフトウェアおよびそれらに付属する

設定ファイルをダウンロードできます。ただし、 リモートアクセスタブは、その特定ユーザに対

して最低1つのリモートアクセスモードが有効になっている場合のみ利用できます。 l

HTML5 VPNポータル:ここでユーザは、定義済みのサービスを使用して定義済みのホスト

へのVPN接続を確立することができます。このタブは、特定のユーザに対して1つ以上の

VPN接続が有効にされている場合にのみ使用できます。詳細は、 リモートアクセス>

HTML5 VPNポータル

を参照してください。

l

パスワードの変 更 :ユーザはユーザポータルにアクセルするためのパスワードを変更できま

す。 l

HTTPSプロキシ:ユーザはHTTP/SプロキシCA証明書をインポートし、セキュアWebサイトへ

の訪問時に表示されるエラーメッセージを回避することができます。

プロキシCA証 明 書 をイ

ンポートをクリックすると、ユーザのブラウザに、他の目的に対してCAを信頼するか確認す

るプロンプトが表示されます。詳しくは、Webプロテクション> フィルタオプション>

HTTPS CA

の章を参照してください。 l

ログアウト:ユーザポータルからログアウトするには、ここをクリックします。これは、ログイン

時に

ログインを記 憶 を選択した場合に(これによりクッキーが作成されます)、明示的にログ

アウトしてこのクッキーを削除したいときのみ必要です。そうでない場合は、この

ログアウトリ

80 UTM 9 WebAdmin

4 マネジメント 4.6 ユーザポータル

ンクを使用する必要はありません。ブラウザのタブまたはウインドウを閉じるだけで十分で

す。

4.6.1 グローバル

マネジメント> ユーザポータル > グローバルタブで、ユーザポータルを有効化できます。さらに、ユー

ザポータルへのアクセスを許可するネットワークとユーザを指定できます。

ユーザポータルへのアクセスを有効にするには、以下の手順に従います。

1. ユーザポータルを有効にします。

トグルスイッチをクリックします。

ステータスアイコンがアンバー色に変わり エンドユーザポータルオプションエリアが編集可能

になります。

2. 許可するネットワークを選択します。

ユーザポータルへのアクセスを許可するネットワークを追加または選択します。定義を追加

する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明していま

す。

3. 許可するユーザを選択します。

ユーザポータルへのアクセスを許可するユーザまたはユーザグループを選択または新規

追加します。ユーザを追加する方法は、 定 義 とユーザ > ユーザとグループ> ユーザページで

説明しています。

すべてのユーザにアクセスを許可しない場合は、 許 可 されたすべてのユーザを選択解除

し、ユーザとユーザグループを個々に選択します。

4.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

4.6.2 詳 細

詳 細 タブで、ユーザポータルの代替ホスト名とポート番号に加え、言語とセキュリティオプションを

設定できます。

言 語

ログイン時に、ユーザポータルはWebブラウザの言語設定をフェッチし、それぞれのロケールをロー

ドして、ブラウザのデフォルトと同じ言語でポータルを表示します。ブラウザの言語設定がユーザ

UTM 9 WebAdmin 81

4.6 ユーザポータル 4 マネジメント

ポータルで利用できない場合は、フォールバック(予備)の言語をここで選択できます。ユーザは、

追加オプションとして、ユーザポータルのログインページで言語を選択できます。

セキュリティ

ユーザポータルはCookieを使用してセッションを追跡します。永続的(固定)Cookieにより、セッショ

ンを閉じた後で再度ログインしないで戻ることが可能になります。これらはいつでもユーザ側で削

除できますが、ユーザポータルの ログアウトボタンを使用することが必要です。

ポータルメニューの無 効 化

ここにリストされているそれぞれの機能をWebAdminで有効にすると、ユーザポータルにメニュー項

目が表示されます。ただし、ここでは、ユーザポータルで表示

しないメニュー項目を定義できます。

これを定義するには、それぞれのオプションを選択して 適 用 をクリックします。

ネットワーク設 定

ホスト名 :デフォルトでは、これが マネジメント> システム設 定 >

ホスト名

タブで与えられるUTMの

ホスト名です。ただし、インターネットを介してアクセスするユーザにユーザポータルへのアクセスを

付与する場合は、パブリックに解決できる代替ホスト名をここに入力する必要があります。

リスンアドレス:デフォルトは すべてです。Webアプリケーションファイアウォールを使用する場合、

サービスがユーザポータル接続をリスンするためのインタフェースアドレスを指定する必要があり

ます。ユーザポータル接続ハンドラとWebアプリケーションファイアウォールが受信SSL接続を識別

できるようにするために、この設定が必要です。

ポート:デフォルトでは、HTTPSのポート443が選択されています。ポートは、1024~65535の範囲

内でどの値にでも変更できます。10443またはWebAdmin TCPポートは選択できません。これは

マネジメント> WebAdmin設 定 >

詳 細 タブで設定されています。ユーザポータルは、定義したポー

トから独立しており、HTTPSのみを介して常にアクセスすることができます。

ウェルカムメッセージ

ユーザポータルのようこそメッセージをカスタマイズできます。シンプルなHTMLマークアップとハイ

パーリンクを使用できます。

ホームユーザライセンスを使用している場合は、ようこそメッセージを変更できません。

82 UTM 9 WebAdmin

4 マネジメント 4.7 通知

4.7 通知

Sophos UTMには、UTMで発生するあらゆる種類のセキュリティ関連イベントについて、メールまた

はSNMPトラップで即時通知する機能が搭載されています。管理者が知るべきすべてのイベント

が、各種エラー、警告、情報コードによって示されます。どのような通知が送信されるのかは、 通

知 タブで設定した選択内容に応じて決まります。

4.7.1 グローバル

マネジメント> 通 知 > グローバルタブでは、が送信する通知Eメールに利用される送信者アドレス

(つまり 送 信 元 アドレス)を設定できますUTM。デフォルトでは[email protected]

となっています。このアドレスを変更する場合、お客様のドメインのメールアドレスを入力することを

お勧めします。この理由は、一部のメールサーバーでは、指定された送信者アドレスが本当に存

在することを確認するように設定されているためです。

UTMさらに、通知の受信者を指定することができます。デフォルトでは、初期セットアップ時に入力

された管理者のメールアドレスです。

通 知 を制 限 :一部のセキュリティ関連イベント(検出された侵入試行など)では、大量の通知が発

生し、通知受信者の受信トレイが短時間でいっぱいになる可能性があります。このため、Sophos

UTMには、1時間あたりに送信される通知数を制限するための妥当なデフォルト値が用意されて

います。このオプションを無効にすると、 マネジメント> 通 知 > 通 知 タブで通知を送信するように設

定されているすべてのセキュリティ関連のイベントから通知が発生します。

機 器 固 有 のテキスト

ここでは、Sophos UTMの説明(場所など)を入力できます。この情報は、送信される通知に示され

ます。

4.7.2 通 知

通知は次の3つのカテゴリに分類されます。 l

CRIT:UTMが操作不能になる可能性がある重大なイベントを通知するメッセージ。 l

WARN:しきい値の超過など、ユーザの注意を必要とする潜在的な問題についての警告。 l

INFO:システムコンポーネントの再起動など、情報提供目的のみのメッセージ。

通知をメールとSNMPトラップのいずれで送信するかを選択できます。

UTM 9 WebAdmin 83

4.8 カスタマイズ 4 マネジメント

4.7.3 詳 細

UTMでEメールを直接送信できない場合、Eメールを送信するスマートホストを設定することができ

ます。次の手順で実行します。

1.

マネジメント> 通 知 > 詳 細 タブで外 部 SMTPを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、 外 部 SMTPサーバエリアが編集可能になります。

2. スマートホストを入力します。

ドラッグ&ドロップを使用できます。ポートは、デフォルトのSMTPポートである25に事前設定

されています。 l

TLSを使 用 :通知の送信でTLSを強制するには、このチェックボックスにチェックを入

れます。スマートホストでTLSがサポートされない場合、通知は送信されません。

3. 認証の設定を指定します。

スマートホストで認証が必要な場合、 認 証 チェックボックスにチェックを入れ、対応するユー

ザ名とパスワードを入力してください。

4.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

4.8 カスタマイズ

マネジメント> カスタマイズのタブを使用すると、Sophos UTMが生成するメール通知とステータスメッ

セージをカスタマイズおよびローカライズして、会社のポリシーやコーポレートアイデンティティに合

わせてこれらのメッセージを調整することができます。

さらに、カスタム Web テンプレートを編集およびアップロードして、ユーザーがブロックメッセージや

その他の通知を受信する方法をさらに変更することができます。

ホームユーザーライセンスを使用している場合は、カスタマイズできません。

84 UTM 9 WebAdmin

4 マネジメント 4.8 カスタマイズ

4.8.1 グローバル

マネジメント> カスタマイズ > グローバルタブでは、ユーザに表示されるシステムメッセージのグロー

バル表示オプションをカスタマイズすることができます。UTF-8/Unicodeがサポートされています。

ここでは、カスタマイズ可能なグローバルオプション ( 会 社 ロゴおよびカスタム会 社 テキスト) やマネ

ジメント> カスタマイズ > Web メッセージページで設定する「コンテンツのブロック」メッセージの例を

示しています。

12 カスタマイズ:ブロックされるページの例とカスタマイズ可能な部分

会 社 のロゴ

カンパニーロゴ/バナーをアップロードし (png 形式のみ)、次の状況で使用することができます。 l

Webメッセージ l

「ブロックされたPOP3メール」用メッセージ l

(隔離レポートを通じてスパムメールが隔離場所からリリースまたはホワイトリスト化された

後で表示される)隔離リリースステータスメッセージ l

隔離レポート

ユーザに表示されるメッセージの一部は、デフォルトのロゴ(195 x 73ピクセルで、背景が透明)に

最適化されています。最もきれいに見える結果を得るには、同じ属性の画像を使用してください。

ロゴをアップロードするには:

UTM 9 WebAdmin 85

4.8 カスタマイズ 4 マネジメント

1.

ファイルのアップロードダイアログボックスを開きます。

新 しいロゴのアップロードボックスの横にあるフォルダアイコンをクリックします。

ファイルのアップロードダイアログウィンドウが開きます。

2. ロゴを選択します。

アップロードするロゴがある場所を参照します。

ロゴを選択し、 アップロード開 始 をクリックします。

3.

適 用 をクリックします。

ロゴがアップロードされ、すでにインストールされているファイルと置き換えられます。

カスタムカンパニーテキスト

Sophos UTMのウイルススキャナまたはコンテンツフィルタによってWebサイトがブロックされたとき

に、カンパニーロゴの下に表示されるメッセージをカスタマイズします。ここには、管理者の連絡先

データなどを入力することができます。

4.8.2 Webメッセージ

Sophos UTMによって表示されるWebフィルタリングメッセージのテキストをカスタマイズします。一部

のメッセージは、ファイルが大きすぎる、特定のタイプのファイルである、ウイルスを含んでいるな

どの理由でファイルのダウンロードがユーザに対して制限された場合に表示されます。他のメッ

セージは、ファイルのダウンロード中にユーザが制限されているWebサイトやアプリケーションにア

クセスしようとした場合、あるいはUTMによる認証が必要となった場合などに表示されます。これら

のメッセージを他の言語に翻訳したり、たとえば、顧客サポートの連絡先情報などが表示されるよ

うに変更したりすることができます。

Webメッセージタブのフィールドに入力されたテキストは、カスタムWebテンプレートで参照で

きます。詳細情報は、

Webテンプレート

を参照してください。

以下のメッセージを設定できます。 l

コンテンツのブロック l

サーフプロテクション: このメッセージは、ブロック対象として設定されているURLカテ

ゴリと一致するコンテンツを持つWebページ、あるいはサイトの評判が指定されたしき

い値を下回ったWebページにユーザがアクセスしようとすると表示されます。詳しく

は、Webプロテクション>

Webフィルタリング

を参照してください。

86 UTM 9 WebAdmin

4 マネジメント 4.8 カスタマイズ l

ブラックリスト:このメッセージは、ブラックリスト化されたのURLと一致するWebページ

をユーザが取得しようとすると表示されます。URLをブラックリスト化する方法は、

Webプロテクション> Webフィルタリング> ポリシ >

Webサイトのフィルタリング

を参照し

てください。 l

MIMEタイプ:このメッセージは、ブロックされているMIMEタイプのファイルをユーザが

要求すると表示されます。MIMEタイプの指定に関する詳細は、Webプロテクション>

Webフィルタリング> ポリシ >

ダウンロード を参照してください。

l

ファイル拡 張 子 : このメッセージは、ブロックされたファイル拡張子をユーザーが要求

すると表示されます。ファイル拡張子の指定に関する詳細は、Webプロテクション>

Webフィルタリング> ポリシ >

ダウンロード を参照してください。

l

ファイルサイズ: このメッセージは、ファイルサイズの上限を超えたファイルをユー

ザーが要求すると表示されます。ダウンロードサイズの限度を設定するには、Web

ロテクション> Webフィルタリング> ポリシ >

ダウンロード

を参照してください。 l

アプリケーション制 御 :このメッセージは、アプリケーション制御でブロックするように設

定されている種類のネットワークトラフィックをユーザーが使用しようとした場合に表

示されます。アプリケーション制御に関する詳細は、Webプロテクション>

アプリケー

ション制 御 を参照してください。

l

ウイルス検 知 : このメッセージは、ウイルス感染が原因でファイルがブロックされた

場合に表示されます。ウイルス保護の設定に関する詳細は、Webプロテクション>

Webフィルタリング> ポリシ >

ウイルス対 策 を参照してください。

l

ダウンロード/スキャン l

ダウンロード進 行 中 : このメッセージは、ファイルがダウンロードされている間、表示

されます。

ダウンロードマネージャ

を参照してください。

l

ウイルススキャン実 行 中 : このメッセージは、悪意あるコンテンツについてのUTMス

キャンの間、表示されます。

ダウンロードマネージャ

を参照してください。 l

ダウンロード完 了 : このメッセージは、ファイルが完全にダウンロード、スキャン、安

全と判断されると表示されます。

ダウンロードマネージャ を参照してください。

l

認 証 l

透 過 モード認 証 : このオプションは、透過モードでWebフィルタリングを使用してい

て、"ブラウザ"認証モードを選択した場合にだけ適用されます。詳しくは、Webプロテ

クション> Webフィルタプロファイル >

フィルタプロファイル を参照してください。テキストは

認証ページに表示されます。各ユーザーはWebフィルタを使用する前にこの認証ペー

ジにログインする必要があります。 利 用 規 約 フィールドが入力されていると、認証

ページに免責条項が表示されます。このフィールドが空白(デフォルト)であれば、免

責条項は表示されません。

UTM 9 WebAdmin 87

4.8 カスタマイズ 4 マネジメント l

コンテンツブロックをバイパス: このメッセージは、ページがサーフプロテクションによっ

てブロックされ、ブロックをバイパスするオプションが有効であると表示されます(Web

プロテクション> フィルタリングオプション>

バイパスユーザ

を参照)。

利 用 規 約 フィール

ドが入力されていると、認証ページに免責条項が表示されます。このフィールドが空

白(デフォルト)であれば、免責条項は表示されません。 l

エラー l

サーバエラー: このメッセージは、ユーザからの要求の処理中にエラーが発生すると

表示されます。 l

管 理 者 情 報 : ここでは、管理者ののメールアドレスを含めて、Webフィルタを管理している

管理者に関する情報を入力できます。

4.8.2.1 Webメッセージの変 更

メッセージを変更するには、次の手順に従います。

1. メッセージを選択します。

ページドロップダウンリストで、編集したいエンドユーザメッセージを選択します。

そのメッセージの 件 名 と説 明 が表示されます。

2. 件名および/または説明を変更します。

必要であれば、デフォルトテキストを変更します。

3.

適 用 をクリックします。

テキストの変更を保存します。

4.8.2.2 ダウンロードマネージャ

Webフィルタが有効である場合、サイズが1 MBを超え、コンテンツタイプがテキストまたは画像以外

であるコンテンツのダウンロード中、Webブラウザに次のダウンロードページが表示されます。要求

されているのが動画または音声ストリームである場合や、5秒以内にファイルの 50% 超のダウン

ロードが完了している場合には、ダウンロードページは表示されません。

ダウンロードページで提供される情報は、Webメッセージタブでカスタマイズできます。

88 UTM 9 WebAdmin

4 マネジメント 4.8 カスタマイズ

13 カスタマイズ:HTTPダウンロードページ、ステップ1/3:ファイルのダウンロード

14 カスタマイズ:HTTPダウンロードページ、ステップ2/3:ウイルススキャン

UTM 9 WebAdmin 89

4.8 カスタマイズ 4 マネジメント

15 カスタマイズ:HTTPダウンロードページ、ステップ3/3:ファイルのダウンロード完了

4.8.3 Webテンプレート

ユーザに表示されるメッセージの外観と内容の両方をカスタマイズするには、HTMLファイルを

Sophos UTMへアップロードします。ガイドとして、Sophosはいくつかのサンプルテンプレートを提供し

ています。こうしたテンプレートは、個別のユーザメッセージに関連する情報を動的に挿入できる変

数の使用方法を示しています。たとえば、ウイルスを含むためあるファイルがブロックされたとする

と、そのブロックされたウイルスの名前を挿入する変数を含めることができます。

4.8.3.1 Webテンプレートのカスタマイズ

警 告 Sophos UTM通知のカスタマイズは高度なトピックです。こうしたタスクを試みることができ

るのは、HTMLやJavaScriptの知識が十分にあるユーザだけです。

ブロックメッセージ、ステータスメッセージ、エラーメッセージ、認証プロンプトを含めて、カスタム

バージョンのSophos UTM通知をアップロードすることができます。4つのサンプルテンプレートは、変

数の動作例ならびにいくつかのサンプル画像を含んでいます。サンプルテンプレートをカスタムメッ

セージのベースとして使用するか、あるいは独自のHTMLファイルをアップロードしてください。有効

な変数については、 Sophos Knowledgebase の UTM Webテンプレートでの変数の使用 に説明があり

ます。

Webメッセージタブで設定したメッセージからのテキストを使用したい場合は、該当する変数をカス

タムテンプレートに挿入することができます。詳細情報は、Webメッセージを参照してください。

90 UTM 9 WebAdmin

4 マネジメント 4.8 カスタマイズ

サンプルテンプレートおよび画像をダウンロードするには、下のリンクをクリックして、.zip ファイルを

保存してください。 http://www.astaro.com/lists/Web_Templates.zip

4.8.3.2 カスタムWebテンプレートおよび画 像 のアップロード

カスタムテンプレートの編集、保存が完了すると、UTMへのアップロードの準備完了です。

Webテンプレートまたは画像をアップロードするには:

1.

ファイルのアップロードダイアログボックスを開きます。

アップロードしたいテンプレートのタイプの名前の横にあるフォルダアイコンをクリックする

か、画像をアップロードしたいのであれば、 画 像 の横にあるフォルダアイコンをクリックしま

す。

サポートされているファイルのタイプは、.png、.jpg、.jpeg、.gifです。

ファイルのアップロードダイアログウィンドウが開きます。

2. テンプレートまたは画像を選択します。

アップロードしたいテンプレートまたは画像の場所を参照します。

テンプレートまたは画像を選択し、 アップロード開 始 をクリックします。

ファイルのアップロードダイアログウィンドウが閉じます。

3.

適 用 をクリックします。

テンプレートまたは画像がアップロードされます。

4.8.4 メールメッセージ

Sophos UTMの SMTP/POP3 プロキシによって生成されるユーザーメッセージに表示されるテキスト

をカスタマイズします。これらのメッセージを他の言語に翻訳したり、顧客サポートの連絡先情報

が表示されるように変更したりできます。次のメッセージをカスタマイズできます。

隔 離

隔 離 からリリースされたメール:このメッセージは、メールが隔離から正常にリリースされたときに表

示されます。

隔 離 からメールをリリースする際 にエラー:このメッセージは、メールを隔離からリリースする際にエ

ラーが発生したときに表示されます。

UTM 9 WebAdmin 91

4.8 カスタマイズ 4 マネジメント

POP3

ブロックされたPOP3メッセージ:このメッセージは、POP3メールのメッセージがブロックされたときに

受信者に送信されます。

16 カスタマイズ:POP3プロキシのブロックメッセージ

SPX

SPX 暗号化が有効化され、間違いが起こった際、これらの通知メールが送信されます。通知は指

定された人物に送信されます(

メール暗 号 化 > SPX暗 号 化 > SPX設 定 タブを参照)。

送 信 者 指 定 パスワードが不 明 :このメールは、送信者がSPX 暗号化用パスワードを指定してい

ない場合、指定された人物に送信されます。

送 信 者 指 定 パスワードが短 すぎる:このメールは、メール送信者が指定したパスワードが短すぎ

る場合に指定された人物に送信されます。

送 信 者 指 定 パスワードが特 殊 文 字 を含 んでいない:このメールは、メール送信者が指定したパ

スワードに必要な特殊文字が含まれていない場合に指定された人物に送信されます。

内 部 エラー:このメールは、技術的な問題によりメールが送信されなかった場合に指定された人

物に送信されます。

内 部 エラー - 送 信 者 通 知 :このメールは、SPXメールの作成中のエラーによりメールが送信され

なかった場合に指定された人物に送信されます。

返 信 ポータルURLが見 つからない:このメッセージは、受 信 者 が返 信 ボタンをクリックし、下位の

URL が見つからなかった場合に返信ポータルページに表示されます。

デフォルト設定では、通知に使用することができる一部の変数が表示されます:

92 UTM 9 WebAdmin

4 マネジメント 4.9 SNMP l l

%%送 信 者 %%(メールの件名のみ):メール送信者

%%受 信 者 %%:メール受信者 l

%%理 由 %%(メールの説明のみ):メッセージの理由。適切なエラーテキストに置換されます。

4.9 SNMP

簡 易 ネットワーク管 理 プロトコル(SNMP)は、ルータ、サーバ、スイッチなどのネットワークに接続さ

れたデバイスを監視するためにネットワーク管理システムで使用されます。SNMPによって管理者

は、監視している各ネットワークデバイスの状態に関するクエリを速やかに実行できます。Sophos

UTMは、 SNMP クエリに返答したり、SNMP トラップを SNMP 管理ツールに送信するように設定でき

ます。前者は「 管 理 情 報 ベース(MIB)」によって実現します。MIBは、どのネットワークデバイスに

対してどの情報がクエリ可能かを指定します。Sophos UTMは、SNMPバージョン2と3および以下の

MIBをサポートしています。 l

DISMAN-EVENT-MIB:イベント管理情報ベース l

HOST-RESOURCES-MIB:ホストリソース管理情報ベース l

IF-MIB:インタフェースグループ管理情報ベース l

IP-FORWARD-MIB:IPフォワーディングテーブル管理情報ベース l

IP-MIB:インターネットプロトコル(IP)用管理情報ベース l

NOTIFICATION-LOG-MIB:通知ログ管理情報ベース l

RFC1213-MIB:TCP/IPベースのインターネットのネットワーク管理用管理情報ベー

ス:MIB II l

SNMPv2-MIB:簡 易 ネットワーク管 理 プロトコル(SNMP)用管理情報ベース l

TCP-MIB:伝 送 制 御 プロトコル(TCP)用管理情報ベース l

UDP-MIB:ユーザデータグラムプロトコル(UDP)用管理情報ベース

Sophos UTMシステム情報を取得するには、最低でも RFC1213-MIB (MIB II) をコンパイルした

SNMP マネージャを使用する必要があります。

4.9.1 クエリ

マネジメント> SNMP > クエリページでは、SNMPクエリの使用を有効にできます。

SNMPクエリを設定するには、次の手順に従ってください。

UTM 9 WebAdmin 93

4.9 SNMP 4 マネジメント

1. SNMPクエリを有効にします。

トグルスイッチをクリックします。

SNMPバージョンおよびSNMPアクセスコントロールセクションが編集可能になります。

2. SNMPバージョンを選択します。

SNMPバージョンセクションで、ドロップダウンリストからバージョンを選択します。SNMPバー

ジョン3には認証が必要です。

3. 許可されるネットワークを選択します。

許 可 ネットワークボックスにリストされているネットワークは、Sophos UTM上で実行されてい

るSNMPエージェントにクエリを行うことができます。アクセスは常に読み取り専用です。 l

コミュニティ名 :バージョン2を使用する場合、コミュニティ名を入力します。SNMPコミュ

ニティ名はパスワードとして機能し、SNMPエージェントへのアクセスを保護します。

デフォルトでは、SNMPコミュニティ名は"public"に設定されていますが、お客様の

ニーズに応じて変更できます。

コミュニティ名に使用できる文字:(a~z)、(A~Z)、(0~9)、(+)、(_)、(@)、

(.)、(-)、(空白) l

ユーザ名 /パスワード:バージョン3を使用する場合、認証が必要です。ユーザ名とパ

スワード(確認のために2回)を入力し、リモート管理者がクエリを送信できるようにし

ます。パスワードは8文字以上にする必要があります。SNMP v3では、認証にSHA

を、暗号化にAESを使用します。ユーザ名とパスワードはその両方で使用されます。

4.

適 用 をクリックします。

設定が保存されます。

さらに、UTMについての追加情報を入力できます。

デバイス情 報

デバイス情 報 テキストボックスに、名前、場所、管理者など、UTMに関する追加情報を指定できま

す。この情報は、SNMP 管理ツールが読み取って、UTMの識別に使用します。

UTMと許 可 ネットワーク間のすべてのSNMPトラフィック(プロトコルバージョン2)は暗号化さ

れず、パブリックネットワーク上での転送中に読むことができます。

94 UTM 9 WebAdmin

4 マネジメント 4.9 SNMP

Astaro Notifier MIB

Sophos UTMこのセクションで、通知SNMPトラップの定義を含むAstaro MIBのダウンロードを行うこ

とができます。歴史的な理由により、MIB はAstaroの私企業コードを使用します(SNMPv2-

SMI::enterprises.astaro)。

4.9.2 トラップ

トラップタブで、UTMで発生した関連イベントの通知をSNMPトラップとして送信する宛先のSNMPト

ラップサーバを定義できます。これらのトラップを表示するには、特別なSNMPモニタリングソフト

ウェアが必要です。

SNMPトラップとして送られるメッセージには、オブジェクト識別子(OID)が含まれます。たとえ

ば、.1.3.6.1.4.1.9789が挙げられます。これは、 IANA が発行した私企業番号に属しま

す。.1.3.6.1.4.1はiso.org.dod.internet.private.enterpriseプレフィックスで、9789

はAstaroの 私 企 業 番 号 です。通知イベントのOIDは1500で、それに通知タイプのOIDおよび対応

するエラーコード(000-999)が追加されます。以下の通知タイプを使用できます。 l

DEBUG = 0 l

INFO = 1 l

WARN = 2 l

CRIT = 3

例:通知「INFO-302:新しいファームウェアUp2Dateがインストールされました(New firmware

Up2Date installed)」では、OID .1.3.6.1.4.1.9789.1500.1.302を使用し、以下の文字列が割

り当てられます。

[<HOST>][INFO][302]

<HOST> はシステムのホスト名を表わすプレースホルダであり、通知の件名フィールドのタイプお

よびエラーコードのみが伝送されます。

SNMP v2cトラップサーバを選択するには、以下の手順に従います。

1.

新 規 SNMPトラップシンクをクリックします。

SNMPトラップシンクの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

SNMPバージョン:ドロップダウンリストからSNMP v2cを選択します。

ホスト:SNMPトラップサーバのホスト定義。

UTM 9 WebAdmin 95

4.9 SNMP 4 マネジメント

コミュニティ:SNMPコミュニティ名はパスワードとして機能し、クエリを行うSNMPメッセージへ

のアクセスを保護します。デフォルトでは、SNMPコミュニティ名は"public"に設定されていま

す。それをリモートSNMPトラップサーバで設定された文字列に変更します。

- コミュニティ名に使用できる文字:(a~z)、(A~Z)、(0~9)、(+)、(_)、(@)、(.)、(-)、

(空白)

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいSNMPトラップサーバが トラップタブに表示されます。

SNMPバージョン3には認証が必要です。SNMP v3トラップサーバを選択するには、以下の手順に

従います。

1.

新 規 SNMPトラップシンクをクリックします。

新 規 SNMPトラップシンクの作 成 ダイアログボックスが開きます。

2. 次の設定を行います。

SNMPバージョン:ドロップダウンリストからSNMP v3を選択します。

ホスト:SNMPトラップサーバのホスト定義。

ユーザ名 :認証のユーザ名を入力します。

認 証 タイプ:ドロップダウンリストから認証のタイプを選択します。

パスワード:認証のパスワードを入力します。

再 入 力 :認証のパスワードを再入力します。

暗 号 化 タイプ:ドロップダウンリストから暗号化のタイプを選択します。

パスワード:暗号化のパスワードを入力します。

再 入 力 :暗号化のパスワードを再入力します。

エンジンID:エンジンのIDを入力します。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいSNMPトラップサーバが トラップタブに表示されます。

96 UTM 9 WebAdmin

4 マネジメント 4.10 集中管理(SUM)

4.10 集中管理(SUM)

集 中 管 理 (SUM)メニューのページを使用すると、ゲートウェイのモニタリングやリモート管理に使

用できる管理ツールへのインタフェースを設定することができます。

4.10.1 Sophos UTM Manager

Sophos UTM Manager(SUM)は、Sophosの一元(集中)管理用製品です。複数のUTMアプライアン

スをSUMに接続して、一元的にモニタリング、設定、メンテナンスができます。SUM 4.2は、UTM9.2

の設定のみサポートします。その他のUTMバージョンは、SUMに表示され、また監視されます。例

えばUTM9.2がSUM 4.1と接続している場合、レガシーモードに入ります。その際、バックアップおよ

びup2dateのインストールが可能な状態です。

このタブでは、UTMを1つまたは2つのSUMへ接続する際の設定ができます。

MSPライセンスを使用する場合、SUMの無効化、SUMホストの変更、SUM管理者の権限の

変更は、SophosUTM Manager(SUM)でのみ実行できます。

Sophos UTMがSUMサーバーのモニタリング対象とされるよう準備するには、次の手順に従ってくだ

さい。

1. Sophos UTM マネージャタブで、SUMを有 効 にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、SUM 設 定 エリアが編集可能になります。

2. SUM ホストを指定します。

接続先とするSUMサーバのUTMを選択または追加します。定義を追加する方法は、 定 義 と

ユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明しています。 l

認 証 (オプション):SUMサーバで認証が必要な場合、このオプションを選択して、

SUMサーバで設定したものと同じパスワード(共有シークレット)を入力します。 l

Up2DateキャッシュとしてSUMサーバを使 用 します(オプション):Up2Dateパッケージ

は、SUMサーバにあるキャッシュから取得することができます。ゲートウェイ用にこの

機能を使用するには、SUM サーバーをUp2Date キャッシュとして使 用 オプションを選

択します。管理している SUM サーバーで、Up2Date キャッシュ機能を適切に有効にし

ていることを確認してください。Up2Date キャッシュは、UpDates の親プロキシ設定と

同時に使用できないことに注意してください。

UTM 9 WebAdmin 97

4.10 集中管理(SUM) 4 マネジメント

3. SUM の管理者の権限を定義します。

SUM で管理者は、管理を許された UTM の特定のエリアのみ管理することができます。ここ

でリストされている権限は、SUM ゲートウェイマネージャのメインメニューおよび権限オプ

ションと一致します。

管 理 :これを選択すると、管理者は メンテナンスおよびマネジメントメニューに用意されたす

べての機能を使用できます。たとえば、リストの表示、バックアップの作成とリストア、ファー

ムウェアアップデートのスケジュール設定などです。

レポーティング:これを選択すると、管理者は レポーティングメニューに用意されたすべての

機能を使用できます。たとえば、UTM からレポートを要求できます。

モニタリング:これを選択すると、UTMが モニタリングページに表示され、管理者はすべての

関連機能を使用できます。

設 定 :これを選択すると、管理者は

設 定 メニューに用意されたすべての機能を使用できま

す。たとえば、ネットワーク、ホスト、VPN などのオブジェクトを UTM にデプロイできます。

詳細は、Sophos UTMマネージャ管理ガイドを参照してください。

4.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

UTMは、ここでSophos UTMマネージャへの接続を確立しようとします。両システム間の接続

が確立したら、接続ステータスは緑色に変わります。ここで選択するSUMサーバによって、

UTMをモニタリングおよび管理できるようになります。SUMのステータスセクションで、現在

の接続のステータスと健全性を確認することができます。ページをリロードすると、このデー

タが更新されます。接続に関する問題が発生した場合は、 ライブログを開 くボタンを使用し、

掲示板のメッセージを参照して問題を診断してください。

2台 目 のSUMの設 定

このセクションでは、2台目のSUMを任意に追加することができます。これは、例えばご自分で設

定を行い(1台目のSUMサーバー)、かつ第三者、例えばMSSPによるモニタを必要とする場合(2台

目のSUMサーバー)などに有効です。この設定は1台目のSUMサーバーとほぼ同様です。ただし、

設 定 のオプションは1台目のSUMサーバーに限られているため、2台目では設定できません。

98 UTM 9 WebAdmin

4 マネジメント 4.11 Sophos Mobile Control (SMC)

ゲートウェイとSUMの間の通信はポート4433で行われますが、Sophos UTM Managerには、

HTTPSプロトコルを使用してブラウザ経由でアクセスすることができます。WebAdminの場合は

ポート4444、ゲートウェイマネージャインタフェースの場合はポート4422です。

SUMのステータス

SUM のステータスセクションで、現在の接続ステータスと健全性を確認することができます。ペー

ジをリロードすると、このデータが更新されます。

SUMオブジェクト

このエリアは、SUM経由で作成されたオブジェクトがあり、このSUMがSophos UTMから切断されて

いる場合を除き、無効になっています(グレーアウト表示されています)。SUMで作成されたオブ

ジェクトとは、ネットワーク定義、リモートホスト定義、IPsec VPNトンネルなどです。

オブジェクトのクリーンアップボタンを押すと、デバイスを以前に管理していたSUMで作成されたすべ

てのオブジェクトをリリースすることができます。これらのオブジェクトは通常ロックされ、ローカルデ

バイスのみで表示できます。このボタンを押すと、オブジェクトは完全にアクセス可能になり、ロー

カル管理者が再利用または削除できます。使用されていないオブジェクトがある場合、それらは

直接削除され再利用されません。

以前に SUM で作成されたオブジェクトをクリーンアップすると、同じ SUM に再接続したとき

にこれらのオブジェクトを再変換できなくなります。つまりリモートのSUMが、後で接続を再確立

するデバイス用にオブジェクト定義をまだホストしている場合、ローカルコピーがすでに存在して

も、これらのオブジェクトはデバイスに再配備されます。

ライブログ

ライブログを使用して、Sophos UTMとSUMの間の接続をモニタリングすることができます。クリック ラ

イブログライブログを新しいウインドウで開くためのボタン。

4.11 Sophos Mobile Control (SMC)

Sophos Mobile Control (SMC) により、iOS、AndroidまたはWindows Phone搭載のスマートフォンやタブ

レットといった、会社のEメールモバイルデバイスのインストール/特定/セキュアが許可されている

アプリを、管理/セキュア/アップデート/制御できます。Sophos Mobile Control WebAdminインタフェー

スを利用して、対応デバイスおよびユーザの定義、ネットワークアクセス制御の設定、および設定

のSMCサーバへのプッシュができます。

さらなる詳細については、 Sophos Mobile Control Webサイトをご覧ください。

UTM 9 WebAdmin 99

4.11 Sophos Mobile Control (SMC) 4 マネジメント

SMCサーバ

SMCは別のサーバ上で実行されます。Sophos UTMでは、SMCサーバを接続して、対応/非対応の

デバイスおよびユーザの概要の取得、VPNおよびワイヤレスネットワークのネットワークアクセス

の定義、ネットワーク設定のSMCサーバへののプッシュが行えます。

SMCサーバは、2つの異なる方法で実行できます。 l

施設内インストールでは、お持ちのサーバ上へとデータを社内保管できます。 l

SMCをサービスバージョンとして利用すると、お客様の側でハードウェアを用意する必要が

ありません。

SMCを利用するには、有効なライセンスが必要です。 Sophos Mobile Control Webサイト から

ソフトウェアをダウンロードすると、トライアルライセンスが送付されます。フルライセンスは、最

寄りのSophosパートナーから入手可能です。

SMCサーバおよびライセンスについてのさらなる情報は、 Sophos Mobile Controlマニュアル でご確

認ください。

SMCアプリ

モバイルデバイス上でSMCを使用するには、SMCアプリをスマートフォンまたはタブレットにダウン

ロードする必要があります。アプリは無料で、各アプリストア(Apple iTunes、Google Play、または

Windows App Store)でダウンロード可能です。 l iOS向けiTunesでSMCアプリをダウンロードする l

Android向けGoogle PlayでSMCアプリをダウンロードする l

Windows Phone向けWindows App StoreでSMCアプリをダウンロードする

4.11.1 一 般

マネジメント> Sophos Mobile Control > 一 般 タブでは、Sophos Mobile Controlのホストを定義でき

るほか、顧客の詳細およびSMCサーバのログイン資格情報を指定できます。SMC管理者が顧客

アカウントおよびログインデータを作成します。

100 UTM 9 WebAdmin

4 マネジメント 4.11 Sophos Mobile Control (SMC)

このタブ上ではSMCサーバの作成はできません。SMCサーバの作成についてのさらなる情

報は、 Sophos Mobile Controlマニュアル でご確認ください。

1. Sophos Mobile Controlの有効化:

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、 グローバル設 定 エリアが編集可能になります。

2. 次の設定を行います。

SMCサーバ:サーバをホストSMCへと追加または選択します。

顧 客 :SMC顧客を入力します。

ユーザ名 :SMCユーザ名を入力します。

パスワード:SMCパスワードを入力します。

Sophos UTM内で新規顧客の作成、ユーザまたはパスワードの定義はできません。

新規顧客は直接、SMC内でのみ作成可能です。

CA証 明 書 :公式のWeb CAまたはカスタムの認証局を選択します。サイト間 VPN > 証 明

書 管 理 > 認 証 局 タブで、ユニットに新しい認証局を追加できます。

3.

情 報 ダイアログウィンドウが開きます。 l

接 続 テスト成 功 :SMCサーバへの接続が成功しました。 l

接 続 テスト失 敗 :SMCサーバへの接続に失敗しました。

- SMCサーバへの接続に失敗した場合、Sophos Mobile Controlライブログを利用して、

問題を見つけ出します。

4. 次の詳細設定を任意で行います。

デバッグモードの有 効 化 :このオプションで、Sophos Mobile Controlログで生成されるデバッ

グ出力の量を制御します。接続で問題が発生した場合や、クライアントパラメータのネゴシ

エーションに関する詳細な情報が必要である場合などに、このオプションを選択します。

5.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

UTM 9 WebAdmin 101

4.11 Sophos Mobile Control (SMC) 4 マネジメント

ライブログを開 く

Sophos Mobile Controlライブログは、Sophos Mobile Controlインタフェース上の全アクティビティをロギ

ングします。 ライブログを開 くボタンをクリックすると、新しいウィンドウでSophos Mobile Controlライブ

ログが開きます。

4.11.2 コンプライアンスの概 要

マネジメント> Sophos Mobile Control > コンプライアンスの概 要 タブには、Sophos UTMに接続され

ている全モバイルデバイスがリストされています。SMCサーバは、モバイルデバイスまたはユーザ

の接続を許可する、特定のポリシを設定します。モバイルデバイスまたはユーザがポリシに対応

していない場合、それらは非対応デバイス/ユーザとしてブラックリストにリストされます。ポリシに

非対応である原因は、例えば、デバイスに適切なプラットフォームがない、または許可されていな

い特定のアプリを使用している場合が考えられます。対応デバイスはホワイトリストに表示されま

す。 l

非 対 応 デバイス:ワイヤレスネットワークのブラックリスト上のすべての非対応デバイスの

MACアドレスです。 l

対 応 デバイス:ワイヤレスネットワークのホワイトリスト上のすべての対応デバイスのMAC

アドレスです。 l

非 対 応 ユーザ:VPNブラックリストに記載されている非対応ユーザの名前です。

4.11.3 ネットワークアクセスコントロール

マネジメント> Sophos Mobile Control > ネットワークアクセスコントロールタブでは、VPN接続および

ワイヤレスネットワークのアクセス設定を設定できます。定義済みのVPNまたはワイヤレスネット

ワークに向かう非対応デバイスは、ブロックされます。

特 定 の

VPNネットワークへのアクセスをブロックする

会社ポリシに非対応のモバイルデバイスを使用するユーザをブロックするよう、VPNおよびワイヤ

レスネットワークを定義します。 l

L2TP over IPsecを施 行 :選択すると、非対応ユーザはL2TP over IPsec経由でSophos

Mobile Controlに接続できなくなります。 l

Cisco™ VPNを施 行 :選択すると、非対応ユーザはCisco™ VPN経由でSophos Mobile

Controlに接続できなくなります。

102 UTM 9 WebAdmin

4 マネジメント 4.12 冗長化(HA) l

他 のVPNプロトコルに対 するアクセスも拒 否 :選択すると、非対応ユーザはその他のVPNプ

ロトコル経由でSophos Mobile Controlに接続できなくなります。

ワイヤレスネットワークを施 行 :これらのワイヤレスネットワーク経由でSophos Mobile Controlに接続

しようとする非対応デバイスをブロックします。

対 応 状 態 のポーリング:現在の対応状態がSMCサーバからポーリングされる間隔を分(1~60)で

入力します。

4.11.4 構 成 設 定

マネジメント> Sophos Mobile Control > 設 定 タブでは、WebAdminからのVPNおよびワイヤレス

ネットワーク設定をSMCサーバへとプッシュできます。これらの設定により、モバイルデバイスおよ

びユーザのUTMへの接続方法が定義されます。設定はSMCから、接続されたモバイルデバイス

へと送信されます。VPNおよびワイヤレスネットワーク設定を、手動で設定する必要はありませ

ん。

Sophos Mobile Controlの構 成 設 定

どのVPNおよびワイヤレスネットワーク設定を、SMCサーバへとプッシュするか定義します。 l

L2TP over IPsec設 定 :選択すると、L2TP over IPsec設定がSMCサーバへとプッシュされ

ます。 l

Cisco™ VPN設 定 :選択すると、Cisco™ VPN設定がSMCサーバへとプッシュされます。

ワイヤレスネットワーク:SMCサーバへとプッシュするワイヤレスネットワークを選択します。

EAPメソッド:ワイヤレスネットワークエンタープライズ認証を使用するEAPメソッド(拡張認証プロト

コル)を選択します。

設 定 のプッシュ

現在の設定をSMCサーバへと転送するには、 今 すぐ設 定 をプッシュボタンをクリックします。

例えば送信中にサーバがオフラインであったというような例外的なケースでのみ、この機

能を使用してください。通常、このボタンを使用して設定をプッシュする必要はありません。

4.12 冗長化( HA)

インターネットセキュリティシステムの障害の主な原因は、ハードウェアの故障です。システムに障

害が発生した後もサービスを継続して提供する能力をフェイルオーバーと呼びます。Sophos UTM

UTM 9 WebAdmin 103

4.12 冗長化(HA) 4 マネジメント

はHAフェイルオーバーを実現するため、お客様はプライマリシステムで障害が発生したときのため

にホットスタンバイシステムをセットアップできます(active-passive)。あるいは、Sophos UTMを使用

してクラスタをセットアップして、専用のネットワークトラフィックを一群のノードに分散させて運用し

(active-active)、リソース利用率を最大限に高めて処理時間を削減することができます。これは従

来のロードバランシングアプローチと似ています。

Sophos UTMに導入された

冗 長 化 とクラスタの概念は、緊密に連携しています。HAシステムは2

ノードクラスタと考えることができます。これは冗長性を実現する最低限の要件です。

これは冗長性を実現する最低限の要件です。 l

マスタ:ホットスタンバイ/クラスタセットアップ内のプライマリシステム。クラスタ内で、マスタ

はデータの同期と配信を行う責任を担います。 l

スレーブ:ホットスタンバイ/クラスタセットアップ内のスタンバイシステム。マスタに障害が発

生すると、オペレーションを引き継ぎます(テイクオーバーします)。 l

ワーカ:データ処理のみを担当するシンプルなクラスタノード。

すべてのノードは、いわゆるハートビート信号を使用して自らをモニタリングします。ハートビート信

号とは、他のノードが稼働していることを確認するために定期的に送信されるマルチキャストUDP

パケットです。技術的エラーが原因で、いずれかのノードがこのパケットの送信に失敗すると、そ

のノードは デッドと宣言されます。失敗したノードが担っていた役割に応じて、セットアップの構成

が次のように変更されます。 l

マスタノードで障害が発生した場合、スレーブがマスタの役割を引き継ぎ、IDが最も高い

ワーカノードがスレーブとなります。 l

スレーブノードで障害が発生した場合、IDが最も高いワーカノードがスレーブとなります。 l

ワーカノードで障害が発生した場合、処理能力が失われることによるパフォーマンス低下

は認識されますが、 フェイルオーバー機能は損なわれません。

HA設定はハードウェア設定の一部であり、バックアップには保存できません。これは、HA

設定はバックアップリストアにより上書きされないということも意味します。

レポーティング

すべてのレポーティングデータはマスタノード上で統合され、5分間隔で他のクラスタノードと同期さ

れます。したがって、引き継ぎが発生すると、最大過去5分間のレポーティングデータが失われま

す。ただし、データ収集プロセスには違いがあります。 ログとレポート> ハードウェアタブに表示され

るグラフには、現在マスタとなっているノードのデータのみが表示されます。 ログとレポート> ハード

ウェアタブに表示されるグラフには、現在マスタとなっているノードのデータのみが表示されます。

104 UTM 9 WebAdmin

4 マネジメント 4.12 冗長化(HA)

たとえば、今日のCPU使用状況のヒストグラムには、マスタノードの現在のプロセッサ使用状況が

表示されます。切り替わりが発生した場合、ここにはスレーブノードのデータが表示されるようにな

ります。一方、上位アカウンティングサービスに関する情報などは、ユニットを通過するトラフィック

の分散処理に関与したすべてのノードから収集されたデータの集合体となります。

注 記

l

アドレス解 決 プロトコル(ARP)を使用するのは、実際のマスタのみです。つまり、スレーブ

ノードとワーカノードはARP要求の送信や応答を行いません。 l

フェイルオーバーが発生すると、オペレーションを引き継ぐユニットがARPアナウンスメント

(別名gratuitous ARP)を実行します。これは通常、要求を受信する他のホストのARPキャッ

シュを更新することを目的とするARP要求です。Gratuitous ARPは、マスタのIPがスレーブに

移行したことをアナウンスするために使用されます。 l

マスタで設定するすべてのインタフェースには物理リンクが必要です。つまり、任意のネット

ワークデバイスにポートを正しく接続しなければなりません。

4.12.1 ハードウェアとソフトウェアの要 件

HAフェイルオーバーまたはクラスタ機能を提供するためには、次のハードウェアおよびソフトウェ

ア要件を満たす必要があります。 l

冗長化オプションが使用可能な有効なライセンス(スタンバイユニットの場合、追加の基本

ライセンスのみが必要です)。 l

ソフトウェアバージョンとハードウェアが同じである2台のUTMユニット、または同じモデルの

2台のUTMアプライアンス。 l

ハートビートが可能なイーサネットネットワークカード。サポートされているネットワークカード

を確認するには、HCL をチェックしてください。HCLは Sophos Knowledgebase で提供されてい

ます(検索用語に「HCL」を使用します)。 l

イーサネットクロスオーバーケーブル(ホットスタンバイシステムでのマスタとスレーブの接続

用)。UTM専用HAインタフェースがギガビット自動MDXデバイスである アプライアンスのモ

デル320、425、525は、標準のIEEE 802.3イーサネットケーブルで接続可能です(イーサネット

ポートが送信/受信ペアを自動的に交換するため)。 l

ネットワークスイッチ(クラスタノードの接続用)。

UTM 9 WebAdmin 105

4.12 冗長化(HA) 4 マネジメント

4.12.2 ステータス

マネジメント> 冗 長 化 > ステータスタブには、ホットスタンバイシステムまたはクラスタに関与する

すべてのデバイスがリストされ、次の情報が表示されます。 l

ID:デバイスのノードID。ホットスタンバイシステムでは、ノードIDは1または2です。

クラスタ内のノードIDは1~10の範囲になります。この理由は、1つのクラスタに最大10ノード

まで持たせることができるためです。 l

役 割 :HAシステムは2ノードクラスタと考えることができます。これは冗長性を実現する最低

限の要件です。 l

MASTER:ホットスタンバイ/クラスタセットアップ上のプライマリシステム。クラスタ内

でデータの同期と配信を行う責任を担います。 l

SLAVE:ホットスタンバイ/クラスタセットアップ内のスタンバイシステム。マスタに障害

が発生すると、オペレーションを引き継ぎます(テイクオーバーします)。 l

WORKER:データ処理のみを担当するシンプルなクラスタノード。 l

デバイス名 :デバイスの名前です。 l

ステータス: HAステータスに関するデバイスの状態。次のいずれかになります。 l

ACTIVE:ノードは完全に機能しています。ホットスタンバイ(アクティブ-パッシブ)設定

の場合、これがアクティブノードのステータスです。 l

READY:ノードは完全に操作可能です。ホットスタンバイ(アクティブ-パッシブ)設定

の場合、これがパッシブノードのステータスです。 l

RESERVED:ノードに一致するバージョンがなく、プロセスに関与していません。 l

UNLINKED:1つ以上のインタフェースリンクがダウンしています。 l

UP2DATE:Up2Dateが進行中です。 l

UP2DATE-FAILED:Up2Dateが失敗しました。 l

DEAD:ノードに到達できません。 l

SYNCING:データ同期が進行中です。このステータスは、ノードがマスタに接続してい

るときに表示されます。最初の同期には5分以上時間がかかります。あらゆる同期

関連のプログラムにより、この時間が長期化する場合もあります。スレーブが同期中

であり 同 期 中 ステータスの場合、マスタノードでのリンク障害などが原因で正常な

引き継ぎは行われません。

106 UTM 9 WebAdmin

4 マネジメント 4.12 冗長化(HA) l

バージョン:Sophos UTM システムにインストールされたソフトウェアのバージョン番号。 l

最 後 のステータス変 化 :ステータス変更が最後に発生した時間。

リブート/シャットダウン: これらのボタンを使用して、デバイスを手動でリブートまたはシャットダウン

することができます。

ノード削 除 : このボタンを使用して、WebAdmin経由でデッド状態のクラスタノードを削除します。

メール隔離やスプールなど、ノード固有のすべてのデータがマスタに引き継がれます。

HAライブログを別ウィンドウで表示するには、右上隅にあるHAライブログを開 くボタンをクリックし

ます。

4.12.3 システムステータス

マネジメント> 冗 長 化 > システムステータスタブには、ホットスタンバイシステムまたはクラスタに

関与するすべてのデバイスがリストされ、各デバイスのリソース使用状況に関する次の情報が表

示されます。 l

CPU 使用率(%) l

RAM 使用率(%) 表示される合計メモリは、オペレーティングシステムが使用できる部分であ

ることに注意してください。32ビットシステムでは、一部がハードウェア用に予約されているた

め、必ずしも設置されている物理メモリの実際のサイズが表示されない場合もあります。 l

スワップ使用状況(%) l

ログパーティションで消費されているハードディスクの容量(%) l

ルートパーティションで消費されているハードディスクの容量(%) l

UPS(無停電電源装置)モジュールがある場合はその状況

4.12.4 設 定

Sophos UTMの冗長化機能は、4つのベーシック設定が可能です。 l

オフ l

自動設定 l

ホットスタンバイ(アクティブ-パッシブ) l

クラスタ(アクティブ-アクティブ)

自 動 設 定 :Sophos UTMには、UTMアプライアンス用のプラグアンドプレイ設定オプションがありま

す。このオプションを使用すると、クラスタに追加するデバイスを再設定したり手動でインストールし

UTM 9 WebAdmin 107

4.12 冗長化(HA) 4 マネジメント

たりする必要なく、ホットスタンバイシステム/クラスタをセットアップすることができます。UTMアプラ

イアンスの専用HAインタフェース(eth3)を相互に接続し、すべてのデバイスで自 動 設 定 を選択

するだけで、準備は完了です。

自 動 設 定 は、固定eth3ポート付きアプライアンスのデフォルトによってのみ有効化されま

す。モジュール型(リムーバブル)FlexiPortモジュールのみを提供するアプライアンスの場合、こ

の機能はデフォルトにより無効となりますが、以下で説明するいずれかのポート(Sync NIC)上で

有効とすることが可能です。

注 自 動 設 定 が正常に機能するためには、すべてのUTMアプライアンスは同じモデルでなけ

ればなりません。たとえば、HAシステムのセットアップには、2台のUTM320アプライアンスを使用

する必要があり、UTM220ユニットとUTM320ユニットを組み合わせて使用することはできません。

この専用インタフェースを介して2台のUTMアプライアンスを接続すると、すべてのデバイスが相互

に認識し、HAシステムとして自動的に自己設定します。可能性は低いものの、アップタイムが同じ

であった場合には、MACアドレスに基づいてマスタとなるデバイスが決まります。

UTMソフトウェアを使用すると、専用スレーブシステムで 自 動 設 定 オプションが使用され、マスタま

たはすでに設定されているホットスタンバイシステム/クラスタに自動的に追加されます。このた

め、 自 動 設 定 は、それ自体、冗長化オペレーションモードではなく移行モードと考えることができ

ます。 自 動 設 定 が選択されているデバイスがホットスタンバイシステムまたはクラスタに追加され

ると、冗長化オペレーションモードはそれぞれ ホットスタンバイまたはクラスタとなります。 ただし、こ

の機能が正常に機能するためには、マスタシステムで 新 規 デバイスの自 動 設 定 を許 可 オプショ

ンが有効になっていることが条件となります。この機能により、冗長化オペレーションモードが

自 動

設 定 に設定されているデバイスがホットスタンバイシステム/クラスタに自動的に追加されます。

ホットスタンバイ active-passive :Sophos UTMでは、2つのノードから成るホットスタンバイ冗長

化コンセプトが採用されており、冗長性を実現する最低要件となります。Sophos UTMソフトウェ9ア

に導入された主な改良点の1つに、テイクオーバー(引き継ぎ)のレイテンシを2秒未満に低減でき

る点があります。 ゲートウェイは、ファイアウォール接続の同期化に加え、IPsecトンネルの同期化

にも対応してます。つまり、ロードウォリアやリモートVPNゲートウェイが、テイクオーバー後にIPsec

トンネルを再度確立する必要はありません。 また、隔離されたオブジェクトも同期化されるため、テ

イクオーバー後も使用可能です。

クラスタ active-active :(ベーシックガードサブスクリプションでは使用できません。)大量のイン

ターネットトラフィックのリアルタイム処理に対する需要が高まっています。これに対応するために、

Sophos UTMには、処理集約型のタスク(コンテンツフィルタ、ウイルススキャン、侵入防止、復号化

など)を複数のクラスタノードに均一に分散するためのクラスタリング機能が用意されています。

108 UTM 9 WebAdmin

4 マネジメント 4.12 冗長化(HA)

専用のハードウェアベースの負荷分散装置を使用する必要なく、ゲートウェイの全体的なパ

フォーマンスを大幅に向上できます。

クラスタの設定時は、マスタノードを設定してから残りのユニットをスイッチに接続してくださ

い。

マスタ、スレーブ、またはワーカの設定手順は非常に似ています。次の手順で実行します。

1. 冗長化オペレーションモードを選択します。

デフォルトでは、冗長化はオフになっています。次のモードを使用できます。 l

自動設定 l

ホットスタンバイ(アクティブ-パッシブ) l

クラスタ(アクティブ-アクティブ)

冗長化オペレーションモードを変更する場合、モードを自 動 設 定 、ホットスタンバイ、

または クラスタに変更するためには、モードを一度OFFに戻す必要があります。

ライセンス/サブスクリプションが期限切れまたは存在しない場合、オペレーション

モード変更が オフおよび現在のオペレーションモードへと制限されます。

選択に応じて、1つ以上のオプションが表示されます。

2. 次の設定を行います。

同 期 用 NIC:マスタシステムとスレーブシステムとの通信で経由するネットワークインタ

フェースカードを選択します。リンクアグリゲーションがアクティブである場合、ここでリンクア

グリゲーションインタフェースも選択できます。

HA同期を、その他ネットワークトラフィックから分離することが推奨されます。例え

ば、VLANなどです。

まだ設定していないインタフェースのみが表示されます。実行中の設定で同期化イ

ンタフェースを変更することができます。その後、すべてのノードはリブートします。

次のオプションは、オペレーションモードとして ホットスタンバイまたはクラスタを選択した場合

のみ設定できます。

デバイス名 :このデバイスを説明する名前を入力してください。

UTM 9 WebAdmin 109

4.12 冗長化(HA) 4 マネジメント

デバイスノードID: デバイスのノードIDを選択します。プライマリシステムに障害が発生した

場合、IDが最も高いノードがマスタとなります。

暗 号 化 キー:マスタとスレーブの通信を暗号化するパスフレーズ(確認のためにパスフレー

ドを2回入力します)。鍵の最大長は16文字です。

3.

適 用 をクリックします。

デバイスで冗長化フェイルオーバーがアクティブになりました。

ホットスタンバイモードのゲートウェイは、データ転送接続に対して定期的に更新されます。 アク

ティブなプライマリシステムでエラーが発生した場合、速やかにセカンダリシステムが通常モードに

自動的に切り替わり、プライマリシステムの機能を引き継ぎます。

ホットスタンバイシステム/クラスタを無効にすると、スレーブノードとワーカノードは工場出

荷時の状態に戻り、シャットダウンします。

詳細情報(特に使用事例)は、 SophosKnowledgebase にあるHA/クラスタガイドで確認できます。

詳 細

このセクションでは、詳細設定を行うことができます。

新 しいデバイスの自 動 設 定 を有 効 化 : ホットスタンバイシステム/クラスタを手動で設定した場

合、このオプションにより、冗長化オペレーションモードが

自 動 設 定 に設定されているデバイスが

ホットスタンバイシステム/クラスタに自動的に追加されます。ただし、このオプションはスレーブシ

ステムに一切影響を与えないため、デフォルト設定のまま有効にしておくことができます。

Up2Date時 にノードをそのまま保 持 :選択する場合、新しいシステムバージョンへの更新時に、

HA/クラスタノードの半数が現在のシステムバージョンを保持します。新しいバージョンが安定した

段階で、 マネジメント冗 長 化 > ステータスページで残りのノードを更新できます。新しいバージョ

ンのために更新されたすべてのノードで障害が発生する場合は、残りのノードが古いバージョンで

新しいHA/クラスタを構築します。その後、障害のあるノードに古いバージョンをインストールする

か、新しい更新を待つことができます。

Up2Date時 にノードをそのまま保 持 が有効であれば、同期は同じシステムバージョンのノードに限

定されるので、予約されたノードは更新後に同期されません。代わりに、予約されたノードの状態

が保持されます。そのため、理由によらず予約されたノードの再有効化を決定した場合、更新開

始から再有効化までの間の時間に行われたすべての設定変更やレポートデータは失われます。

優 先 マスタ: ここでは、ドロップダウンリストでノードを選択して、指定のマスタノードを定義できま

す。フェイルオーバーが発生した場合、選択されたノードはリンクの回復後はスレーブモードのま

まではなく、マスタモードにスイッチバックします。

110 UTM 9 WebAdmin

4 マネジメント 4.13 シャットダウンとリスタート

バックアップインタフェース: HA同期化インタフェースの障害やネットワークケーブルの切断などが

原因で、マスタとスレーブの両方が同時にマスタになること(マスタ/マスタの状況)を防ぐために、

バックアップ用のハートビートインタフェースを選択できます。この追加ハートビートインタフェース

には、いずれかの設定済みアクティブイーサネットインタフェースを選択できます。バックアップイン

タフェースを選択すると、マスタ/スレーブ設定が維持されていることを確認するために、このインタ

フェース経由で追加のハートビート信号が一方向へ(マスタからスレーブへ)送信されます。マスタ

/スレーブ接続が無効であり、バックアップインタフェースが関与すると、いずれかのクラスタノード

が停止していることを知らせる通知が管理者に送信されます。ただし、このオプションはスレーブシ

ステムに一切影響を与えないため、未設定のままにしておくことができます。

HA同期化インタフェースに障害が発生した場合、設定はそれ以上同期されなくなります。

バックアップインタフェースは、マスタ/マスタの状況を回避するだけです。

4.13 シャットダウンとリスタート

このタブでは、手動でSophos UTMをシャットダウンまたはリスタートできます。

シャットダウン:この操作により、システムをシャットダウンして、すべてのサービスを適切に停止で

きます。モニタやLCDディスプレイが接続されていないシステムの場合は、シャットダウンプロセス

の最後にビープ音が1秒間隔で鳴り続けます。

Sophos UTMをシャットダウンするには、以下の手順に従います。

1.

システムをシャットダウン( 停 止 ) をクリックします。

2. 警告メッセージを確認します。

【システムをシャットダウンしますか?】というメッセージが表示されたら、OKをクリックしま

す。

システムはシャットダウンして停止します。

お使いのハードウェアおよび設定により、シャットダウンが完了するまでに数分かかる場合があり

ます。システムが完全にシャットダウンした後で、電源を切ります。システムが完全にシャットダウ

ンする前に電源を切ると、システムが次回の起動(ブート)時にファイルシステムの一貫性をチェッ

クするため、起動プロセスに通常よりかなり長く時間がかかることになります。最悪の場合は、デー

タが失われる場合があります。

システムの起動が正常に行われるとビープ音が連続して5回鳴ります。

リスタート:この操作により、システムを完全にシャットダウンして再起動(リブート)します。お使いの

ハードウェアおよび設定により、完全にリスタートするまでに数分かかる場合があります。

UTM 9 WebAdmin 111

4.13 シャットダウンとリスタート 4 マネジメント

Sophos UTMをリスタートするには、次の手順に従います。

1.

システムをリスタート リブート をクリックします。

2. 警告メッセージを確認します。

【システムをリスタートしますか?】というメッセージが表示されたら、OKをクリックします。

システムはシャットダウンし、停止してからリブートします。

112 UTM 9 WebAdmin

5 定義とユーザ

この章では、Sophos UTM全体で使用されるネットワーク、サービス、期間の定義を設定する方法

について説明します。WebAdminの オブジェクト定 義 の概 要 ページは、タイプに基づくネットワーク定

義の数と、プロトコルタイプに基づくサービス定義の数を示します。

定 義 とユーザメニューのページを使用すると、他のすべての設定メニューで使用することが可能な

ネットワークとサービスを一元的に定義することができます。これにより、IPアドレス、ポート、ネット

ワークマスクなどに悩まされることなく、名前を使用して作業できます。その他のメリットとしては、

個々のネットワークやサービスをグループにまとめて、一度に設定できることがあげられます。後

でこれらのグループに特定の設定を割り当てたりすると、これらの設定はグループに含まれるす

べてのネットワークとサービスに適用されます。

さらに、Sophos UTMこの章では、のユーザアカウント、ユーザグループ、および外部認証サーバの

設定方法や、クライアントPCの認証について説明します。

この章には次のトピックが含まれます。 l

ネットワーク定義

l

サービス定義

l

時間帯定義

l

ユーザとグループ

l

クライアント認証

l

認証サービス

5.1 ネットワーク定義

定 義 とユーザ > ネットワーク定 義 メニューを使用して、ホスト、ネットワーク、ネットワークグループ、

ならびにMAC アドレス定義を作成することができます。ここで作成した定義は、他の多くの

WebAdmin設定でも使用できます。

5.1.1 ネットワーク定 義

定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 タブは、UTMのホスト、ネットワーク、ネット

ワークグループを一元的に定義する場所です。ここで作成した定義は、他の多くのWebAdmin設定

メニューでも使用できます。

5.1 ネットワーク定義 5 定義とユーザ

デフォルトでは、タブを開くとすべてのネットワーク定義が表示されます。リストの上部のドロップダ

ウンリストを使用して、特定のプロパティを持つネットワーク定義を表示するように選択できます。

ヒントネットワーク定 義 リストでネットワーク定義の情報アイコンをクリックすると、ネットワーク

定義が使用されているすべての設定項目を表示できます。

ネットワークテーブルには、システムが自動的に作成した、編集も削除もできないスタティックネット

ワークも含まれています。 l

内 部 アドレス :このタイプの定義は、各ネットワークインタフェースに追加されます。ここに

は、インタフェースの現在のIPアドレスが含まれています。名前では、インタフェース名の後

に「(Address)」という言葉が付いています。 l

内 部 ブロードキャスト :このタイプの定 義 は、各イーサネットタイプネットワークインタ

フェースに追加されます。ここには、インタフェースの現在のIPv4ブロードキャストアドレスが

含まれています。名前では、インタフェース名の後に「(Broadcast)」という言葉が付いてい

ます。 l

内 部 ネットワーク : このタイプの定義は、各イーサネットタイプネットワークインタフェース

に追加されます。ここには、インタフェースの現在のIPv4ネットワークが含まれています。名

前では、インタフェース名の後に「(Network)」という言葉が付いています。 l

あらゆる IPv4/IPv6 :インタフェースに関連付けられたネットワーク定義(それぞれIPv4、お

よびIPv6が有効な場合はIPv6用)。設定でこれを使用すると、設定プロセスが容易になりま

す。アップリンクバランスを有効にすると、 インターネット定義はアップリンクインタフェースと関

連付けられます。

IPv6エントリは、インタフェース& ルーティング> IPv6で有効になっている場合にのみ

表示されます。

クライアント認証によって認証されたユーザネットワークのオブジェクトは、パフォーマンス

上の理由から、必ず未解決として表示されます。

ネットワーク定義を作成するには、次の手順に従います。

1.

ネットワーク定 義 タブで、新 規 ネットワーク定 義 をクリックします。

ネットワーク定 義 の追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

114 UTM 9 WebAdmin

5 定義とユーザ 5.1 ネットワーク定義

(選択した定義タイプに応じて、ネットワーク定義のさらに詳細なパラメータが表示されま

す。)

名 前 :この定義を説明する名前を入力してください。

タイプ:ネットワーク定義タイプを選択します。次のタイプを使用できます。 l

ホスト:単 一IPアドレス。次の情報を指定します。 l

IPv4アドレス/IPv6アドレス:ホストのIPアドレス(設定されたインタフェースの

IPアドレスを入力することはできません)。 l

DHCP設 定 (オプション):このセクションで、ホストとIPアドレス間のスタ

ティック(静的)マッピングを作成できます。これには、設定されたDHCPサー

バーが必要になります( ネットワークサービス> DHCP > サーバー参照)。

DHCPプールから通常通りに割り当てられたアドレスとスタティックに

マッピングされたアドレスの間でIPアドレスの重複が発生することを防止す

るために、スタティックにマッピングする場合はDHCPプールの範囲外のアド

レスを指定してください。たとえば、DHCP プールが

192.168.0.100~192.168.0.210 である場合にスタティックマッピングと

して 192.168.0.200 を指定すると、2つのシステムが同じ IP アドレスを持

つことになります。

IPv4 DHCP:スタティックマッピングに使用するIPv4 DHCPサーバを選択しま

す。

MACアドレス:ホストのネットワークインタフェースカードのMACMACアドレス

は通常、2桁の16進数をコロンまたはハイフンで区切って6組まとめた形式で

指定します(00:04:76:16:EA:62など)。アドレスを入力します。

IPv6 DHCP:スタティックマッピングに使用するIPv6 DHCPサーバを選択しま

す。

DHCPの一 意 のID:ホストのDUIDを入力します。Windowsなどのオペレーティ

ングシステムの場合、DUIDはWindowsレジストリで確認できます。HKEY_

LOCAL_

MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Paramete rs

UTM 9 WebAdmin 115

5.1 ネットワーク定義 5 定義とユーザ

2桁の16進数をコロンで区切ってまとめた形式で指定します

(00:01:00:01:13:30:65:56:00:50:56:b2:07:51など)。 l

DNS設 定 (オプション):独自のDNSサーバの設定は必要としないが、ネット

ワークの一部のホストでDNSスタティックマッピングが必要な場合は、それぞ

れのホストのこのセクションにこれらのマッピングを入力することができます。

これは限られた数のホストにしか対応できないため、フルオペレーションを

行っているDNSサーバの代わりに使用することは決してしないでください。

ホスト名 :ホストの完全修飾ドメイン名(FQDN)を入力します。

リバースDNS:ホストのIPアドレスと名前のマッピングを有効化するには、

チェックボックスにチェックを入れます。同じIPアドレスに複数の名前をマッピ

ングすることが可能ですが、1つのIPアドレスには1つの名前にしかマッピング

できません。

追 加 ホスト名 :「+」アイコンをクリックして、ホストに追加ホスト名を追加しま

す。 l

DNSホスト:DNSホスト名。システムによってダイナミックに解決され、IPアドレスが生

成されます。DNSホストは、ダイナミックIPエンドポイントの使用時に便利です。シス

テムは、TTL(生存時間)の値に従って定期的にこれらの定義を再解決し、新しいIP

アドレスがある場合は定義を更新します。次の情報を指定します。 l

ホスト名 :リゾルブしたいホスト名。 l

DNSグループ:DNSホストと似ていますが、1つのホスト名用のDNS内の複数のRR

(リソースレコード)を処理できます。透過プロキシでのファイアウォールルールと除外

の定義に便利です。 l

ネットワーク:標準的なIPネットワーク。ネットワークアドレスとネットマスクから構成さ

れています。次の情報を指定します。 l

IPv4アドレス/IPv6アドレス:ネットワークのネットワークアドレス(設定されたイ

ンタフェースのIPアドレスを入力することはできません)。 l

ネットマスク:オクテット内のいくつのビットでサブネットワークが指定され、いく

つのビットがホストアドレスに使用されるかを示すために使用されるビットマス

ク。 l

レンジ:IPv4アドレスレンジの全範囲を定義するために選択します。次の情報を指定

します。

116 UTM 9 WebAdmin

5 定義とユーザ 5.1 ネットワーク定義 l

IPv4開 始 アドレス:範囲で最初のIPv4アドレスです。 l

IPv4終 了 アドレス:範囲で最後のIPv4アドレスです。 l

IPv6開 始 アドレス:範囲で最初のIPv6アドレスです。 l

IPv6終 了 アドレス:範囲で最後のIPv6アドレスです。 l

マルチキャストグループ:定 義 されたマルチキャストネットワーク範囲から構成される

ネットワーク。 l

IPv4アドレス:マルチキャストネットワークのネットワークアドレス。

224.0.0.0~239.255.255.255の範囲である必要があります。 l

ネットマスク:オクテット内のいくつのビットでサブネットワークが指定され、いく

つのビットがホストアドレスに使用されるかを示すために使用されるビットマス

ク。 l

ネットワークグループ:他 のネットワーク定義のリストが含まれるコンテナ。これらを使

用してネットワークとホストをまとめると、設定がより読みやすくなります。

ネットワーク

グループを選択すると、メンバーボックスが表示され、グループメンバーを追加できま

す。 l

可 用 性 グループ:ホストまたはDNSホスト(あるいはその両方)のグループ。すべての

ホストの生存ステータスがICMP pingにより、デフォルトで60秒間隔でチェックされま

す。優先順位が最も高く、生存ステータスであるホストが設定で使用されます。

アベ

イラビリティグループを選択すると、メンバーボックスが表示され、グループメンバーを

追加できます。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

表示されるオプションは、上で選択されている タイプに依存します。

インタフェース(オプション):ネットワーク定義を特定インタフェースにバインドして、その定義

への接続がこのインタフェース経由でのみ確立されるようにすることができます。

モニタリングタイプ:( アベイラビリティグループタイプのみ):生存ステータスチェックのサービス

プロトコルを選択します。モニタリング用にTCP(TCP 接続の確立)、UDP(UDP 接続の確

立)、Ping(ICMP Ping)、HTTP ホスト(HTTP 要求)、またはHTTPS ホスト(HTTPS 要求) のい

ずれかを選択します。UDPを使用する場合、ping要求が最初に送信され、成功した場合

は、続いてペイロード0のUDP パケットが送信されます。pingが成功しなかった場合や、

ICMPポートに到達できない場合、このホストはダウンしているとみなされます。

UTM 9 WebAdmin 117

5.1 ネットワーク定義 5 定義とユーザ

ポート(TCPまたはUDPのモニタリングタイプのみ):要求の送信先のポート番号。

URL(オプション、HTTPホストまたはHTTPSホストのモニタリングタイプのみ):要求

するURL。URLにポート情報を追加することで、デフォルトポートの80または443以外

のポートを使用することもできます。例、 http://example.domain:8080/index.html。URLを指定しない場合は、ルート

ディレクトリが要求されます。

間 隔 :ホストをチェックする間隔を秒単位で入力します。

タイムアウト:が応答を送信する最大時間を秒単位で入力します。ホストがこの時間

内に応答しない場合、デッド(dead)とみなされます。

常 にリゾルブ:このオプションはデフォルトで選択されているため、すべてのホストが使

用不可である場合、グルーブは最後に使用可能であったホストで解決されます。

チェックを外すと、すべてのホストがデッド(dead)の場合は、グループが 未 解 決 に設

定されます。

4.

保 存 をクリックします。

新しい定義がネットワーク定義リストに表示されます。

ネットワーク定義を編集または削除するには、対応するボタンをクリックします。

5.1.2 MACアドレス定 義

定 義 とユーザー > ネットワーク定 義 > MACアドレス定 義 タブは、MACアドレスリストなどのMACア

ドレスの定義を一元的に設定する場所です。MACアドレス定義は、ネットワーク定義と同様に使

用できます。MACアドレスの定義によって、ホストやIPアドレスに基づいたルールをさらに定義済

みのMACアドレスを持つデバイスにマッチするものだけに限定するために使用できます。

ヒント「MACアドレス定義」の情報アイコンをクリックすると、この定義が使用されているすべて

の設定オプションを表示できます。

MACアドレス定義を作成するには、次の手順に従います。

1. MACアドレス定 義 タブで、新 規 MACアドレスリストをクリックします。

MACアドレスリストの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :この定義を説明する名前を入力してください。

118 UTM 9 WebAdmin

5 定義とユーザ 5.2 サービス定義

MACアドレス:「+」アイコンをクリックして個々のMACアドレスを入力するか、アクションアイ

コンを使用してコピー&ペーストでMACアドレスのリストをインポートします。MACアドレスは

通常、2桁の16進数をコロンまたはハイフンで区切って6組まとめた形式で指定します

(00:04:76:16:EA:62など)。

ホスト:MACアドレス定義に追加したいMACアドレスを持つホストを追加または選択しま

す。ホスト定義のDHCP設 定 セクションで定義されたMACアドレスが、MACアドレスリスト

に追加されます。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク

定 義 ページで説明しています。

アドレス定義当たりのアドレスの数は、以下の使用例に制限されます:ワイヤレス

ネットワークへのアクセスを制限するには、最大で200です。REDアプライアンスへのアク

セスを制限するには、RED 10で最大200、RED 50で最大400です。

MACアドレスまたはホストのどちらか一方または両方入力することができます。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しい定義がMACアドレス定 義 リストに表示されます。

MACアドレス定義を編集あるいは削除するには、該当するボタンをクリックします。

5.2 サービス定義

定 義 とユーザ > サービス定 義 ページで、サービスおよびサービスグループを定義して一元管理で

きます。サービスは、特定タイプのネットワークトラフィックの定義で、TCP や UDP といったプロトコ

ルに関する情報とプロトコル関連オプション (ポート番号など) に関する情報を組み合わせていま

す。サービスを使用して、UTMで許可または拒否されるトラフィックのタイプを決定することができ

ます。

ヒントサービス定 義 リストのサービス定義の情報アイコンをクリックすると、サービス定義が使

用されているすべての設定オプションを表示できます。

サービス定義を作成するには、以下の手順に従います。

1.

サービス定 義 ページで新 規 サービス定 義 をクリックします。

サービス定 義 の追 加 ダイアログボックスが開きます。

UTM 9 WebAdmin 119

5.2 サービス定義 5 定義とユーザ

2. 次の設定を行います。

(選択した定義タイプに応じて、サービス定義のさらに詳細なパラメータが表示されます。)

名 前 :この定義を説明する名前を入力してください。

定 義 タイプ:サービスタイプを選択します。次のタイプを使用できます。 l

TCP:TCP(Transmission Control Protocol)接続では、0~65535のポート番号を使用

します。ロストしたパケットはTCPが認識して再度リクエストします。TCP接続では、

受信者は送信者に対してデータパケットを受信したときに通知します(接続関連のプ

ロトコル)。TCPセッションは3WAYハンドシェークで始まり、セッションの最後に接続

がクローズします。次の情報を指定します。 l

宛 先 ポート:宛先ポートを単一のポート番号(例:80)あるいは範囲

(例:1024:64000)として入力します。範囲を指定する場合は、コロンを区切り

文字として使用します。 l

送 信 元 ポート:送信元ポートを単一のポート番号(例:80)あるいは範囲

(例:1024:64000)として入力します。範囲を指定する場合は、コロンを区切り

文字として使用します。 l

UDPUDP User Datagram Protocol は、0~65535のポート番号を使用するス

テートレスプロトコルです。UDPはステートを維持しないため、TCPより高速です。特

に、少量のデータは高速に送信できます。ただし、このステートレスであるということ

は、UDPはパケットがロストまたはドロップした場合に認識できないことも意味しま

す。受信コンピュータは、データパケットを受信しても送信者に通知しません。UDP

選択した場合は、TCPの場合と同じ設定オプションを編集できます。 l

TCP/UDP:TCPとUDPの組み合わせで、DNSなどの両方のサブプロトコルを使用す

るアプリケーションプロトコルに適切です。TCP/UDPを選択した場合は、TCPまたは

UDPの場合と同じ設定オプションを編集できます。 l

ICMP/ICMPv6ICMP Internet Control Message Protocol は主にエラーメッセー

ジの送信に使用されます。たとえば、要求されたサービスが利用できない、あるいは

ホストやルータに到達できなかった、などのメッセージを送信します。ICMP または

ICMPv6 を選択した場合は、ICMP コード/タイプを選択します。IPv4ファイアウォール

ルールはICMPv6では機能せず、IPv6ファイアウォールルールはICMPでは機能しま

せん。 l

IPIP Internet Protocol は、インターネット上でのデータのやり取りに使用される

ネットワークおよび伝送プロトコルです。IP を選択したら、IP内でカプセル化されるプ

ロトコルの番号を指定します (例: 121、これは SMP プロトコルを表します)。

120 UTM 9 WebAdmin

5 定義とユーザ 5.3 時間帯定義 l

ESPESP(カプセル化セキュリティペイロード)は、IPsecトンネリングプロトコルスイー

トの一部で、VPNを介してトンネルされるデータに暗号化サービスを提供します。ESP

またはAHを選択した場合は、 セキュリティパラメータインデックス(SPI)を指定します。

これは、IPアドレスとともにセキュリティパラメータを特定します。特に自動IPsec鍵交

換を使用する場合は、256~4,294,967,296の値を入力するか、または

256~4,294,967,296の範囲として指定されたデフォルト設定を使用します(コロンを区

切り文字として使用します)。1~255の番号はIANA(Internet Assigned Numbers

Authority)によって予約されています。 l

AH:認 証 ヘッダー AH はIPsecトンネリングプロトコルスイートの一部で、IPヘッダと

データグラムペイロード間に位置し、情報の(機密性ではなく)整合性を維持します。 l

グループ:他のサービス定義リストを含むコンテナ。設定を読みやすくするために、こ

れらを使用してサービス定義をまとめることができます。 グループを選択すると、メン

バーボックスが開くので、そこでグループのメンバー (その他のサービス定義など) を

追加します。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しい定義が サービス定 義 リストに表示されます。

定義を編集または削除するには、対応するボタンをクリックします。

定義タイプは後で変更できません。定義タイプを変更するには、サービス定義を削除し、希

望の設定で新しいサービス定義を作成します。

5.3 時間帯定義

定 義 およびユーザ > 期 間 定 義 ページで、単独または繰り返し発生する時間帯(タイムスロット)を

定義できます。これを使用して、コンテンツフィルタプロファイルの割り当てを特定の時間範囲に制

限できます。

ヒント- 時 間 帯 定 義 リストの時間帯定義の情報アイコンをクリックすると、その時間帯定義が使

用されているすべての設定オプションを表示できます。

時間帯定義を作成するには、次の手順に従います。

1.

時 間 帯 定 義 タブで、新 規 時 間 帯 定 義 をクリックします。

時 間 帯 定 義 の追 加 ダイアログボックスが開きます。

UTM 9 WebAdmin 121

5.4 ユーザとグループ 5 定義とユーザ

2. 次の設定を行います。

名 前 :この時間帯定義を説明する名前を入力します。

タイプ:時間帯定義のタイプを選択します。次のタイプを使用できます。 l

繰 り返 しイベント:これらのイベントは定期的に繰り返されます。開始時間、終了時

間、および時間帯定義が適用される曜日を選択できます。終了時間が翌日になる

場合は、開始時間の曜日を選択します。このタイプには開始日と終了日は選択でき

ません。 l

単 独 イベント:これらのイベントは一度だけ実施されます。開始日時および終了日時

の両方を選択できます。これらの定義は繰り返されないので、 曜 日 オプションはこの

タイプには選択できません。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しい時間帯定義が

時 間 帯 定 義 リストに表示されます。

時間帯定義を編集あるいは削除するには、該当するボタンをクリックします。

5.4 ユーザとグループ

定 義 とユーザ > ユーザとグループメニューを使用して、WebAdminアクセス、およびリモートアクセ

ス、ユーザポータルアクセス、メールの使用などのための、ユーザとグループを作成できます。

5.4.1 ユーザ

定 義 とユーザ > ユーザとグループ> ユーザタブで、UTMにユーザアカウントを追加することができま

す。Sophos UTMには、工場出荷時のデフォルト設定として、adminという1人の管理者が構成され

ています。

ヒントユーザリストのユーザ定義の情報アイコンをクリックすると、ユーザ定義が使用されてい

るすべての設定オプションを表示できます。

新 規 ユーザダイアログボックスでメールアドレスを指定すると、このユーザのX.509証明書が生成さ

れるのと同時に、メールアドレスを証明書のVPNIDとして使用してユーザ定義が作成されます。

メールアドレスが指定されていない場合は、ユーザの 識 別 名 (DN)をVPN IDとして証明書が作成

されます。このように、ユーザがeDirectoryなどのバックエンドグループにより認証されている場合

122 UTM 9 WebAdmin

5 定義とユーザ 5.4 ユーザとグループ

は、対応するバックエンドユーザオブジェクトでメールアドレスが設定されていない場合でも証明

書は作成されます。

なぜなら、各証明書のVPN IDは一意であるため、各ユーザ定義は異なる一意のメールアドレスを

使用しているからです。システムにすでにあるEメールアドレスを使用したユーザ定義の作成は失

敗します。 証明書は、Sophos UTMがサポートする各種

リモートアクセス 方法で使用可能です。た

だし、PPTP、PSKを使用するL2TP over IPsec、およびRSAまたはPSKを使用するネイティブIPsecは

除外されます。

ユーザアカウントを追加するには、以下の手順に従います。

1.

ユーザータブで、新 規 ユーザーをクリックします。

ユーザの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

ユーザ名 :このユーザを説明する名前を入力します(例:jdoe)。PPTPまたはL2TP over

IPsec経由のリモートアクセスを使用する場合、パスワードには印刷可能なASCII文字しか

使用できないことがあります

1

実 際 の名 前 :ユーザの実際の名前を入力します(例:John Doe)。

メールアドレス:ユーザのプライマリメールアドレスを入力します。

他 のメールアドレス(オプション):このユーザの他のメールアドレスを入力します。 これらのE

メールアドレスに送信されたスパムメールは各Eメールアドレス用の個々の隔離レポートに

リストされ、このレポートは前述のプライマリEメールアドレスに送信されます。

認 証 :認証方式を選択します。以下の方式を使用できます。 l

ローカル:この方式は、UTMでユーザをローカル認証する場合に選択します。 l

リモート:Sophos UTMでサポートされている外部認証方式のいずれかを使用してユー

ザを認証する場合に選択します。 詳細は、

定 義 とユーザ > 認 証 サービスを参照して

ください。 l

なし:ユーザが認証されるのを完全に防止する場合に選択します。これは、たとえ

ば、ユーザ定義を削除することなくユーザを一時的に無効にする場合に役に立ちま

す。

パスワード:ユーザのパスワードを入力します(確認のために2回入力します)。認証方式とし

て ローカルを選択した場合のみ利用できます。基本的なユーザ認証ではウムラウトはサ

1 http://en.wikipedia.org/wiki/ASCII#ASCII_printable_characters

UTM 9 WebAdmin 123

5.4 ユーザとグループ 5 定義とユーザ

ポートしていません。 PPTPまたはL2TP over IPsec経由でリモートアクセスを使用する場

合、ユーザ名には、ASCII印字可能文字

1

だけが含まれています。

バンクエンドの同 期 :実際の名前やユーザのメールアドレスなどのユーザ定義の基本設定

の一部を、データを外部バックエンド認証サーバと同期することで自動的に更新できます

(認証方式として リモートを選択したときのみ利用できます)。 ユーザがプリフェッチで選択さ

れていると、オプションは 認 証 サービス> 詳 細 タブのログイン時 のバックエンド同 期 を有 効

化 オプションで自動的に設定されます。

- 現在は、Active DirectoryおよびeDirectoryサーバーのデータのみ同期できます。

X.509証 明 書 :ユーザ定 義 を作 成 したら、ユーザ定義を編集する際にこのユーザにX.509

証明書を割り当てることができます。デフォルトでは、この証明書はユーザ定義を作成した

ときに自動的に生成されたものです。ただし、サードパーティの証明書を割り当てることもで

きます。証明書は、

リモートアクセス> 証 明 書 管 理 >

証 明 書

タブでアップロードできます。

スタティックリモートアクセスIPを使 用 オプション :リモートアクセスを取得するユーザに、IP

アドレスプールのダイナミックIPアドレスを割り当てる代わりにスタティックIPアドレスを割り

当てる場合に選択します。NATルータ背後のIPsecユーザは、スタティックリモートアクセス

IPアドレスを必ず使用する必要があります。

- スタティックリモートアクセスIPは、PPTP、L2TP、およびIPsecを介したリモートアクセ

スのみに使用できます。これは、SSLを介したリモートアクセスには使用できません。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

ユーザは独自のメールホワイトリストとブラックリストを作成し、管理することができます

( ユーザポータルの章を参照)。

ここでこれらのリストを参照し、必要に応じて変更することが

できます。

4.

保 存 をクリックします。

新しいユーザアカウントが ユーザリストに表示されます。

このユーザをWebベースの管理インタフェースWebAdminへのアクセスをもつ正規の管理者にする

場合は、そのユーザをSuperAdminsグループに追加します。SuperAdminsは、WebAdminの定 義 と

ユーザ > ユーザとグループ>

グループ

タブで設定します。

1 http://en.wikipedia.org/wiki/ASCII#ASCII_printable_characters

124 UTM 9 WebAdmin

5 定義とユーザ 5.4 ユーザとグループ

ユーザーオブジェクトを削除した後で同じ名前でユーザーオブジェクトを作成する場合は、こ

のユーザーに関連する証明書も

リモートアクセス> 証 明 書 管 理 >

証 明 書

タブで削除したことを

確認してください。 削除していない場合、「その名前のアイテムはすでに存在します」という旨の

エラーメッセージが表示されます。

何らかのリモートアクセスが有効化されたユーザのリモートアクセス証明書や設定をダウンロード

することができます。このためには、各ユーザの前にあるチェックボックスにチェックを入れ、リスト

ヘッダの アクションドロップダウンリストから目的のオプションを選択します。ユーザポータルの使用

が許可されている場合は、リモートアクセスユーザ自身もこれらのファイルをダウンロードできま

す。

5.4.2 グループ

定 義 とユーザ > ユーザとグループ> グループページで、UTMにユーザグループを追加することがで

きます。Sophos UTMには、工場出荷時のデフォルト設定として、SuperAdminsというユーザグルー

プがあります。管理特権をユーザに割り当てたい(つまりWebAdminへのアクセス権をユーザに付

与したい)場合は、当該ユーザをSuperAdminsグループに追加します。このグループは削除しない

でください。

ヒントグループリストでグループの定義をクリックすると、そのグループ定義が使用されている

すべての設定オプションが表示されます。

ユーザグループを追加するには、次の手順に従ってください。

1.

グループタブで、新 規 グループをクリックします。

グループの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

グループ名 :このグループを説明する名前を入力してください。この名前は、バックエンドグ

ループの名前に対応している必要はありません。

グループタイプ:グループのタイプを選択します。静的メンバのグループか、動的メンバシッ

プを実現する2種類のグループタイプから選択できます。 l

スタティックメンバ:このグループのメンバとなるローカルユーザを選択します。

UTM 9 WebAdmin 125

5.4 ユーザとグループ 5 定義とユーザ l

IPsec X509 DNマスク:ユーザは、IPsec接続によってゲートウェイへのログインに成

功し、識別名に含まれる特定のパラメータがDNマスクボックスで指定された値と一

致した場合に、IPsec X509 DNグループ定義に動的に追加されます。 l

バックエンドメンバシップ:ユーザは、サポートされるいずれかの認証メカニズムによる

認証が成功した場合に、グループ定義に動的に追加されます。続行するには、該当

するバックエンド認証タイプを選択します。 l

Active Directory:UTMのActive Directoryユーザグループは、Windowsネット

ワーク上で設定されているActive Directoryサーバユーザグループのメンバに

対し、グループメンバシップを提供します。 詳細は、 定 義 とユーザ > 認 証 サー

ビス>

サーバ

を参照してください。 l

eDirectory:UTMのeDirectoryユーザグループは、eDirectoryネットワーク上で

設定されているeDirectoryユーザグループのメンバに対し、グループメンバシッ

プを提供します。詳細は、 定 義 とユーザ > 認 証 サービス>

サーバ を参照してく

ださい。 l

RADIUS:ユーザは、RADIUS認証方式による認証が成功すると、RADIUS

バックエンドグループに自動的に追加されます。 l

TACACS+:ユーザは、TACACS+認証方式による認証が成功すると、

TACACS+バックエンドグループに自動的に追加されます。 l

LDAP:ユーザは、LDAP認証方式による認証が成功すると、LDAPバックエン

ドグループに自動的に追加されます。

バックエンドグループメンバシップに制 限 (オプション、バックエンドグループActive

DirectoryまたはeDirectoryだけ):選択したバックエンドサーバのすべてのユーザを

このグループ定義に含めることを望まない場合は、すべてのX.500ベースのディレクト

リサービスに対して、バックエンドサーバ上のいくつかのグループにメンバシップを制

限することができます。このオプションを選択する場合、ここで入力するグループは、

バックエンドサーバに設定されている 一 般 名 と一致している必要があります。Active

Directoryバックエンドに対してこのオプションを選択する場合、CN=プレフィックスは

省略できます。eDirectoryバックエンドに対してこのオプションを選択すると、 eDirectoryブラウザを使用して、このグループ定義に含めるeDirectoryグループを簡

単に選択することができます。ただし、eDirectoryブラウザを使用しない場合は、 eDirectoryコンテナの入力時にCN=プレフィックスを必ず含めてください。

LDAP属 性 のチェック(オプション、バックエンドグループLDAPの場合だけ):選択し

たバックエンドLDAPサーバのすべてのユーザをこのグループ定義に含めたくはない

場合は、このチェックボックスにチェックを入れて、バックエンドサーバ上にある特定

126 UTM 9 WebAdmin

5 定義とユーザ 5.5 クライアント認証

のLDAP属性に一致するユーザのみにメンバシップを制限することができます。この

属性はLDAP検索フィルタとして使用されます。たとえば、属性として groupMembershipを入力し、その値としてCN=Sales,O=Exampleを入力することに

より、 そうすると、会社の営業部門に属するすべてのユーザをグループ定義に含め

ることができます。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいユーザグループが グループリストに表示されます。

グループを編集または削除するには、対応するボタンをクリックします。

5.5 クライアント認証

Sophosは、UTMで直接ユーザ認証を行うために、WindowsおよびMac OS用の認証クライアントを提

供しています。これにより、ユーザネットワークまたはグループネットワークに基づくファイアウォー

ルルールを作成したりすることで、Webサーフィンやネットワークトラフィックをユーザに基づいてコン

トロールすることができます。さらに、可能であれば、IPアドレス、ホスト名、その他の情報をユーザ

名に置き換えるため、データやオブジェクトのレポートがより読みやすくなります。

WebAdminでは、クライアント認証によって認証されたユーザネットワークのオブジェクトは、

パフォーマンス上の理由から、必ず未解決として表示されます。

クライアント認証を使用したい(あるいは使用する必要がある)ユーザは、クライアントPCまたは

Mac OS コンピュータにSophos Authentication Agent(SAA)をインストールする必要があります。SAA

は、このWebAdminページまたはユーザポータルからダウンロード可能です。ユーザポータルの

ページにダウンロードリンクが表示されるのは、クライアント認証設定のユーザグループに参加し

ているユーザのみです。

クライアント認証を設定するには、次の手順に従ってください。

1.

クライアント認 証 タブで、クライアント認証を有効にします。

トグルスイッチをクリックします。

トグルスイッチが緑色になり、 クライアント認 証 オプションエリアが編集可能になります。

2. 許可するネットワークを選択します。

クライアント認証を使用する必要があるネットワークを追加または選択します。クライアント

認証が機能するためには、これらのネットワークがUTMに直接接続されている必要があり

UTM 9 WebAdmin 127

5.6 認証サービス 5 定義とユーザ

ます。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページ

で説明しています。

3. 許可するユーザおよびグループを選択します。

単一のユーザおよびグループを 許 可 されるユーザおよびグループボックスで選択、または新

規ユーザを追加します。これは、既存の認証グループ(Active Directoryユーザグループな

ど)にすることもできます。ユーザを追加する方法は、 定 義 とユーザ > ユーザとグループ>

ユーザページで説明しています。

4.

適 用 をクリックします。

設定が保存されます。

選択したネットワークでクライアント認証を利用できるようになりました。

クライアント認 証 プログラム

クライアント認証を有効にすると、ここでSophos Authentication Agent(SAA)をダウンロードできま

す。SAAを手動で配布するか、ユーザがユーザポータルからダウンロードできるようにすることがで

きます。

EXEのダウンロード:クライアントPCに直接インストールするためのCA証明書を含むクライアント認

証プログラムをダウンロードします。これは、ユーザポータルからダウンロードできるファイルと同じ

です。

MSIのダウンロード:クライアント認証MSI パッケージをダウンロードします。このパッケージは、ドメ

インコントローラ(DC)による自動パッケージインストール用に設計されていて、CA証明書は含んで

いません。

DMGのダウンロード:クライアント認証Mac OS Xディスクイメージをダウンロードします。このイメー

ジは、OS Xオペレーティングシステムが搭載されているクライアントコンピュータにインストールする

ように設計されています。

CAのダウンロード:MSI パッケージに加えて展開する必要があるCA証明書をダウンロードします。

SAAはWebフィルタの認証モードとして使用できます。詳しくは、Webプロテクション」>Webフィルタ

リング」>「グローバルの章を参照してください。

5.6 認証サービス

定 義 とユーザ > 認 証 サービスページでは、

シングルサインオン

または ワンタイムパスワード

などの

外部ユーザ認証サービスのデータベースおよびバックエンドサーバを管理できます。外部ユー

ザー認証を使用すると、ネットワーク内の他のサーバー上にある既存のユーザーデータベースや

128 UTM 9 WebAdmin

5 定義とユーザ 5.6 認証サービス

ディレクトリサービスに対して、ユーザーアカウントを検証することができます。現在サポートされて

いる認証サービスは次のとおりです。 l

NovellのeDirectory l

マイクロソフトのActive Directory l

RADIUS l

TACACS+ l

LDAP

5.6.1 グローバル設 定

定 義 とユーザ > 認 証 サービス> グローバル設 定 タブを使用すると、基本的な認証オプションを設定

できます。次のオプションを使用できます。

自 動 的 にユーザを作 成 :このオプションを選択した場合、設定済みのバックエンドグループの不

明ユーザが、Sophos UTMでサポートされている各種認証サービスのいずれかに対する認証に成

功すると、Sophos UTMは常にユーザオブジェクトを自動作成します。例えば、RADIUS バックエンド

グループを設定しており、 マネジメント> WebAdmin 設 定 >

アクセスコントロール

タブで定義したい

ずれかのロールにこのグループをメンバーとして追加する場合、Sophos UTM は WebAdmin へのロ

グインに成功した RADIUS ユーザーに対してユーザー定義を自動的に作成します。 l

機 能 別 自 動 ユーザ作 成 :自動ユーザ作成は、特定のサービスに対して有効または無効

にすることができます。有効なサービスに対してのみ、ユーザが作成されます。 自 動 的 に

ユーザを作 成 オプションからチェックを外すと、このオプションは使用できず、ユーザの自動

作成機能はすべての機能に対して無効になります。

この機能は、Active Directoryのシングルサインオン(SSO)では機能しません。

これらのユーザーオブジェクトは、Sophos UTMの

ユーザーポータル

へのアクセス権を付与するた

めにも必要になります。さらに、自動作成されたすべてのユーザーオブジェクトのために、 X.509 証

明書が生成されます。 ただし、Eメールアドレスが衝突する場合は、このユーザの自動作成は失

敗します。この理由は、自動的に作成されるユーザ定義において、システムにすでに存在するE

メールアドレスを設定すべきではないためです。すべてのEメールアドレスは、X.509証明書の識別

子として使用されるため、システム内で一意でなければなりません。

重 要 ユーザーオブジェクトが自動作成されたユーザーに対する認証 (ユーザーが何者である

かを判断するためのアクション) と権限付与 (ユーザーが何を許可されているかを判断するため

UTM 9 WebAdmin 129

5.6 認証サービス 5 定義とユーザ

のアクション) は、常にリモートのバックエンドサーバー/ディレクトリサービス上で実行されます。

そのため、対応するバックエンドサーバが使用不能な場合や、そのリモートサイトでユーザオブ

ジェクトが削Sophos UTM除されている場合には、で自動的に作成されたユーザオブジェクトは機

能しません。

また、Active Directoryの シングルサインオン(SSO)を除き、Sophos UTMはリモート認証サーバから

取得したユーザ認証データを300秒間キャッシュします。 このため、リモートユーザ設定への変更

は、キャッシュの期限が切れた後で初めて有効になります。

認 証 キャッシュ

Sophos UTMが不明ユーザからhttpなどのユーザ要求を受信し、認証が必要である場合は、

Sophosが必ず認証キャッシュにエントリを書き込みます。長期的に、ユーザが頻繁に変わるような

環境では、適宜キャッシュを空にすることが合理的です。また、すべてのユーザに対して、新たな

認証を今すぐ強制したい場合には、 また、すべてのユーザに対して、新たな認証を今すぐ強制し

たい場合には、 認 証 キャッシュをクリアボタンを使用して、認証キャッシュを空にしてください。

認証は300秒間有効です。この間、同じユーザから他の認証要求があったときには、直接キャッ

シュが検索されます。この方法により、eDirectoryなどのバックエンド認証サービスにかかる負荷を

軽減できます。

キャッシュのクリアは、リモートログイン中のユーザには影響がありません。

ライブログ

ライブログを開 く:このボタンをクリックすると、新しいウィンドウに SophosUser Authentication

(SUA)のログが表示されます。

5.6.2 サーバ

定 義 とユーザ > 認 証 サービス> サーバタブで、1つ以上の認証サーバを作成できます。作成するに

は以下のリンクに従ってください。 l

eDirectory

l

Active Directory

l

LDAP

l

RADIUS

l

TACACS+

130 UTM 9 WebAdmin

5 定義とユーザ 5.6 認証サービス

5.6.2.1 eDirectory

Novell eDirectoryは、あるネットワーク内の複数のサーバとコンピュータ上にあるリソースへのアク

セスを一元管理するためのX.500互換ディレクトリサービスです。eDirectoryは階層構造のオブジェ

クト指向データベースであり、組織内のすべての資産を論理ツリーで表現します。資産には、人、

サーバ、ワークステーション、アプリケーション、プリンタ、サービス、グループなどが含まれます。 eDirectory認証を設定するには、次の手順に従ってください。

1.

サーバタブで、新 規 認 証 サーバをクリックします。

認 証 サーバの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

バックエンド:バックエンドのディレクトリサービスとしてeDirectoryを選択します。

位 置 :バックエンドサーバの位置を選択します。番号が小さいバックエンドサーバから順に

問い合わせが行われます。パフォーマンスを向上するためには、要求を最も多く受けると予

想されるバックエンドサーバをリストの一番上に配置します。

サーバ:eDirectoryサーバを選択または追加します。定義を追加する方法は、 定 義 とユーザ

> ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

SSL:SSLデータ転送を有効にするには、このオプションを選択します。すると、ポートが389

(LDAP)から636(ldaps = LDAP over SSL)に変 わります。

ポート:eDirectoryサーバのポートを入力します。デフォルトで、ポート389が選択されていま

す。

バインドDN:サーバにバインドするユーザの識 別 名 (DN)を指定します。eDirectory サー

バーへの匿名での問い合わせが許可されていない場合、このユーザーが必要です。この

ユーザには、関連するすべてのユーザオブジェクト情報をeDirectoryサーバから取得して

ユーザの認証を行うために必要な特権が付与されている必要があります。eDirectoryユー

ザ、グループ、コンテナは、LDAP表記法で完全識別名として指定します。区切り文字にはコ

ンマを使用します(例:CN=administrator,DC=intranet,DC=example,DC=com)。

パスワード:バインドユーザのパスワードを入力します。

サーバ設 定 のテスト: テストボタンを押すと、設定されたサーバとのバインドテストが実行さ

れます。これにより、このタブの設定が正しいこと、およびサーバーが起動しており、接続を

受け付けていることが確認されます。

UTM 9 WebAdmin 131

5.6 認証サービス 5 定義とユーザ

ベースDN:LDAPツリーのルートに相対的な開始位置で、ここに認証されるユーザが含まれ

ています。ベース DN は、LDAP 表記の完全識別名 (FDN) で、コンマを区切り文字として使

用して指定する必要があります (例: O=Example,OU=RnD)。ベースDNは空にすることもでき

ます。この場合は、ベースDNは自動的にディレクトリから取り出されます。

ユーザ名 :認証を実行するテストユーザのユーザ名を入力してください。

パスワード:テストユーザのパスワードを入力します。

サンプルユーザの認 証 : テストボタンをクリックして、テストユーザの認証テストを開始しま

す。これにより、すべてのサーバ設定が正しいこと、サーバが稼働中で接続を受け付けてい

ること、およびユーザを正常に認証できることを確認できます。

3.

保 存 をクリックします。

サーバーが サーバーリストに表示されます。

132

17 グループ:Sophos UTMのeDirectoryブラウザ

UTM 9 WebAdmin

5 定義とユーザ 5.6 認証サービス

5.6.2.2 Active Directory

Active Directory(AD)とは、マイクロソフトが実装したディレクトリサービスであり、Windows

2000/2003 Serverの中核を成すコンポーネントです。Active Directoryには、ユーザ、グループ、コン

ピュータ、プリンタ、アプリケーション、サービス、あらゆる種類のユーザ定義オブジェクトなど、ネッ

トワーク内に存在するさまざまなリソースに関する情報が保存されます。このため、Active

Directoryには、これらのリソースへのアクセスを一元的に体系化し、管理し、コントロールするため

の機能が用意されています。

Active Directory認証方式では、Sophos UTMをWindowsドメインに登録し、プライマリの ドメインコント

ローラ(DC)にSophos UTM用のオブジェクトを作成します。UTMは、このドメインのユーザとグループ

に関する情報を問い合わせることが可能になります。

UTMはActive Directory 2003以降をサポートしています。

Active Directory認証を設定するには、次の手順に従ってください。

1.

サーバタブで、新 規 認 証 サーバをクリックします。

認 証 サーバの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

バックエンド:バックエンドのディレクトリサービスとしてActive Directoryを選択します。

位 置 :バックエンドサーバの位置を選択します。番号が小さいバックエンドサーバから順に

問い合わせが行われます。パフォーマンスを向上するためには、要求を最も多く受けると予

想されるバックエンドサーバをリストの一番上に配置します。

サーバ:Active Directoryサーバを選択または追加します。定義を追加する方法は、 定 義 と

ユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

SSL:SSLデータ転送を有効にするには、このオプションを選択します。すると、ポートが389

(LDAP)から636(ldaps = LDAP over SSL)に変 わります。

ポート:Active Directoryサーバのポートを入力します。デフォルトで、ポート389が選択され

ています。デフォルトで、ポート389が選択されています。

バインドDN:サーバにバインドするユーザの完全な識 別 名 (DN)のLDAP表記法での指

定。Active Directoryサーバへの匿名での問い合わせが許可されていない場合、このユー

ザが必要です。バインドユーザには、関連するすべてのユーザオブジェクト情報をActive

UTM 9 WebAdmin 133

5.6 認証サービス 5 定義とユーザ

Directoryサーバから取得してユーザの認証を行うために必要な特権を付与する必要があ

ります。通常は、ドメインの管理者がこの要件に対応します。

各DNは、Active Directoryユーザオブジェクトのいくつかの属性から成る1つ以上のRDN( 相

対 識 別 名 )で構成されます。ユーザ名、常駐するノード、サーバのトップレベルDNなどを、コ

ンマ区切りのLDAP表記法で記述します。 l

ユーザ名は、ディレクトリにアクセスできるユーザの名前にする必要があり、CN識別

子(CN=userなど)で指定します。ドメイン権限を持つ「admin」などの一般的なアカウ

ントを使用することもできますが、ベストプラクティスとしては、admin権限を持たない

ユーザを指定することが推奨されます。この理由は、所与のベースDNを起点とする

サブツリー内の全オブジェクトに対する読み取り権限さえあれば十分であるためで

す。 l

ユーザオブジェクトが保存されているノードの情報には、ルートノードからユーザオブ

ジェクトまですべてのサブノードが含まれている必要があり、通常はいわゆる

組 織

ユニットコンポーネントや一 般 名 コンポーネントから構成されます。組織ユニット

(Microsoft Management Consoleでは、フォルダと本を組み合わせたアイコンで示され

る)は、識別子OUを使用して指定します。ノードは、最も低いノードから順に並べら

れ、末尾は最も高いノードになります。つまり、先頭は最も詳細な要素になります

(例:OU=Management_US,OU=Management)。一方、事前定義されているUsers

ノードなどのデフォルトActive Directoryコンテナ(シンプルなフォルダアイコンで示され

る)は、識別子CNで指定します(例:CN=Users)。 l

サーバのトップレベルDNは、それぞれ識別子DCで指定されている複数のドメインコ

ンポーネントから構成することができます。ドメインコンポーネントはドメイン名と同じ

順序で指定します(たとえば、ドメイン名がexample.comである場合、DN部分は

DC=example,DC=comとします)。

たとえば、名前がadministratorであり、オブジェクトがexample.comドメインのUsersコ

ンテナに保存されるバインドユーザのDNは次のようになります。

CN=administrator,CN=Users,DC=example,DC=com

134 UTM 9 WebAdmin

5 定義とユーザ 5.6 認証サービス

18 認証:Microsoft Management Console

ここで、Managementという名前の組織ユニットを作成し、サブノードをManagement_US

し、管理者ユーザオブジェクトをこのサブノードに移動すると、管理者のDNは次のように変

わります。CN=administrator,OU=Management_

パスワード: バインドユーザのパスワードを入力します。

サーバ設 定 のテスト: テストボタンを押すと、設定されたサーバとのバインドテストが実行さ

れます。これにより、このタブの設定が正しいこと、およびサーバーが起動しており、接続を

受け付けていることが確認されます。

ベースDN:LDAPツリーのルートに相対的な開始位置で、ここに認証されるユーザが含まれ

ています。ベース DN は、LDAP 表記の完全識別名 (FDN) で、コンマを区切り文字として使

用して指定する必要があります (例: O=Example,OU=RnD)。ベースDNは空にすることもでき

ます。この場合は、ベースDNは自動的にディレクトリから取り出されます。

ユーザ名 :認証を実行するテストユーザのユーザ名を入力してください。

パスワード:テストユーザのパスワードを入力します。

サンプルユーザの認 証 :

テストボタンをクリックして、テストユーザの認証テストを開始しま

す。これにより、すべてのサーバ設定が正しいこと、サーバが稼働中で接続を受け付けてい

ること、およびユーザを正常に認証できることを確認できます。

3.

保 存 をクリックします。

サーバーが サーバーリストに表示されます。

UTM 9 WebAdmin 135

5.6 認証サービス 5 定義とユーザ

ユーザプリンシパル名

場合により、資格情報を入力する際、ユーザはユーザプリンシパル名表記「[email protected]」の使用

が求められることがあります(例:Exchange ServerをActive Directoryサーバと組み合わせて使用す

る場合など)。 l l l

新規サーバを開始するには、希望するサーバに複製します。

バックエンドからLDAPへ変更

ユーザ属 性 から>へ変更 l

userPrincipalnameをカスタムフィールドに入力します。

まだ存在していない場合、これにより、「Active Directoryユーザ」 グループの代わりに使用しなけれ

ばならない「LDAPユーザ」 グループを設定します。

domain\user形式はサポートされていません。代わりに[email protected]形式を使用しま

す。

5.6.2.3 LDAP

LDAPとは、Lightweight Directory Access Protocolの略であり、X.500標準に基づいてディレクトリ

サービスの問い合わせと変更を行うネットワーキングプロトコルです。Sophos UTMでは、複数の

サービスへのユーザ認証にLDAPプロトコルを使用しており、LDAPサーバに設定された属性やグ

ループメンバシップに基づいてアクセスを許可または却下します。

LDAP認証を設定するには、次の手順に従ってください。

1.

サーバタブで、新 規 認 証 サーバをクリックします。

認 証 サーバの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

バックエンド:バックエンドのディレクトリサービスとしてLDAPを選択します。

位 置 :バックエンドサーバの位置を選択します。番号が小さいバックエンドサーバから順に

問い合わせが行われます。パフォーマンスを向上するためには、要求を最も多く受けると予

想されるバックエンドサーバをリストの一番上に配置します。

サーバ:LDAPサーバを選択または追加します。定義を追加する方法は、 定 義 とユーザ >

ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

136 UTM 9 WebAdmin

5 定義とユーザ 5.6 認証サービス

SSL:SSLデータ転送を有効にするには、このオプションを選択します。すると、ポートが389

(LDAP)から636(ldaps = LDAP over SSL)に変わります。

ポート:LDAPサーバのポートを入力します。デフォルトで、ポート389が選択されています。

バインドDN:サーバにバインドするユーザの識 別 名 (DN)を指定します。このユーザは必須

です。セキュリティ上の理由から、LDAPサーバへの匿名での問い合わせはサポートされて

いません。このユーザには、関連するすべてのユーザオブジェクト情報をLDAPサーバから

取得してユーザを認証するために必要な特権が付与されている必要があります。LDAP

ユーザ、グループ、コンテナは、LDAP表記法で完全識別名として指定します。区切り文字

にはコンマを使用します。

(例:CN=administrator,DC=intranet,DC=example,DC=com)

パスワード:バインドユーザのパスワードを入力します。

サーバ設 定 のテスト: テストボタンを押すと、設定されたサーバとのバインドテストが実行さ

れます。これにより、このタブの設定が正しいこと、およびサーバーが起動しており、接続を

受け付けていることが確認されます。

ユーザ属 性 :LDAPディレクトリ検索用のフィルタとして使用されるユーザ属性を選択しま

す。ユーザ属性には、リモートアクセスサービスなどが各ユーザに対してプロンプト表示する

実際のログイン名が含まれます。次のユーザ属性を選択できます。 l

CN(一般名) l

SN(名字) l

UID(ユーザID)

LDAPディレクトリのユーザ名がこれらのフォームに保存されていない場合、リストで カスタム

<<Custom>> を選択し、下のカスタム Custom フィールドにカスタム属性を入力します。

この属性はLDAPディレクトリで設定する必要があります。

ベースDN:LDAPツリーのルートに相対的な開始位置で、ここに認証されるユーザが含まれ

ています。ベース DN は、LDAP 表記の完全識別名 (FDN) で、コンマを区切り文字として使

用して指定する必要があります (例: O=Example,OU=RnD)。ベースDNは空にすることもでき

ます。この場合は、ベースDNは自動的にディレクトリから取り出されます。

ユーザ名 :認証を実行するテストユーザのユーザ名を入力してください。

パスワード:テストユーザのパスワードを入力します。

UTM 9 WebAdmin 137

5.6 認証サービス 5 定義とユーザ

サンプルユーザの認 証 : テストボタンをクリックして、テストユーザの認証テストを開始しま

す。これにより、すべてのサーバ設定が正しいこと、サーバが稼働中で接続を受け付けてい

ること、およびユーザを正常に認証できることを確認できます。

3.

保 存 をクリックします。

サーバーが サーバーリストに表示されます。

5.6.2.4 RADIUS

RADIUSとは、Remote Authentication Dial In User Serviceの略であり、ルータなどのネットワーク

デバイスで中央データベースに対してユーザを認証するために広く用いられているプロトコルです。

RADIUSには、ユーザの情報に加え、ネットワークデバイスで使用される技術情報(サポートされる

プロトコル、IPアドレス、ルーティング情報など)も保存できます。この情報は、RADIUSサーバ上の

ファイルまたはデータベースに保存されるユーザプロファイルを構成します。

RADIUSプロトコルは非常に柔軟であり、サーバはほとんどのオペレーティングシステムで利用可

能です。UTMにRADIUSを導入することで、プロキシとユーザに基づいてアクセス権限を設定できる

ようになります。RADIUS認証を使用するためには、ネットワーク上で稼働しているRADIUSサーバ

が必要です。パスワードはRADIUS シークレットを使用して暗号化されますが、ユーザ名は平文の

形で伝送されます。

RADIUS認証を設定するには、次の手順に従ってください。

1.

サーバタブで、新 規 認 証 サーバをクリックします。

認 証 サーバの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

バックエンド:バックエンドのディレクトリサービスとしてRADIUSを選択します。

位 置 :バックエンドサーバの位置を選択します。番号が小さいバックエンドサーバから順に

問い合わせが行われます。パフォーマンスを向上するためには、要求を最も多く受けると予

想されるバックエンドサーバをリストの一番上に配置します。

サーバ:RADIUSサーバを選択または追加します。定義を追加する方法は、 定 義 とユーザ >

ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

ポート:RADIUSサーバのポートを入力します。デフォルトで、ポート1812が選択されていま

す。

共 有 シークレット:共有シークレットとは、RADIUSクライアントとRADIUSサーバの間でパス

ワードとしての役割を果たすテキスト文字列です。共有シークレットを入力します。

138 UTM 9 WebAdmin

5 定義とユーザ 5.6 認証サービス

サーバ設 定 のテスト: テストボタンを押すと、設定されたサーバとのバインドテストが実行さ

れます。これにより、このタブの設定が正しいこと、およびサーバーが起動しており、接続を

受け付けていることが確認されます。

ユーザ名 :認証を実行するテストユーザのユーザ名を入力してください。

パスワード:テストユーザのパスワードを入力します。

NAS識 別 子 :適切なNAS識別子をリストから選択します。詳細は、注記と下の表を参照し

てください。

サンプルユーザの認 証 : テストボタンをクリックして、テストユーザの認証テストを開始しま

す。これにより、すべてのサーバ設定が正しいこと、サーバが稼働中で接続を受け付けてい

ること、およびユーザを正常に認証できることを確認できます。

3.

保 存 をクリックします。

サーバーが サーバーリストに表示されます。

RADIUSサーバに問い合わせを行う、Sophos UTMの各ユーザ認証サービス( PPTP

L2TP

)は、異なる識別子(NAS識別子)をRADIUSサーバに送信します。たとえば、PPTPサービ

スは、このユーザの認証を試みるときに、pptpというNAS識別子をRADIUSサーバに送信しま

す。 これにより、RADIUSサーバがさまざまなサービスを識別して特定の種類のサービスをユー

ザに付与することができるため、権限付与の目的で役に立ちます。ユーザ認証サービスとそれ

に対応するNAS識別子のリストは以下のとおりです。

ユーザ認 証 サービス

SSL VPN

PPTP

IPsec

L2TP over IPsec

SMTPプロキシ

ユーザポータル

WebAdmin

NAS識 別 子 ssl pptp ipsec l2tp smtp portal webadmin

UTM 9 WebAdmin 139

5.6 認証サービス 5 定義とユーザ

ユーザ認 証 サービス

ソックスプロキシ

Webフィルタ

認 証 クライアント

ワイヤレスアクセスポイント

NAS識 別 子 socks http agent

NAS IDはワイヤレスネットワーク名 です。

表1: RADIUS NAS識別子

5.6.2.5 TACACS+

TACACS+(Terminal Access Controller Access Control Systemの略語)とは、Cisco Systems, Inc.

独自のプロトコルであり、認証プロセスと権限付与プロセスについて詳細なアカウンティング情報と

管理的なコントロールを提供します。RADIUSでは認証と権限付与がユーザプロファイルにまとめ

られていますが、TACACS+ではこれらのオペレーションを区別しています。他の相違点としては、

TACACS+ では TCP プロトコル (ポート 49) を使用し、RADIUS では UDP プロトコルを使用します。

TACACS+認証を設定するには、次の手順に従ってください。

1.

サーバタブで、新 規 認 証 サーバをクリックします。

認 証 サーバの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

バックエンド:バックエンドのディレクトリサービスとしてTACACS+を選択します。

位 置 :バックエンドサーバの位置を選択します。番号が小さいバックエンドサーバから順に

問い合わせが行われます。パフォーマンスを向上するためには、要求を最も多く受けると予

想されるバックエンドサーバをリストの一番上に配置します。

サーバ:TACACS+サーバを選択または追加します。定義を追加する方法は、 定 義 とユーザ

> ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

ポート:TACACS+サーバのポートを入力します。デフォルトで、ポート49が選択されていま

す。

鍵 :Sophos UTMとTACACS+サーバの間のすべてのTACACS+通信に使用する認証および

暗号鍵を入力します。ここで入力する鍵の値は、TACACS+サーバで設定した値と一致して

いる必要があります。鍵を入力してください(確認のために2回)。

140 UTM 9 WebAdmin

5 定義とユーザ 5.6 認証サービス

サーバ設 定 のテスト: テストボタンを押すと、設定されたサーバとのバインドテストが実行さ

れます。これにより、このタブの設定が正しいこと、およびサーバーが起動しており、接続を

受け付けていることが確認されます。

ユーザ名 :認証を実行するテストユーザのユーザ名を入力してください。

パスワード:テストユーザのパスワードを入力します。

サンプルユーザの認 証 : テストボタンをクリックして、テストユーザの認証テストを開始しま

す。これにより、すべてのサーバ設定が正しいこと、サーバが稼働中で接続を受け付けてい

ること、およびユーザを正常に認証できることを確認できます。

3.

保 存 をクリックします。

サーバーが サーバーリストに表示されます。

5.6.3 シングルサインオン

定 義 とユーザ > 認 証 サービス> シングルサインオンタブでは、Active DirectoryまたはeDirectory(あ

るいはその両方)のシングルサインオン機能を設定できます。

Active Directoryのシングルサインオン( SSO)

Active DirectoryのSSO機能は現在、Webフィルタのみで使用されており、NTLMv2またはKerberos

認証をサポートするブラウザでシングルサインオン機能を使用できます。

シングルサインオン機能を有効にするには、UTMをActive Directoryドメインに追加する必要があり

ます。追加するドメインが機能するためには、次の前提条件を満たしている必要があります。 l

ゲートウェイのクロックとDCのクロックの間に、5分を超える時刻差がない。 l

UTMホスト名がADDNSシステムに存在する。 l

UTMAD DNSをフォワーダとして使用しているか、ADドメインのDNS要求ルートがAD DNS

サーバをポイントしている。

Active Directoryグループメンバシップ同期では、シングルサインオン(SSO)パスワードを使

用してADサーバーと通信します。このパスワードを変更する場合、新規パスワードを入力して、

UTMをもう一度サーバに同期させるためUTMを再参加させる必要があります。

Active Directory SSOを設定するには、次の手順に従ってください。

1. Active Directoryサーバをサーバタブで作 成 します。

2. 次の設定を行います。

UTM 9 WebAdmin 141

5.6 認証サービス 5 定義とユーザ

ドメイン: ドメインの名前(intranet.mycompany.comなど)。UTMはDNSを使用して取得

可能なすべてのDCを検索します。

adminユーザ名 :管理者権限があり、ドメインにコンピュータを追加することが許可されてい

るユーザ(通常は「管理者」)。

パスワード:adminユーザのパスワード。

3.

適 用 をクリックします。

設定が保存されます。

Kerberos認 証 サポートに関 する注 記 :SSO Kerberosサポートが機能するためには、クライアン

トはプロキシ設定でUTMのFQDNホスト名を使用する必要があります。IPアドレスを使用すると機

能しません。NTLMv2モードは、この要件の影響を受けません。この要件が満たされていない場

合や、ブラウザがKerberos認証をサポートしない場合には、NTLMv2モードが自動的に使用され

ます。 eDirectoryのシングルサインオン SSO

ここでは、eDirectory用にSSOを設定できます。Webプロテクション> Webフィルタリングで認証方式

としてeDirectory SSOを設定した場合、ここで選択したeDirectoryサーバが使用されます。 eDirectory SSOを設定するには、次の手順に従ってください。

1.

eDirectoryサーバをサーバタブに登 録 します。

2. 次の設定を行います。

サーバ:SSOを有効にするeDirectoryサーバ。

同 期 間 隔 :UTMとeDirectoryサーバ間での同期イベントの間隔(秒数)。

3.

適 用 をクリックします。

設定が保存されます。

5.6.4 ワンタイムパスワード

定 義 とユーザ > 認 証 サービス> ワンタイムパスワードタブで、ワンタイムパスワード(OTP)サービス

を設定し、ワンタイムパスワードユーザのトークンを監視または編集することができます。ワンタイ

ムパスワードは、パスワードベースの認証のセキュリティを向上できる方法です。時には弱すぎる

ユーザ独自のパスワードが、一度のログインでのみ有効なワンタイムパスワードによって修正さ

れます。したがって、たとえ攻撃者がパスワードを入手しても、それでログインすることはできませ

ん。

142 UTM 9 WebAdmin

5 定義とユーザ 5.6 認証サービス

ワンタイムパスワードは、特定のアルゴリズムによる計算で、常に定期的に変更されます。新しい

パスワードが計算されると、古いパスワードは自動的に有効期限が切れます。ワンタイムパス

ワードを計算するには、該当するソフトウェアが搭載されているモバイルデバイスか、特殊なハー

ドウェアまたはセキュリティトークンが必要になります。ハードウェアトークンはすぐに使えます。モ

バイルデバイスの場合は、ユーザポータルのスタートページまたはOTP トークンページ(ユーザ

ポータルページを参照)でQRコードとして入手できるGoogle認証システムまたは類似のソフトウェア

をインストールして、設定を行う必要があります。この作業を完了すると、デバイスはトークンに固

有の間隔でワンタイムパスワードを計算します。ワンタイムパスワードの生成ではタイムスタンプを

使用するので、日付と時刻が正確であることが重要です。

ワンタイムパスワードが必要な機能で認証を行うには、ユーザに固有のUTMパスワードに

続けて、すぐにワンタイムパスワードを入力する必要があります。

また、管理者が手動で、パスコードと呼ばれるワンタイムパスワードを生成することも可能です。こ

の場合、この時間が限定されないワンタイムパスワードが、必ず安全にエンドユーザに転送される

ことを確認する必要があります。ただし、このプロセスは、たとえばユーザが一時的にパスワード計

算デバイスにアクセスできない場合など、あくまでも暫定的な解決策と考えるべきです。

ワンタイムパスワードが必要な機能で認証を行うには、ユーザに固有のパスワードに続け

て、すぐにワンタイムパスワードを入力する必要があります。また、管理者が手動で、パスコード

と呼ばれるワンタイムパスワードを生成することも可能です。

ワンタイムパスワードサービスの有 効 化 と設 定

ワンタイムパスワードサービスを設定するには、以下の手順に従います。

1. OTP設 定 セクションで、以 下 の設 定 を行 います。

すべてのユーザがワンタイムパスワードを使 用 :デフォルトでは、このチェックボックスが有効

であり、すべてのユーザがワンタイムパスワードを使用しなければなりません。特定のユー

ザだけがワンタイムパスワードを使用しなければならない場合は、このチェックボックスを無

効にして、ユーザまたはグループを選択するか、ボックスに追加します。

警 告 すべてのユーザがワンタイムパスワードを使 用 の機能を無効にすると、自動的に

UTMの別の部分の ユーザ/グループに影響が出ます。例えば、リバース認 証 に影響が出

ます。

UTM 9 WebAdmin 143

5.6 認証サービス 5 定義とユーザ

バックエンド認証ののユーザについては、自 動 的 にユーザを作 成 オプションを有効

にしなければなりません。オプションは、

定 義 とユーザ > 認 証 サービス> グローバル設 定 >

自 動 ユーザ作 成 で確認できます。

ユーザのOTPトークンを自 動 作 成 :これを選択すると、許可されたユーザが次回ユーザ

ポータルにログインした時に、モバイルデバイス用ソフトウェアを設定するためのQR コード

が提示されます。これが機能するために、ユーザがユーザポータルにアクセスできることを

確認してください( マネジメント> ユーザポータルページを参照)。ユーザがユーザポータルに

ログインすると、それぞれのトークンがOTPトークンリストに表示されます。モバイルデバイ

スで、ソフトトークンを使用する場合、この機能を有効にすることを推奨いたします。ユーザ

がハードウェアトークンだけを使用する場合は、このチェックボックスを無効にし、OTP機能

を有効にする前にトークンを追加またはインポートします。

機 能 に対 してOTPを有 効 にする:ここで、UTM選択したユーザがワンタイムパスワードに

よってアクセスする必要がある機能を選択します。 ユーザのOTPトークンを自 動 作 成 チェッ

クボックスを選択する場合、セキュリティ上の理由から、ユーザポータルが有効である必要

があります。これは、ユーザポータルはOTPトークンへのアクセスを与えるので、それ自体

に保護が弱い部分があってはならないからです。安全なシェルアクセスのOTPを有効にす

るには、それぞれのトークンについて追加的にシェルアクセスの使用を有効にする必要が

あります( 手動でのOTPトークンの追加または編集

を参照)。これで、該当するユーザは、ワ

ンタイムパスワードが追加されたログインユーザパスワードで ログインユーザとしてログイン

しなければならなくなります。

警 告 特に、OTPでの使用のためにWebAdminまたはシェルアクセスを選択する場合、

選択したユーザがワンタイムパスワードのトークンにアクセスできることを確認しなければ

なりません。そうしないと、それらのユーザは永続的にログアウトしたままになります。

2.

タイムステップ設 定 セクションで、以下の設定を行います。

デフォルトのトークンのタイムスタンプ:モバイルデバイスとでワンタイムパスワードを同期さ

せるにはUTM、両方のタイムスタンプが同一でなければなりません。一部のハードウェア

トークンは、60秒を使用します。別のソフトウェアOTPトークンは30秒のステップを使用し、こ

こではそれがデフォルト値となっています。タイムスタンプが一致しなければ、認証は失敗し

ます。ここで入力する値は、自動的にそれぞれの新しいOTPトークンで使用されます。許可

されているタイムステップの範囲は、10~120です。

144 UTM 9 WebAdmin

5 定義とユーザ 5.6 認証サービス

最 大 パスコードオフセット:このオプションにより、最大パスコードオフセットステップを設定可

能です。例えば3ステップに設定した場合、2回のログインの間にタイムステップ数3を超えて

ドリフトしないよう、トークンのクロックが制限されます。最大パスコードオフセットは、0~10

の範囲でなければなりません。

最 大 初 期 パスコードオフセット:このオプションにより、最大初期パスコードオフセットステッ

プを設定可能です。例えば10ステップに設定した場合、2回のログインの間にタイムステップ

数10を超えてドリフトしないよう、トークンのクロックが制限されます。最大初期パスコードオ

フセットは、0~600の範囲でなければなりません。

3.

適 用 をクリックします。

設定が保存されます。

4. ハードウェアトークンを使用する場合、それらをOTPトークンセクションにインポートまたは

追加します。

右上のインポートアイコンをクリックします。CSVインポート方式を選択します。そして、CSV

区切りデータをテキストボックスに貼り付け、 保 存 をクリックします。

PSKCアップロード:OATH-TOTP規格を使用するOTPトークンは主に、PSKCフォーマットを

使用するシリアル番号およびシークレットを含むファイル内で生成されます。暗号化ファイ

ルについては、復号化キーが帯域外(紙ベース)で供給されます。

右上のインポートアイコンをクリックします。PSKCアップロード方式を選択します。ファイルを

選択し、 アップロード開 始 をクリックします。ファイルが暗号化されている場合、復 号 化 キー

を入力して 保 存 をクリックします。

CSVインポート:ハードウェアトークンのベンダーから受け取ったデータを使用して、UTF-8

エンコーディングでセミコロンを使用する、CSVファイルを生成します。このファイルには3つ

の列、シークレット、タイムステップ、コメントが含まれていなければなりません。デバイスに

固有の一意の文字列であるシークレットは必須であり、16進フォーマットで、長さは128ビッ

トです。他の列は、空白です。タイムステップが空白であると、OTP設 定 セクションで定義さ

れたデフォルトのトークンのタイムステップが使用されます。

インポート/アップロードすると、編集アイコンを使用して変更することができます。さらに、プ

ラス「+」アイコンをクリックすると、いつでも単一のエントリを追加できます( 手動でのOTP

トークンの追加または編集 を参照)。

5. ワンタイムパスワードサービスを有効にする。

ページ上部にあるトグルスイッチをクリックします。トグルスイッチが緑色に変わります。

UTM 9 WebAdmin 145

5.6 認証サービス 5 定義とユーザ

ユーザのOTPトークンを自 動 作 成 が有効であれば、ワンタイムパスワードによる認証を指定され

たユーザが初めてユーザポータルにログインした時に、まだ生成されていなければ、UTMOTPトー

クンのエントリを自動作成します。加えて、エントリの リセットアイコンが有効になります。

エントリのトグルスイッチを使用すると、たとえばユーザがハードウェアトークンを紛失した場合など

に、無効にすることができます。該当するアイコンを使用して、たとえばハードウェアトークンが破損

した場合などに、削除することができます。どちらのケースでも、

ユーザのOTPトークンを自 動 作 成

オプションが有効であれば、トークンのシークレットにアクセスできるので、引き続き再認証が可能

です。OTPトークンリストに、新しいエントリが表示されます。

OTPトークンリストの右上では、検索ボックスとナビゲーションアイコンを使用してリストのナビゲー

ションやフィルタを行うことができます。

アイコン

OTPトークンエリアに、追加の機能アイコンがいくつかあります。

機 能 アイコン 意 味

トークンを「まったく使 用 されない」状 態 、すなわち初 期 状 態 に設 定 します。

リセットを実 行 すると、ユーザポータルにロギングした時 に再 度 QRコードが表

示 されます。リセット機 能 は、ユーザが少 なくとも1回 OTPでログインした場

合 に利 用 可 能 です。

トークンがリモートシェルアクセスに使 用 するよう設 定 されていることを示 しま

す。

トークン情 報 がユーザポータルに非 表 示 であることを示 します。

追 加 のトークンコードを示 します。

トークンタイムオフセットを示 すことが可 能 となります。

トークンのQRコードとその情 報 を示 します。

OTPトークンを手 動 で追 加 または編 集 する

OTPトークンを追加または編集することができます。

ヒント通常、単一の OTP トークンを追加することはありませんが、ハードウェアトークンであれ

ばインポートすることができますし、モバイルデバイスを使用している場合は、 ユーザのOTPトー

クンを自 動 作 成 Auto-create OTP tokens for users オプションを使用して自動的に生成するこ

とができます。

146 UTM 9 WebAdmin

5 定義とユーザ 5.6 認証サービス

1. ダイアログを開いて、OTPトークンを追加または編集します。

OTPトークンを追加するには、OTPトークンリストの右上にある緑のプラス「+」アイコンをク

リックします。

OTPトークンを編集するには、OTPトークンリストのそれぞれのエントリの前にある編集アイ

コンをクリックします。

2. 次の設定を行います。

ユーザ:トークンを割り当てるユーザを選択または追加します。

シークレット:これは、ユーザのハードウェアトークンまたはソフトトークンの共有シークレット

です。ハードウェアトークンには、ハードウェアの製造会社によって与えられた変更できな

いシークレットがあります。 ソフトトークンは、ユーザのOTPトークンを自 動 作 成 が有効であ

る場合に、UTMによってランダムに作成されます。シークレットは、長さ128ビットの16進

フォーマットである必要があります。

コメント(オプション):説明などの情報を追加します。このテキストは、ユーザポータルでQR

コードと共に表示されます。ある人に異なるトークン(例、ハードウェアトークンおよび携帯電

話用ソフトトークン)を定義する場合、ユーザにはすべてのQRコードが並んで表示されるの

で、何らかの説明を入力しておくと便利です。

3. 次の詳細設定を任意で行います。

カスタムトークンのタイムステップを使 用 : トークンに対して、OTP設 定 セクションで定義され

たデフォルトのトークンタイムステップ以外のタイムステップが必要であれば、このチェック

ボックスを有効にして、値を入力します。ここで定義するタイムステップは、ユーザのパス

ワード生成用デバイスのタイムステップと対応している必要があり、対応していない場合、

認証が失敗します。

ユーザポータルでトークン情 報 を非 表 示 にする:これを有効にすると、トークンはユーザポー

タルで非表示になります。これは、たとえば設定が必要ではないハードウェアトークンや、

たとえばソフトトークンの設定をエンドユーザではなく、管理者によって集中的に設定する

べき場合に便利です。

トークンはシェルアクセスで使 用 可 能 :これを有効にすると、UTMに対するコマンドラインアク

セスでトークンを使用できるようになります。これが機能するために、OTP設 定 セクションで

シェルアクセスが有効で、に対して一般にパスワード認証によるシェルアクセスが有効で

ある必要がありますUTM( マネジメント> システム設 定 シェルアクセスを参 照 )。シェルアク

セス権限があるOTPトークンには、右側にコマンドシェルアイコンがあります。ワンタイムパ

スワードによるシェルアクセスの場合、これで該当するユーザは、ワンタイムパスワードが

UTM 9 WebAdmin 147

5.6 認証サービス 5 定義とユーザ

追加されたログインユーザパスワードで ログインユーザとしてログインしなければならなくなり

ます。

追 加 コード(OTPトークンの編集の場合のみ):手動で、トークンに対してワンタイムパス

ワードを追加することができます。緑のプラス「+」アイコンをクリックして、一度にワンタイム

パスワードを入力するか、 生 成 ボタンを使って、一度に10のワンタイムパスワードを生成し

ます。また、アクションアイコンを使用して、ワンタイムパスワードのインポートやエクスポー

トを行うことも可能です。こうしたワンタイムパスワードは、時間が限定されません。ワンタイ

ムパスワードを使ってユーザがログインすると、ワンタイムパスワードは自動的に削除され

ます。追加のワンタイムパスワードがあるOTPトークンには、右側にプラス「+」アイコンがあ

ります。そのアイコンの上へカーソルを移動させると、ワンタイムパスワードのリストが表示

されます。

4.

保 存 をクリックします。

設定が保存されます。

OTPトークンタイムの同 期

ハードウェアOTPトークンの場合、それらの内蔵水晶クロックが「実際の」クロックより、遅くなるま

たは早まる可能性があります。例えば、VASCOトークン仕様では、毎日約2秒のタイムドリフトが

許可されています。数カ月後に、ハードウェアトークンのタイムドリフトが大きくなり、トークンのOTP

コードがUTMの算出OTPに一致しなくなる可能性があります。また、1トークンコードをプラス/マイ

ナスしたデフォルト認可OTPウィンドウに一致しないほど、高くなる場合があります。その場合、

OTPコードはUTMにより否認されます。

毎回ユーザが有効なハードウェアトークンコードを使用してUTMにログオンするたびに、UTMはそ

のトークンコードがワンタイムステップ値を超えているかどうかを計算します。超えている場合、

UTMはトークン固有のタイムドリフト値を自動的に変更します。

UTMにより、タイムオフセットを計算し同期できます。次の手順で実行します。

1. OTPトークンエリアで、ストップウォッチのアイコンをクリックします。

「OTPトークンタイムオフセットをチェック」ダイアログボックスが開きます。このトークンの現

在のオフセットが表示されます。

2.

トークンパスコードを入力します。

トークンパスコードは、ハードウェアデバイスにより生成された6桁の番号です。

3.

チェックをクリックします。

数秒後に結果が表示されます。パスコードが有効である場合、メッセージによりトークンが

オフであるか、およびタイムステップ回数が示されます。

148 UTM 9 WebAdmin

5 定義とユーザ 5.6 認証サービス

4. そのトークンのオフセットを設定する場合は、OKをクリックします。

トークンタイムオフセットがアップデートされます。

5.

キャンセルをクリックします。

ダイアログボックスが閉じます。

5.6.5 詳 細

パスワード推 測 のブロック

この機能を使用してパスワードが推測されないようにします。設定した回数のログインに失敗する

と(デフォルトでは:3回)、機能へのアクセスを取得しようとしているIPアドレスは設定した時間(デ

フォルトでは:600秒間)ブロックされます。

ブロックされているホストからのパケットをドロップする:これを有効にすると、ブロックされているホス

トからのすべてのパケットが、指定された時間の間ドロップされます。このオプションは、DoS攻撃

を回避するために使用されます。

機 能 :チェックすると、選択した機能に対して実行されます。

ブロック対 象 外 ネットワーク:このボックスにリストされているネットワークは、このチェックから除外

されます。

ローカル認 証 パスワード

このオプションを使用すると、管理者や管理者権限を持つローカル登録ユーザに対して、パスワー

ドの強化を強制できます。次のセキュリティ要件を遵守するパスワードの複雑性を設定できます。 l

パスワードの最低長。デフォルトは8文字 l

小文字が1つ以上必要 l

大文字が1つ以上必要 l

数字が1つ以上必要 l

英数字以外の文字が1つ以上必要

選択したパスワードプロパティを有効にするためには、 複 雑 なパスワードを必 須 にするチェックボッ

クスにチェックを入れて、 適 用 をクリックします。

Active Directoryグループメンバシップの同 期

このオプションを使用し、ADグループメンバシップ情報のバックグラウンド同期を有効にします。

UTM 9 WebAdmin 149

5.6 認証サービス 5 定義とユーザ

UTMは、グループメンバシップ情報を定期的に同期化し、Active Directoryサーバへのトラフィック

を軽減するため、ローカルでキャッシュに格納します。 このオプションが有効な場合、グループメン

バシップ情報は設定されたActive Directoryのシングルサインオンサーバとともに同期化されます。

すぐに同 期 化 をクリックして、即時にグループメンバシップ情報を同期化します。

ディレクトリユーザのプリフェッチ eDirectoryまたはActive DirectoryのユーザをUTMと同期することができます。これにより、UTMに

ユーザーオブジェクトが事前に作成され、当該ユーザーがログインしたときには、これらのユー

ザーオブジェクトがすでに存在しています。同期プロセスは週次または日次で実行できます。

プリフェッチを有効にするには、次の設定を行います。

サーバ:ドロップダウンリストには、 サーバタブで作成されたサーバが含まれています。プリフェッチ

を有効にするサーバを選択します。

プリフェッチ間 隔 : ユーザをプリフェッチする間隔を選択します。同期を週次で実行する場合、同期

を開始する曜日を選択します。同期を日次で実行する場合、 デイリーを選択します。

プリフェッチ時 刻 :ユーザをプリフェッチする時刻を選択します。

グループ:どのグループを事前に作成するか指定するには、ここでグループを入力します。統合

LDAPブラウザを使用して、これらのグループを選択できます。

ログイン時 のバックエンド同 期 を有 効 化 (オプション):すべてのプリフェッチイベントで、関与する

ユーザ( ユーザとグループ> ユーザタブ)のバンクエンドの同 期 オプションは、ここで定義する値に設

定されます。このオプションを有効にした場合、ユーザの バンクエンドの同 期 オプションが有効にな

ります。このオプションを無効にした場合は、

バンクエンドの同 期 オプションが無効になります。

設定を保存するには

適 用 をクリックします。

直 ちにプリフェッチ: プリフェッチを今すぐ開始するには、このボタンをクリックします。

プリフェッチライブログを開 く:プリフェッチのライブログを開くには、このボタンをクリックします。

150 UTM 9 WebAdmin

6 インタフェースとルーティング

この章では、Sophos UTMでインタフェースとネットワーク固有の設定を構成する方法について説明

します。WebAdminの ネットワーク統 計 ページには、今日の上位 10件のアカウンティングサービス、

上位送信元ホスト、および同時接続の概要が表示されます。各セクションには 詳 細 リンクがあり

ます。リンクをクリックするとWebAdminのそれぞれのレポーティングセクションが表示され、そこでさ

らなる統計情報を参照できます。

この章には次のトピックが含まれます。 l

インタフェース

l

ブリッジ l

QoS

l

アップリンクモニタリング

l

IPv6

l

スタティックルート

l

OSPF

l

BGP

l

マルチキャストルーティング(PIM-SM)

6.1 インタフェース

ゲートウェイには、内部LANを外部ネットワーク(インターネットなど)にセキュリティを維持して接続

するために、少なくとも2つのネットワークインタフェースカードが必要です。次の例では、ネットワー

クカード eth0 は、常に、内部ネットワークに接続されるインタフェースです。一方、ネットワークカー

ド eth1 は、外部ネットワーク (インターネットなど) に接続されるインタフェースです。これらのインタ

フェースは、それぞれ信頼されるインタフェース、信頼されないインタフェースとも呼ばれます。

ネットワークカードは、インストール中に自動認識されます。ソフトウェアアプライアンスでは、新し

いネットワークカードを後で追加すると、新たなインストールが必要になります。システムの再イン

ストールを行うには、設定のバックアップを作成し、ソフトウェアをインストールし、バックアップを復

元するだけです。

内部ネットワークと外部ネットワークの接点は、ゲートウェイのみであるようにしてください。すべて

のデータは UTM を通過する必要があります。内部インタフェースと外部インタフェースを 1つのハブ

6.1 インタフェース 6 インタフェースとルーティング

またはスイッチに接続することは推奨しません。ただし、スイッチが、VLAN スイッチとして設定され

ている場合は除きます。誤った ARP (アドレス解決プロトコル) 解決が発生する可能性があり、これ

を「ARP クラッシュ」と呼びます。この状況は、(マイクロソフト製品など) OS によっては管理できな

いものもあります。このため、各ゲートウェイネットワークインタフェースに対して、1つの物理ネット

ワークセグメントを使用する必要があります。

インタフェースメニューでは、UTM にインストールされているすべてのネットワークカードを設定・管

理したり、外部ネットワーク (インターネット) へのすべてのインタフェースや内部ネットワーク (LAN、

DMZ) へのインタフェースを設定・管理したりすることができます。

- ネットワークトポロジを計画し、UTM を設定しているときは、どのインタフェースがどのネット

ワークに接続しているかに注意してください。ほとんどの設定で、SysIDがeth1のネットワークイ

ンタフェースは外部ネットワークへの接続として選択されます。 冗長化 (HA) フェイルオーバーを

インストールするためには、同じ SysID のネットワークカードを両システムで選択する必要があり

ます。HA フェイルオーバーのインストールについて詳細は、 管 理 >

冗 長 化 のページを参照して

ください。

次のセクションでは、 インタフェース、追 加 アドレス、リンクアグリゲーション、アップリンクバランス、マ

ルチパスルール、ハードウェアのタブで、さまざまなインタフェースタイプを管理・設定する方法につい

て説明します。

6.1.1 インタフェース

インタフェースタブでは、ネットワークカードと仮想インタフェースを設定できます。リストに、すでに定

義されているインタフェースが、シンボル名、ハードウェアデバイス、現在のアドレスとともに表示さ

れます。インタフェースのステータスも表示されます。トグルスイッチをクリックして、インタフェース

を有効または無効にすることができます。インタフェースグループにはトグルスイッチがないことに

注意してください。

ヒントインタフェースリストでインタフェース定義の情報アイコンをクリックすると、インタフェース

定義が使用されているすべての設定オプションを表示することができます。

新たに追加されたインタフェースは、セットアップ中、 ダウンと表示される可能性があります。対応す

るボタンをクリックして、インタフェースを編集したり削除することができます。

152 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

6.1.1.1 自 動 インタフェースネットワーク定 義

UTM の各インタフェースには、シンボル名とハードウェアデバイスが割り当てられています。シン

ボル名は、他の構成設定でインタフェースを参照するときに使用します。各インタフェースについ

て、次のような対応するネットワーク定義のセットが UTM によって自動的に作成されます。 l

インタフェースの現在の IP アドレス、およびインタフェース名と (アドレス) サフィックスから成

る名前が含まれる定義。 l

インタフェースに接続されたネットワーク、およびインタフェース名と (ネットワーク) サフィック

スから成る名前が含まれる定義。 この定義は、PPP タイプのインタフェースに対しては作

成されません。 l

インタフェースのブロードキャストアドレス、およびインタフェース名と (ブロードキャスト)

フィックスから成る名前が含まれる定義。 この定義は、PPP タイプのインタフェースに対し

ては作成されません。

インタフェースで動的アドレス割り当て方法 (DHCP やリモート割り当てなど) が使用されている場

合、これらの定義は自動的に更新されます。ファイアウォールや NAT ルールなど、これらの定義

を参照するすべての設定も、変更されたアドレスで自動的に更新されます。

Internal(内部) というシンボル名のインタフェース 1つが事前に定義されています。これは管理用イ

ンターフェースであり、通常、「内部」 UTM インタフェースとして使用されます。名前を変更したい場

合は、インストール直後に行う必要があります。

6.1.1.2 インタフェースタイプ

UTMに追加可能なインタフェースの種類と、それをサポートするために必要なハードウェアの種類

は次のとおりです。

グループ:インタフェースをグループに編成することができます。これにより、該当する構成では、複

数のインタフェースを個別に選択する代わりに、1つのインタフェースグループを選択できるように

なります。

3G/UMTS:これは、USBモデムスティックに基づくインタフェースです。インタフェースを作成する前

に、モデムスティックを差し込み、UTMを再起動する必要があります。

DSL PPPoA/PPTP :PPP over ATM。DSL PPPoAデバイスでは、ゲートウェイをPPP-over-ATM

互換のDSL回線に接続できます。これらのデバイスは、PPTPプロトコルを使用してIPパケットをト

ンネリングします。これらのデバイスには専用イーサネット接続が必要です(同じハードウェア上で

他のインタフェースと共存できません)。DSLモデムをインタフェースネットワークセグメントに接続す

る必要があります。これらのデバイスタイプのネットワークパラメータは、リモートステーションで割

UTM 9 WebAdmin 153

6.1 インタフェース 6 インタフェースとルーティング

り当てることができます(一般的にはご利用のISP)。さらに、ISPアカウントのユーザ名およびパス

ワードを入力する必要があります。また、お使いのモデムのIPアドレスも入力する必要がありま

す。このアドレスは通常モデムに組み込まれているため変更できません。モデムで通信するには、

NIC IPアドレスとネットマスクを入力する必要があります。モデムのIPアドレスは、これらのパラ

メータで定義されたネットワーク内であることが必要です。Ping先 アドレスは、ICMP ping要求に応

答するPPTPリンクの反対側のホストである必要があります。ご利用のISPのDNSサーバを使用す

ることができます。このアドレスでpingできなかった場合、接続がデッド(dead)であることが考えら

れ、これは再開されます。

DSL PPPoE :PPP over Ethernet。DSL PPPoEデバイスでは、ゲートウェイをPPP-over-

Ethernet互換のDSL回線に接続できます。これらのデバイスには専用イーサネット接続が必要で

す(同じハードウェア上で他のインタフェースと共存できません)。DSLモデムをインタフェースネット

ワークセグメントに接続する必要があります。これらのデバイスタイプのネットワークパラメータは、

リモートステーションで割り当てることができます(一般的にはご利用のISP)。さらに、ISPアカウン

トのユーザ名およびパスワードを入力する必要があります。

イーサネットDHCP:これはDHCPを使用した標準イーサネットインタフェースです。

イーサネット:これは標準のイーサネットインターフェースで、10、100、あるは1000Mbpsの帯域幅を

備えています。

イーサネットVLAN:VLAN(仮想LAN)は単一のハードウェアインタフェース上に別個のレイヤ2ネッ

トワークセグメントを複数持つ方式です。各セグメントは整数の「タグ」で識別されます。VLANイン

タフェースを追加することで、インタフェース(エイリアス)の追加に使用できる「ハードウェア」デバイ

スが作成されます。 PPPoEおよびPPPoAデバイスはVLAN仮想ハードウェア上では実行できませ

ん。

モデム PPP :UTMこのタイプのインタフェースでは、PPPモデムを介してをインターネットに接続で

きます。設定には、UTMにシリアルインタフェースと外部モデムが必要です。また、ユーザ名とパス

ワードを含むDSLアクセスデータも必要です。これらのデータはISPから入手できます。

フレキシブルスロットについて

一部のSophosハードウェアアプライアンスにあるスロットを使用して、容易にハードウェアインタ

フェースを変更することができます。スロットモジュールを挿入し、柔軟に切り替えることができま

す。そのようなハードウェアを使用している場合、WebAdminでは、各ハードウェアインターフェース

に対して、スロット情報も表示されます。たとえば、eth1 [A6] Intel Corporation 82576 Gigabit

Network Connection などと表示されます。ここで、スロット情報は角括弧で囲まれ、A6 は、スロッ

ト A の 6番目のポートを指します。現在、最高 3種類のスロット (A、B、C) があり、各スロットに対し

て最高 8種類のポートがあります。オンボードタイプのインターフェースカードは、 [MGMT1] および

[MGMT2] と表示されます。

154 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

スロット情報は、WebAdminの次の場所で表示されます。 l

インタフェース& ルーティング> インタフェース> インタフェース l

インタフェース& ルーティング> インタフェース> ハードウェア l

WebAdminにある、すべての ハードウェアドロップダウンリスト、およびハードウェアインター

フェース情報が表示されているリスト。

フレキシブルスロットが装備されているアプライアンスの種類の最新情報は、 Sophos UTM Webサ

イト を参照してください。

6.1.1.3 グループ

2つ以上のインタフェースをグループにまとめることができます。グループ化により、設定タスクを簡

素化することができます。マルチパスルールを作成する場合に、すべてのアップリンクインタフェー

スではなく、定義したアップリンクインタフェースグループでのみトラフィックの分散を行うには、グ

ループを設定する必要があります。

グループインタフェースを設定するには、次の手順に従います。

1.

インターフェースタブで、新 規 インタフェースをクリックします。

インターフェースの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :インタフェースを説明する名前を入力してください。

タイプ:ドロップダウンリストから グループを選択します。

インタフェース:グループ化するインタフェースを追加します。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

グループがインタフェースリストに追加されます。グループにはステータスがありません。

特定タイプのインタフェースのみ表示する場合は、ドロップダウンリストから表示するインタフェース

のタイプを選択します。インタフェースを編集または削除するには、対応するボタンをクリックしま

す。

6.1.1.4 3G/UMTS

Sophos UTM は、3G/UMTS USBスティックを使用したネットワーク接続をサポートしています。

3G/UMTSインタフェースを設定するには、次の手順に従います。

UTM 9 WebAdmin 155

6.1 インタフェース 6 インタフェースとルーティング

1.

インターフェースタブで、新 規 インタフェースをクリックします。

インターフェースの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :インタフェースを説明する名前を入力してください。

タイプ:ドロップダウンリストから3G/UMTSを選択します。

ハードウェア:ドロップダウンリストからUSBモデムスティックを選択します。USBスティックを

差し込んだ後で、リブートする必要があります。

ネットワーク:モバイルネットワークタイプをGSM/W-CDMACDMA、またはLTEから選択し

ます。

IPv4/IPv6デフォルトGW(オプション):プロバイダのデフォルトゲートウェイを使用する場合、

このオプションを選択します。

PIN(オプション):PINが設定されている場合、SIMカードのPINを入力します。

APN自 動 選 択 (オプション):デフォルトで、使用するAPN(アクセスポイント名)はUSBモデ

ムスティックから取得されます。チェックボックスのチェックを外す場合、APNフィールドに

APN情報を入力します。

ユーザ名 /パスワード(オプション):必要な場合、モバイルネットワークのユーザ名とパス

ワードを入力します。

ダイヤル文 字 列 (オプション):プロバイダが異なるダイヤル文字列を使用している場合、こ

こに入力します。デフォルトは*99#です。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

初 期 化 文 字 列 :USBモデムスティックを初期化するための文字列を入力します。USBモデ

ムスティックに応じて初期化文字列の調整が必要になる可能性があります。この場合、初

期化文字列は当該USBモデムスティックのマニュアルで確認できます。必要なマニュアル

がない場合、デフォルト設定のATZを維持してください。

リセット文 字 列 :USBモデムスティックのリセット文字列を入力します。USBモデムスティック

に応じてリセット文字列の調整が必要になる可能性があります。この場合、リセット文字列

は当該USBモデムスティックのマニュアルで確認できます。必要なマニュアルがない場合、

デフォルト設定のATZを維持してください。

MTU:インタフェースの最大伝送単位をバイト単位で入力します。トラフィックマネジメント

を使用する場合は、インタフェースタイプに対応する値をここに入力する必要があります。イ

156 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

ンタフェースタイプに対して妥当な値がデフォルトで入力されています。この設定の変更

は、技術的に熟練したユーザのみが行ってください。ここに不正な値を入力すると、インタ

フェースが使用不可能になる場合があります。1500バイトを超えるMTUサイズは、通信事

業者とネットワークカードでサポートされていることが必要です(例:ギガビットインタフェー

ス)。 デフォルトで、3G/UMTSインタフェースタイプには1500バイトのMTUが設定されていま

す。

デフォルトのルートメトリック:インタフェースのデフォルトのルートメトリックを入力します。メト

リック値は同じ宛先へのルートを区別して優先するために使用され、すべてのインタフェー

スで有効です。

非 対 称 (オプション):接続のアップリンクとダウンリンクの帯域幅が同一でない場合に、

ダッシュボードにこれを反映させたいときは、このオプションを選択します。選択すると、2つ

のテキストボックスが表示されます。ここに最大アップリンク帯域幅をMbpsまたはKbps単位

で入力します。ドロップダウンリストから適切なユニットを選択します。

表 示 する最 大 (オプション):ダッシュボードに反映させたい場合は、ここに接続の最大ダウ

ンリンク帯域幅を入力できます。帯域幅はMbpsまたはKbps単位で入力できます。ドロップダ

ウンリストから適切なユニットを選択します。

4.

保 存 をクリックします。

システムが設定の有効性を確認します。チェックに成功すると、新しいインタフェースがイン

タフェースリストに表示されます。インタフェースはまだ有効ではありません (トグルスイッチ

はグレー表示)。

5. インタフェースを有効にします。

インタフェースを有効にするには、トグルスイッチをクリックします。

これでインタフェースが有効になります (トグルスイッチは緑色)。インタフェースがまだ

無 効

と表示される場合があります。システムが構成を行い、設定をロードするまで、しばらく時間

がかかります。 有 効 が表示されたら、インタフェースは完全に動作可能です。

特定タイプのインタフェースのみ表示する場合は、ドロップダウンリストから表示するインタフェース

のタイプを選択します。インタフェースを編集または削除するには、対応するボタンをクリックしま

す。

6.1.1.5 イーサネット

内部または外部ネットワークにスタティックイーサネット接続するためのネットワークカードを設定

するには、NIC及びIPアドレスとネットマスクを設定する必要があります。

スタティックイーサネットインタフェースを設定するには、次の手順に従ってください。

UTM 9 WebAdmin 157

6.1 インタフェース 6 インタフェースとルーティング

1.

インターフェースタブで、新 規 インタフェースをクリックします。

インターフェースの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :インタフェースを説明する名前を入力してください。

タイプ:ドロップダウンリストから イーサネットを選択します。

ハードウェア:ドロップダウンリストからインタフェースを選択します。

ヒントインターネットなどの外部接続には、SysIDがeth1のネットワードカードを選択して

ください。 1枚のネットワークカードを、 イーサネットインタフェースおよびPPP over Ethernet

PPPoE DSL 接続またはPPTP over Ethernet PPPoA DSL 接続として同時に使用す

ることはできません。

動 的 IP動的IPアドレスを使用する場合に有効化します。

IPv4/IPv6アドレス:インタフェースのIPアドレスを入力します。

ネットマスク:ネットマスク(IPv4)を選択するか、IPv6ネットマスクを入力します。

IPv4/IPv6デフォルトG/W(オプション):スタティックに定義されたデフォルトゲートウェイを使

用する場合、このオプションを選択します。

デフォルトG/W(オプション):デフォルトゲートウェイのIPアドレスを入力します。

IPv4 および IPv6 アドレスを同時に使用するよう、インタフェースを設定することができ

ます。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

ホスト名 :ISPがシステムのホスト名の受信を要求する場合、ここに入力します。

MTU:インタフェースの最大伝送単位をバイト単位で入力します。トラフィックマネジメントを

使用する場合は、インタフェースタイプに対応する値をここに入力する必要があります。イン

タフェースタイプに対して妥当な値がデフォルトで入力されています。この設定の変更は、

技術的に熟練したユーザのみが行ってください。ここに不正な値を入力すると、インタフェー

スが使用不可能になる場合があります。1500バイトを超えるMTUサイズは、通信事業者と

ネットワークカードでサポートされていることが必要です(例:ギガビットインタフェース)。デ

フォルトで、 イーサネットインタフェースタイプには1500バイトのMTUが設定されています。

158 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

デフォルトのルートメトリック:インタフェースのデフォルトのルートメトリックを入力します。メト

リック値は同じ宛先へのルートを区別して優先するために使用され、すべてのインタフェー

スで有効です。

プロキシARP:機能を有効にするには、チェックボックスにチェックを入れます。デフォルトで

は、 プロキシARP機能は無効(オフ)になっています。このオプションはブロードキャストタイ

プのインタフェースで使用できます。これを選択すると、がそのインタフェース上のトラUTM

フィックをその「背後にある」ホストの代わりに対して「引きつけ」、受け渡します。直接接続さ

れたインタフェースルートがあるすべてのホストに対してこの処理が行われます。これによ

り、ファイアウォールを実行したまま、「透過的な」ネットワークブリッジを構築することができ

ます。この機能の他の利用方法としては、ISPのルータが「公式」ネットワークのみをイーサ

ネットインタフェースに受け入れる場合があります(ホストルートを使用しない)。

非 対 称 (オプション):接続のアップリンクとダウンリンクの帯域幅が同一でない場合に、

ダッシュボードにこれを反映させたいときは、このオプションを選択します。選択すると、2つ

のテキストボックスが表示されます。ここに最大アップリンク帯域幅をMbpsまたはKbps単位

で入力します。ドロップダウンリストから適切なユニットを選択します。

表 示 する最 大 (オプション):ダッシュボードに反映させたい場合は、ここに接続の最大ダウ

ンリンク帯域幅を入力できます。帯域幅はMbpsまたはKbps単位で入力できます。ドロップダ

ウンリストから適切なユニットを選択します。

4.

保 存 をクリックします。

システムが設定の有効性を確認します。チェックに成功すると、新しいインタフェースがイン

タフェースリストに表示されます。インタフェースはまだ有効ではありません (トグルスイッチ

はグレー表示)。

5. インタフェースを有効にします。

インタフェースを有効にするには、トグルスイッチをクリックします。

これでインタフェースが有効になります (トグルスイッチは緑色)。インタフェースがまだ 無 効

と表示される場合があります。システムが構成を行い、設定をロードするまで、しばらく時間

がかかります。 有 効 が表示されたら、インタフェースは完全に動作可能です。

特定タイプのインタフェースのみ表示する場合は、ドロップダウンリストから表示するインタフェース

のタイプを選択します。インタフェースを編集または削除するには、対応するボタンをクリックしま

す。

UTM 9 WebAdmin 159

6.1 インタフェース 6 インタフェースとルーティング

6.1.1.6 イーサネットVLAN

UTMを仮想LANに接続するためには、タグ付け可能なドライバのあるネットワークカードが必要に

なります。タグとは、イーサネットヘッダの一部としてパケットに付けられる2バイトのヘッダです。タ

グには、パケットの送信先となるVLANの番号が格納されます。VLANの番号は12ビット数で、最

大4095の仮想LANまで許可します。WebAdminでは、この数をVLANタグと呼びます。

は、Sophosタグ付け可能なネットワークインタフェースカードのリストを管理しています。ハー

ドウェア互 換 性 リスト HCL は Sophos Knowledgebase から利用可能です。「HCL」を検索用語とし

て使用して、該当するページを探してください。

イーサネットVLANインタフェースを設定するには、次の手順に従ってください。

1.

インターフェースタブで、新 規 インタフェースをクリックします。

インターフェースの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :インタフェースを説明する名前を入力してください。

タイプ:ドロップダウンリストから イーサネットVLAN Ethernet VLAN を選択します。

ハードウェア:ドロップダウンリストからインタフェースを選択します。

動 的 IP:動的IPアドレスを使用する場合、このオプションを選択します。

VLANタグ:このインタフェースに対して使用するVLANタグを入力します。

IPv4/IPv6アドレス:インタフェースのIPアドレスを入力します。

ネットマスク:ネットマスク(IPv4)を選択するか、IPv6ネットマスクを入力します。

IPv4/IPv6デフォルトG/W(オプション):スタティックに定義されたデフォルトゲートウェイを使

用する場合、このオプションを選択します。

デフォルトG/W(オプション):デフォルトゲートウェイのIPアドレスを入力します。

IPv4 および IPv6 アドレスを同時に使用するよう、インタフェースを設定することができ

ます。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

160 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

MTU:インタフェースの最大伝送単位をバイト単位で入力します。トラフィックマネジメントを

使用する場合は、インタフェースタイプに対応する値をここに入力する必要があります。イン

タフェースタイプに対して妥当な値がデフォルトで入力されています。この設定の変更は、

技術的に熟練したユーザのみが行ってください。ここに不正な値を入力すると、インタフェー

スが使用不可能になる場合があります。1500バイトを超えるMTUサイズは、通信事業者と

ネットワークカードでサポートされていることが必要です(例:ギガビットインタフェース)。デ

フォルトで、

イーサネットVLANインタフェースタイプには1500バイトのMTUが設定されていま

す。

デフォルトのルートメトリック:インタフェースのデフォルトのルートメトリックを入力します。メト

リック値は同じ宛先へのルートを区別して優先するために使用され、すべてのインタフェー

スで有効です。

プロキシARP:機能を有効にするには、チェックボックスにチェックを入れます。デフォルトで

は、 プロキシARP機能は無効(オフ)になっています。このオプションはブロードキャストタイ

プのインタフェースで使用できます。これを選択すると、がそのインタフェース上のトラUTM

フィックをその「背後にある」ホストの代わりに対して「引きつけ」、受け渡します。直接接続さ

れたインタフェースルートがあるすべてのホストに対してこの処理が行われます。これによ

り、ファイアウォールを実行したまま、「透過的な」ネットワークブリッジを構築することができ

ます。この機能の他の利用方法としては、ISPのルータが「公式」ネットワークのみをイーサ

ネットインタフェースに受け入れる場合があります(ホストルートを使用しない)。

非 対 称 (オプション):接続のアップリンクとダウンリンクの帯域幅が同一でない場合に、

ダッシュボードにこれを反映させたいときは、このオプションを選択します。選択すると、2つ

のテキストボックスが表示されます。ここに最大アップリンク帯域幅をMbpsまたはKbps単位

で入力します。ドロップダウンリストから適切なユニットを選択します。

表 示 する最 大 (オプション):ダッシュボードに反映させたい場合は、ここに接続の最大ダウ

ンリンク帯域幅を入力できます。帯域幅はMbpsまたはKbps単位で入力できます。ドロップダ

ウンリストから適切なユニットを選択します。

4.

保 存 をクリックします。

システムが設定の有効性を確認します。チェックに成功すると、新しいインタフェースがイン

タフェースリストに表示されます。インタフェースはまだ有効ではありません (トグルスイッチ

はグレー表示)。

5. インタフェースを有効にします。

インタフェースを有効にするには、トグルスイッチをクリックします。

UTM 9 WebAdmin 161

6.1 インタフェース 6 インタフェースとルーティング

これでインタフェースが有効になります (トグルスイッチは緑色)。インタフェースがまだ 無 効

と表示される場合があります。システムが構成を行い、設定をロードするまで、しばらく時間

がかかります。 有 効 が表示されたら、インタフェースは完全に動作可能です。

特定タイプのインタフェースのみ表示する場合は、ドロップダウンリストから表示するインタフェース

のタイプを選択します。インタフェースを編集または削除するには、対応するボタンをクリックしま

す。

6.1.1.7 DSL (PPPoE)

設定には、ご利用のISPが提供したユーザ名とパスワードを含むDSL接続情報が必要になりま

す。VDSLもこのインタフェースタイプでサポートされています。

DSL 接続を有効にすると、UTMはご利用の ISP に 1日 24時間接続されます。したがって、

ご利用の ISP の請求が接続時間ベースではなく定額制または帯域幅ベースの料金システムで

あることをご確認ください。

DSL(PPPoE)インタフェースを設定するには、次の手順に従ってください。

1.

インターフェースタブで、新 規 インタフェースをクリックします。

インターフェースの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :インタフェースを説明する名前を入力してください。

タイプ:ドロップダウンリストからDSL PPPoE を選択します。

ハードウェア:ドロップダウンリストからインタフェースを選択します。

VDSL:このチェックボックスは、ご利用の接続がVDSL接続である場合のみ選択します。

MTUは1476に変更されます。

スタティックPPPoE IP(オプション):ISPに割り当てられたスタティックIPアドレスがある場

合、チェックボックスにチェックを入れ、表示されるテキストボックスにIPアドレスと該当する

ネットマスクを入力します。 l

IPv4アドレス:インタフェースのIPアドレスを入力します。 l

ネットマスク:ドロップダウンリストからネットマスクを選択するか、IPv6ネットマスクを

入力します(あるいはその両方)。

162 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

インタフェースを設定して、IPv4およびIPv6アドレスを同時に使用することができま

す。

IPv4/IPv6デフォルトGW(オプション):プロバイダのデフォルトゲートウェイを使用する場合、

このオプションを選択します。

ユーザ名 :ISPから入手したユーザ名を入力します。

パスワード:ISPから入手したパスワードを入力します。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

MTU:インタフェースの最大伝送単位をバイト単位で入力します。トラフィックマネジメント

を使用する場合は、インタフェースタイプに対応する値をここに入力する必要があります。イ

ンタフェースタイプに対して妥当な値がデフォルトで入力されています。この設定の変更

は、技術的に熟練したユーザのみが行ってください。ここに不正な値を入力すると、インタ

フェースが使用不可能になる場合があります。1500バイトを超えるMTUサイズは、通信事

業者とネットワークカードでサポートされていることが必要です(例:ギガビットインタフェー

ス)。 デフォルトで、DSL (PPPoE)インタフェースタイプには 1492 バイトの MTU が設定され

ています。

デフォルトのルートメトリック:インタフェースのデフォルトのルートメトリックを入力します。メト

リック値は同じ宛先へのルートを区別して優先するために使用され、すべてのインタフェー

スで有効です。

VLANタグ(VDSLが有効な場合のみ): PPPoEパケットに追加するVLANタグを入力します。

正しいタグについては、VDSL プロバイダに問い合わせてください。デフォルトでは7であり、

現在はDeutsche TelekomのPPPoE接続用に使用されています。

日 次 再 接 続 :接続を終了および再開する時間を定義します。 無 しを選択するか、具体的な

時間を指定することができます。

再 接 続 ディレイ:ここで、再接続ディレイを変更できます。デフォルトでは、5秒 に設定されて

います。ご利用の ISP がこれより長い遅延を要求している場合は、1分 や15分 に設定でき

ます。

非 対 称 (オプション):接続のアップリンクとダウンリンクの帯域幅が同一でない場合に、

ダッシュボードにこれを反映させたいときは、このオプションを選択します。選択すると、2つ

UTM 9 WebAdmin 163

6.1 インタフェース 6 インタフェースとルーティング

のテキストボックスが表示されます。ここに最大アップリンク帯域幅をMbpsまたはKbps単位

で入力します。ドロップダウンリストから適切なユニットを選択します。

表 示 する最 大 (オプション):ダッシュボードに反映させたい場合は、ここに接続の最大ダウ

ンリンク帯域幅を入力できます。帯域幅はMbpsまたはKbps単位で入力できます。ドロップダ

ウンリストから適切なユニットを選択します。

マルチリンク:有効にすると、複数の PPP 接続を 1つにまとめることができます。マルチリンク

PPP 接続が機能できるのは、使用しているISP がマルチリンクンPPPをサポートしている場

合だけです。

マルチリンクスレーブ:上記で選択したハードウェアをマルチリンクにバンドルしたいインター

フェースを選択します。

4.

保 存 をクリックします。

システムが設定の有効性を確認します。チェックに成功すると、新しいインタフェースがイン

タフェースリストに表示されます。インタフェースはまだ有効ではありません (トグルスイッチ

はグレー表示)。

5. インタフェースを有効にします。

インタフェースを有効にするには、トグルスイッチをクリックします。

これでインタフェースが有効になります (トグルスイッチは緑色)。インタフェースがまだ 無 効

と表示される場合があります。システムが構成を行い、設定をロードするまで、しばらく時間

がかかります。 有 効 が表示されたら、インタフェースは完全に動作可能です。

特定タイプのインタフェースのみ表示する場合は、ドロップダウンリストから表示するインタフェース

のタイプを選択します。インタフェースを編集または削除するには、対応するボタンをクリックしま

す。

6.1.1.8 DSL (PPPoA/PPTP)

PPPoA (PPP over ATM Protocolプロトコル) した接続を設定するには、UTM上の未使用のイーサ

ネットインタフェースと、イーサネットポート付きの外部 ADSL モデムが必要です。インターネットへ

の接続は2つの個別の接続で行ないます。UTMとADSLモデム間では、PPTP over Ethernet プロト

コルを使用して接続を確立します。ADSLモデムは、PPP over ATM Dialingプロトコルを使用して

ISPに接続します。

設定には、ご利用のインターネットサービスプロバイダ(ISP)が提供したユーザ名とパスワードを含

むDSL接続情報が必要になります。

164 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

DSL 接続を有効にすると、UTMはご利用の ISP に 1日 24時間接続されます。したがって、

ご利用の ISP の請求が接続時間ベースではなく定額制または帯域幅ベースの料金システムで

あることをご確認ください。

DSL(PPPoA/PPTP)インタフェースを設定するには、次の手順に従ってください。

1.

インターフェースタブで、新 規 インタフェースをクリックします。

インターフェースの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :インタフェースを説明する名前を入力してください。

タイプ:ドロップダウンリストからDSL PPPoA/PPTP を選択します。

ハードウェア:ドロップダウンリストからインタフェースを選択します。

IPv4/IPv6デフォルトGW(オプション):プロバイダのデフォルトゲートウェイを使用する場合、

このオプションを選択します。

ユーザ名 :ISPから入手したユーザ名を入力します。

パスワード:ISPから入手したパスワードを入力します。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

モデムIP:お使いのADSLモデムのIPアドレスをここに入力します。このアドレスは通常、ISP

から、あるいはモデムハードウェアとともに提供されるので、変更できません。

例:10.0.0.138(AonSpeed)。

NICアドレス:モデムに接続されているUTM上のネットワークカードのIPアドレスをここに入

力します。このアドレスはモデムと同じサブネット内にある必要があります。

例:10.0.0.140(AonSpeed)。

NICネットマスク:使用するネットワークマスクをここに入力します。例:255.255.255.0

(AonSpeed)。

pingアドレス(オプション):ICMP ping要求に応答するインターネット上のホストのIPアドレス

を入力します。UTMと外部ネットワーク間の接続をテストするには、PPTPリンクの反対側ホ

ストのIPアドレスを入力する必要があります。ご利用のISPのDNSサーバを使用することが

できます。UTMがこのホストにping要求を送信します。応答がない場合は、接続不良です。

UTM 9 WebAdmin 165

6.1 インタフェース 6 インタフェースとルーティング

MTU:インタフェースの最大伝送単位をバイト単位で入力します。トラフィックマネジメント

を使用する場合は、インタフェースタイプに対応する値をここに入力する必要があります。イ

ンタフェースタイプに対して妥当な値がデフォルトで入力されています。この設定の変更

は、技術的に熟練したユーザのみが行ってください。ここに不正な値を入力すると、インタ

フェースが使用不可能になる場合があります。1500バイトを超えるMTUサイズは、通信事

業者とネットワークカードでサポートされていることが必要です(例:ギガビットインタフェー

ス)。 デフォルトでは、1492バイトのMTUがDSL PPPoA インタフェースタイプに設定されて

います。

デフォルトのルートメトリック:インタフェースのデフォルトのルートメトリックを入力します。メト

リック値は同じ宛先へのルートを区別して優先するために使用され、すべてのインタフェー

スで有効です。

日 次 再 接 続 :接続を終了および再開する時間を定義します。 無 しを選択するか、具体的な

時間を指定することができます。

再 接 続 ディレイ:ここで、再接続ディレイを変更できます。デフォルトでは、5秒 に設定されて

います。ご利用の ISP がこれより長い遅延を要求している場合は、1分 や15分 に設定でき

ます。

非 対 称 (オプション):接続のアップリンクとダウンリンクの帯域幅が同一でない場合に、

ダッシュボードにこれを反映させたいときは、このオプションを選択します。選択すると、2つ

のテキストボックスが表示されます。ここに最大アップリンク帯域幅をMbpsまたはKbps単位

で入力します。ドロップダウンリストから適切なユニットを選択します。

表 示 する最 大 (オプション):ダッシュボードに反映させたい場合は、ここに接続の最大ダウ

ンリンク帯域幅を入力できます。帯域幅はMbpsまたはKbps単位で入力できます。ドロップダ

ウンリストから適切なユニットを選択します。

4.

保 存 をクリックします。

システムが設定の有効性を確認します。チェックに成功すると、新しいインタフェースがイン

タフェースリストに表示されます。インタフェースはまだ有効ではありません (トグルスイッチ

はグレー表示)。

5. インタフェースを有効にします。

インタフェースを有効にするには、トグルスイッチをクリックします。

これでインタフェースが有効になります (トグルスイッチは緑色)。インタフェースがまだ 無 効

と表示される場合があります。システムが構成を行い、設定をロードするまで、しばらく時間

がかかります。 有 効 が表示されたら、インタフェースは完全に動作可能です。

166 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

特定タイプのインタフェースのみ表示する場合は、ドロップダウンリストから表示するインタフェース

のタイプを選択します。インタフェースを編集または削除するには、対応するボタンをクリックしま

す。

6.1.1.9 モデム PPP

設定には、UTMにシリアルインタフェースと外部PPPモデムが必要になります。また、ユーザ名と

パスワードを含むDSLアクセスデータも必要です。これらのデータは、インターネットサービスプロバ

イダ(ISP)から入手できます。

モデム PPP インタフェースを設定するには、次の手順に従ってください。

1.

インターフェースタブで、新 規 インタフェースをクリックします。

インターフェースの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :インタフェースを説明する名前を入力してください。

タイプ:ドロップダウンリストから モデム PPP を選択します。

ハードウェア:ドロップダウンリストからインタフェースを選択します。

IPv4/IPv6デフォルトGW(オプション):プロバイダのデフォルトゲートウェイを使用する場合、

このオプションを選択します。

ユーザ名 :ISPから入手したユーザ名を入力します。

パスワード:ISPから入手したパスワードを入力します。

ダイヤル文 字 列 :電話番号を入力します。例:5551230

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

回 線 速 度 :UTMとモデムの間の接続に対して、速度をbps単位で設定します。一般的な値

は57,600 bpsと115,200 bpsです。

フローコントロール:データフローをコントロールする方法を選択します。

データがシリアル接続経由で転送される場合、システムで受信データを十分に速く処理で

きない可能性があります。データの損失が発生しないようにするためには、データフローの

コントロール方法が必要になります。シリアル接続では、次の2つの方法を使用できます。 l

ハードウェア信号 l

ソフトウェア信号

UTM 9 WebAdmin 167

6.1 インタフェース 6 インタフェースとルーティング

168

PPP接続では、すべての8ビットがデータ転送回線に使用され、転送されるデータにはコマ

ンドサインControl SControl Qのバイトが含まれるため、デフォルト設定のハードウェアを

維持し、シリアル接続ケーブルを使用することをお勧めします。

初 期 化 文 字 列 :モデムを初期化するための文字列を入力します。モデムに応じて初期化

文字列の調整が必要になる可能性があります。この場合、初期化文字列は該当モデムの

マニュアルで確認できます。必要なマニュアルがない場合、デフォルト設定のATZを維持

してください。

リセット文 字 列 :モデムのリセット文字列を入力します。モデムに応じてリセット文字列の調

整が必要になる可能性があります。この場合、リセット文字列は該当モデムのマニュアル

で確認できます。必要なマニュアルがない場合、デフォルト設定のATZを維持してくださ

い。

MTU:インタフェースの最大伝送単位をバイト単位で入力します。トラフィックマネジメント

を使用する場合は、インタフェースタイプに対応する値をここに入力する必要があります。イ

ンタフェースタイプに対して妥当な値がデフォルトで入力されています。この設定の変更

は、技術的に熟練したユーザのみが行ってください。ここに不正な値を入力すると、インタ

フェースが使用不可能になる場合があります。1500バイトを超えるMTUサイズは、通信事

業者とネットワークカードでサポートされていることが必要です(例:ギガビットインタフェー

ス)。 デフォルトで、

モデム PPP インタフェースタイプには1492バイトのMTUが設定されて

います。

デフォルトのルートメトリック:インタフェースのデフォルトのルートメトリックを入力します。メト

リック値は同じ宛先へのルートを区別して優先するために使用され、すべてのインタフェー

スで有効です。

非 対 称 (オプション):接続のアップリンクとダウンリンクの帯域幅が同一でない場合に、

ダッシュボードにこれを反映させたいときは、このオプションを選択します。選択すると、2つ

のテキストボックスが表示されます。ここに最大アップリンク帯域幅をMbpsまたはKbps単位

で入力します。ドロップダウンリストから適切なユニットを選択します。

表 示 する最 大 (オプション):ダッシュボードに反映させたい場合は、ここに接続の最大ダウ

ンリンク帯域幅を入力できます。帯域幅はMbpsまたはKbps単位で入力できます。ドロップダ

ウンリストから適切なユニットを選択します。

4.

保 存 をクリックします。

システムが設定の有効性を確認します。チェックに成功すると、新しいインタフェースがイン

タフェースリストに表示されます。インタフェースはまだ有効ではありません (トグルスイッチ

はグレー表示)。

5. インタフェースを有効にします。

UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

インタフェースを有効にするには、トグルスイッチをクリックします。

これでインタフェースが有効になります (トグルスイッチは緑色)。インタフェースがまだ 無 効

と表示される場合があります。システムが構成を行い、設定をロードするまで、しばらく時間

がかかります。 有 効 が表示されたら、インタフェースは完全に動作可能です。

特定タイプのインタフェースのみ表示する場合は、ドロップダウンリストから表示するインタフェース

のタイプを選択します。インタフェースを編集または削除するには、対応するボタンをクリックしま

す。

6.1.2 追 加 アドレス

1つのネットワークカードで追加IPアドレス(別名 エイリアス を設 定 できます。 この機能を使用する

と、1つの物理ネットワークカード上で複数の論理ネットワークを管理することができます。また、こ

れを使用して、NAT(ネットワークアドレス変換)を実行しているUTMにさらなるアドレスを割り当て

ることもできます。

標準イーサネットインタフェースで追加アドレスを設定するには、次の手順に従ってください。

1.

追 加 アドレスタブで、新 規 追 加 アドレスをクリックします。

追 加 アドレスを追 加 ダイアログが開きます。

2. 次の設定を行います。

名 前 :新しい追加アドレスを説明する名前を入力してください。

インタフェース:アドレスを割り当てるインタフェースをドロップダウンリストから選択します。

IPv4/IPv6アドレス:インタフェースの追加IPアドレスを入力します。

ネットマスク:ドロップダウンリストからネットマスクを選択するか、IPv6ネットマスクを入力し

ます(あるいはその両方)。

IPv4 および IPv6 アドレスを同時に使用するよう、インタフェースを設定することができ

ます。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

システムが設定の有効性を確認します。チェックに成功すると、新しいインタフェースがイン

タフェースリストに表示されます。インタフェースはまだ有効ではありません (トグルスイッチ

はグレー表示)。

4. 追加アドレスを有効にします。

UTM 9 WebAdmin 169

6.1 インタフェース 6 インタフェースとルーティング

追加アドレスを有効にするには、トグルスイッチをクリックします。

これで追加アドレスが有効になります(トグルスイッチは緑)。追加アドレスはまだ ダウンと表

示されている場合があります。システムが構成を行い、設定をロードするまで、しばらく時間

がかかります。 アップというメッセージが表示されると、追加アドレスは完全に機能するよう

になっています。

追加アドレスを編集または削除するには、対応するボタンをクリックします。

6.1.3 リンクアグリゲーション

リンクアグリゲーションは、「ポートトランキング」または「NICボンディング」とも呼ばれ、これによって

複数のイーサネットネットワークポートを1つの仮想インタフェースに集約することができます。集約

されたポートはシステム上で1つのIPアドレスとして表示されます。リンクアグリゲーションは、どの

単体 NIC よりも リンク速度を向上させたり、いずれかのポートまたはスイッチで障害が発生した場

合に冗長性を維持して基本フェイルオーバーおよびフォールトトレランス機能を提供したりするた

めに役に立ちます。障害が発生したポートやスイッチにルーティングされているすべてのトラフィッ

クは自動的にリルートされ、残りのポートまたはスイッチのいずれかを使用するようになります。こ

のフェイルオーバーは、接続を使用しているシステムに対して完全に透過的です。

HA環境では、イーサネット接続を別のHAユニット上にすることもできます。

リンクアグリゲーショングループは最大4つまで定義することができます。グループには1つまたは

複数のインタフェースを含めることができます。

リンクアグリゲーショングループ(LAG)を作成するには、次の手順に従います。

1. 各LAGに対して、追加するインタフェースを選択します。

グループは、設定されているインタフェースまたは1つ以上の設定されていないインタフェー

ス(あるいはその両方)で構成することができます。

設定されているインタフェースを使用するには、 変 換 インタフェースドロップダウンリストから

インタフェースを選択します。設定されていないインタフェースを使用するには、それぞれの

チェックボックスにチェックを入れます。

2. LAGを有効にします。

このグループを有 効 化 ボタンをクリックして、グループを有効にします。

リンクアグリゲーショングループを設定すると、 インタフェースタブでインタフェース定義を作成

するときに、新しいLAGインタフェース(lag0など)を選択できるようになります。ボンディング

インタフェースの上部で、次のいずれかを作成できます。

170 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース l

イーサネットスタティック l

イーサネットVLAN l

イーサネットDHCP l

エイリアスインタフェース

LAGを無効にするには、LAGを構成するインタフェースのチェックボックスのチェックを外して、 この

グループを更 新 をクリックし、警告メッセージを確認します。LAGインタフェースのステータスが、サ

ポート> 詳 細 > インタフェーステーブルタブに表示されます。

6.1.4 アップリンクバランス

アップリンクバランス機能を使用すると、複数のインターネットアップリンクを組み合わせて、バック

アップ用アップリンクを使用可能にするか、複数のアップリンクに負荷を分散することができます。

組み合わせることができるアップリンクは最大32です。ベーシックガードサブスクリプションでは、2

つのアップリンクだけが組み合わせされていることに注意してください。

デフォルトゲートウェイを備えた既存インタフェースに加えて、デフォルトゲートウェイをインタフェー

スに割り当てると、アップリンクバランスが自動的に有効になります。デフォルトゲートウェイを装備

するすべてのインタフェースは、 アクティブインタフェースボックスに追加され、以降はアップリンクバ

ランスにより、これらのインタフェースの間で自動的にバランシングが行われます。デフォルトゲー

トウェイを装備する他のインタフェースもすべて自動的に追加されます。

マルチパスルールタブでは、トラフィックのバランシングを行うための特定のルールを定義できま

す。

アップリンクバランスを手動でセットアップするには、次の手順に従います。

1. アップリンクバランスを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、 アップリンクバランスエリアが編集可能になります。

2. アクティブインタフェースを選択します。

フォルダアイコンをクリックしてインタフェースを1つ以上追加し、オブジェクトリストからインタ

フェースをドラッグします。複数のインタフェースの場合、クライアントからのトラフィックは送

信元によってバランシングされます。つまり、1つの送信元から送られたすべてのトラフィッ

クが同じインタフェースを使用する一方で、別の送信元からのトラフィックは別のインタ

フェースに送信できます。いずれかのインタフェースを使用できない場合、トラフィックは残

りのインタフェースによってテイクオーバーされます。

UTM 9 WebAdmin 171

6.1 インタフェース 6 インタフェースとルーティング

最初にアップリンクバランスが自動的に有効化された段階で、アクティブインタフェー

スリストには既にデフォルトゲートウェイを装備するすべてのインタフェースが表示されま

す。リストからインタフェースを削除すると、インタフェースの デフォルトゲートウェイチェック

ボックスから自動的にチェックが外れます。したがって、デフォルトゲートウェイを装備する

すべてのインタフェースは、このリストに示されるか、その下の スタンバイインタフェースボッ

クスに示されるかのいずれかになります。しかし、デフォルトゲートウェイを装備しないイン

タフェースを追加して、後にデフォルトゲートウェイのアドレスを入力することができます。

インタフェースの順序は重要な意味を持ちます。1つのインタフェースだけが使用で

きる構成で、UTM自体によって送信されるパケットでは、デフォルトで、最初に使用できる

インタフェースが使用されます。インタフェースの順序は、ボックスでソートアイコンをクリッ

クして変更できます。

ボックスのヘッダでスケジューラの編集アイコンを使用すると、個々のバランシング動作お

よびアクティブインタフェースのインタフェースパーシスタンスを設定することができます。

加 重 : 加重とは、あるインタフェースが処理するトラフィック量を他のインタフェースに対して

相対的に示すもので、0~100の間で設定できます。加重ラウンドロビンアルゴリズムが使

用され、値が大きいほど、該当インタフェースにルーティングされるトラフィックが多くなりま

す。相対的な値であるため、合計して100にする必要はありません。たとえば、インタフェー

ス1の値を100に、インタフェース2の値を50に、インタフェース3の値を0に設定することなどが

できます。この場合、インタフェース2のトラフィック量はインタフェース1の半分となり、インタ

フェース3は他のインタフェースが使用可能でない場合にのみ使用されます。0の値は、より

値が大きい他のインタフェースが常に使用されることを示します(他のインタフェースが使用

可能であれば)。

パーシステンス:インタフェースパーシスタンスとは、特定の属性を持つトラフィックが常に同

じアップリンクインタフェース経由でルーティングされるようにする技術です。パーシスタンス

のデフォルトのタイムアウト時間は1時間です。

3. スタンバイインタフェースの選択 オプション

ここでは、すべてのアクティブインタフェースが使用不能になった場合にのみ使用されるフェ

イルオーバーインタフェースをオプションで追加することができます。この場合、与えられた

順序で最初に使用できるスタンバイインタフェースが使用されます。インタフェースの順序

は、ボックスでソートアイコンをクリックして変更できます。

4. モニタリングの設定の変更 オプション

172 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

デフォルトでは、インタフェース障害の可能性を検出するために 自 動 モニタリングが有効に

なっています。つまり、すべてのアップリンク バランシング インタフェースからインターネット

上の特定のホストに 15秒間隔で接続することにより、それらのインタフェースの状態 (健全

性) がモニタリングされます。デフォルトでは、ホストのモニタリングは、1つのルート DNS

サーバーまでのルート上にある、ping を許可する 3番目のホップです。なお、ユーザーは

サーバープールをモニタリングするためのホストを自分で定義することができます。これらの

ホストには、ping 以外の別のサービスを選択し、モニタリング間隔とタイムアウトを変更でき

ます。

モニタリングホストが応答を送信しなくなった場合、そのインタフェースは機能していない

(デッド(dead)である)と見なされるため、それ以降配信に使用されません。ダッシュボードで

は、インタフェースの リンク列にエラーと表示されます。

同じモニタリング設定が、アップリンクモニタリング (アップリンクモニタリング> 詳 細 ) と

アップリンクバランス ( インターフェースアップリンクバランス) に対して使用されます。

5.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

アップリンクインタフェースという名前の新しい仮想ネットワークインタフェースが自動的に作成され、

Sophos UTMの他の機能(IPsecルールなど)で使用できるようになっています。仮想ネットワークイ

ンタフェース アップリンクインタフェースは、インタフェースリストに追加されたすべてのアップリンクイ

ンタフェースから構成されています。

さらに、 アップリンクプライマリアドレスという名前の新しいネットワークグループが自動的に作成さ

れ、のSophos UTM他の機能(ファイアウォールルールなど)で使用できるようになっています。これ

は、すべての アップリンクインタフェースのプライマリアドレスを参照します。

DynDNSが使用されている場合や、リモートサーバがすべてのアップリンクインタフェースのIPアド

レスを受け付けることができる場合は、インタフェースで障害が発生したときに、次に使用可能なイ

ンタフェースを介してオープンなVPNトンネルを自動的に再確立することができます。前提条件とし

ては、IPsecルールが ローカルインタフェースとしてアップリンクインタフェースを使用する必要がありま

す。

モニタリングホストの定 義

サーバプールをモニタリングするためのホストを自分で定義するには、次の手順に従います。

UTM 9 WebAdmin 173

6.1 インタフェース 6 インタフェースとルーティング

1.

自 動 モニタリングチェックボックスのチェックを外します。

モニタリングホストボックスが編集可能になります。

2. モニタリングホストを追加します。

任意のホストを使用する代わりに、モニタリングに使用するホストを1つ以上選択または追

加します。 複数のホストでインタフェースをモニタリングする場合、定義された時間内にすべ

てのモニタリングホストが応答しない場合にのみ、インタフェースがデッドとみなされます。

定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明

しています。

選択したホストがインタフェースに関連付けられている場合は、このインタフェースの

モニタリングのみに使用されます。ホストがインタフェースに関連付けられていない場合

は、すべてのインタフェースのモニタリングに使用されます。選択したホストによりカバーさ

れていないインタフェースは、自動モニタリングによりモニタリングされます。

ボックスのヘッダにあるモニタリング設定アイコンをクリックして、モニタリングの詳細を設定

します:

モニタリングタイプ:モニターチェックのサービスプロトコルを選択します。モニタリング用に

TCP(TCP接続の確立)、UDP(UDP接続の確立)、Ping(ICMP Ping)、HTTPホスト HTTP

Host (HTTP要求)、またはHTTPSホスト HTTPS Hosts (HTTPS要求)のいずれかを選

択します。UDPを使用する場合、ping要求が最初に送信され、成功した場合は、続いてペイ

ロード0のUDP パケットが送信されます。pingが成功しなかった場合や、ICMPポートに到達

できない場合、この接続はダウンしているとみなされます。

ポート(TCP およびUDPのモニタリングタイプのみ): 要求の送信先のポート番号。

URL(オプション、HTTP/Sホストのモニタリングタイプのみ): 要求するURL。URLにポート情

報を追加することで、デフォルトポートの80または443以外のポートを使用することもできま

す。例、http://example.domain:8080/index.html。URLを指定しない場合は、ルー

トディレクトリが要求されます。

間 隔 :ホストをチェックする間隔を秒単位で入力します。

タイムアウト:モニタリングホストが応答を送信する最大時間を秒単位で入力します。インタ

フェースのすべてのモニタリングホストがこの時間内に応答しない場合、インタフェースが

デッドとみなされます。

3.

適 用 をクリックします。

設定が保存されます。

174 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

6.1.5 マルチパスルール

インタフェース& ルーティング> インタフェース> マルチパスルールタブでは、アップリンクバランス用

のルールを設定できます。ルールは、トラフィックのバランシングを行うべき複数のインタフェース

がある場合に、 アップリンクバランスタブでアクティブインタフェースに適用されます。マルチパス

ルールがない場合は、すべてのサービスは送信元によってバランシングされます。つまり、1つの

送信元から送られたすべてのトラフィックが同じインタフェースを使用する一方で、別の送信元か

らのトラフィックは別のインタフェースに送信できます。マルチパスルールによって、このデフォルト

のインタフェースパーシスタンスを変更することができます。

マルチパスルールは、サービスタイプTCP、UDP、IPに対してセットアップできます。

マルチパスルールを作成するには、次の手順に従います。

1.

マルチパスルールタブで、新 規 マルチパスルールをクリックします。

マルチパスルールの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :マルチパスルールを説明する名前を入力してください。

位 置 :ルールの優先順位を定義する位置番号。番号が小さいほど優先順位が高くなりま

す。ルールは昇順に照合されます。あるルールが一致すると、それ以降、それより大きい番

号のルールは評価されません。より具体的なルールをリストの上部に配置して、曖昧な

ルールが最後に照合されるようにします。

送 信 元 :照合する送信元IPアドレスまたはネットワークを選択または追加します。

サービス:照合するネットワークサービスを選択または追加します。

宛 先 :照合する宛先IPアドレスまたはネットワークを選択または追加します。

ヒント定義を追加する方法は、定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義

ページで説明しています。

I/F パーシステンス:インタフェースパーシスタンスとは、特定の属性を持つトラフィックが常に

同じアップリンクインタフェース経由でルーティングされるようにする技術です。パーシスタン

スのデフォルトのタイムアウト時間は1時間ですが、このタイムアウトは アップリンクバランスタ

ブで変更できます。を基準にパーシスタンスを定めるかを定義することができます。

UTM 9 WebAdmin 175

6.1 インタフェース 6 インタフェースとルーティング l

コネクション別 :(デフォルト)バランシングはコネクションに基づいて行われます。つま

り、特定のコネクションに属するすべてのトラフィックが同じインタフェースを使用する

一方で、別のコネクションのトラフィックは別のインタフェースに送信できます。 l

送 信 元 別 :バランシングは送信元IPアドレスに基づいて行われます。つまり、1つの

送信元から送られたすべてのトラフィックが同じインタフェースを使用する一方で、別

の送信元からのトラフィックは別のインタフェースに送信できます。

プロキシを使用している場合、送信元に基づくパーシスタンスは実行できませ

ん。これは、オリジナルの送信元情報が維持されないことによります。HTTPプロキ

シによるトラフィックは、オリジナルのクライアント送信元IPアドレスに一致するた

め、インターフェース パーシスタンス ルール 送 信 元 別 に準拠します。 l

宛 先 別 :バランシングは宛先IPアドレスに基づいて行われます。つまり、1つの宛先

に送られるすべてのトラフィックが同じインタフェースを使用する一方で、別の宛先へ

のトラフィックは別のインタフェースに送信できます。 l

送 信 元 /宛 先 別 :バランシングは送信元/宛先IPアドレスの組み合わせに基づいて

行われます。つまり、送信元Aから宛先Bに送られるすべてのトラフィックが同じイン

タフェースを使用します。別の組み合わせのトラフィックは別のインタフェースに送信

できます。また、上記の注にも注意してください。 l

インタフェース別 : バインドインタフェースドロップダウンリストからインタフェースを選択

します。ルールに該当するすべてのトラフィックは、このインタフェース経由でルーティ

ングされます。インタフェースで障害が発生し、後続のルールが一致しない場合、接

続はデフォルトの動作にフォールバックします。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

分 散 先 (インタフェースによるパーシスタンス以外):フィールドにインタフェースグループを

追加します。ルールに該当するすべてのトラフィックは、このグループのインタフェースでバ

ランシングされます。デフォルトでは、

アップリンクインタフェースが選択されるため、すべての

アップリンクインタフェースで接続がバランシングされます。

インタフェースのエラーがあればルールをスキップ(Itf. パーシスタンスがインタフェース別 に設

定されている場合のみ利用可能):選択すると、インタフェースで障害が発生したときに、次

のマルチパスルールをトラフィックで使用します。選択していない場合は、インタフェースの

障害が発生しても、他のマルチパスルールは定義されたトラフィックで使用されません。た

とえば、無効な送信者のIPアドレスであるという理由で受信者がメールをスパムメールに

176 UTM 9 WebAdmin

6 インタフェースとルーティング 6.1 インタフェース

分類してしまうことを防ぐために、SMTPトラフィックを確実に特定のスタティックIPアドレスだ

けに送信するように設定したい場合にはこういう設定が適切です。

4.

保 存 をクリックします。

新しいマルチパスルールが マルチパスルールリストに追加されます。

5.

マルチパスルールを有効にします。

新しいルールはデフォルトで無効になっています (トグルスイッチはグレー表示)。ルールを

有効にするには、トグルスイッチをクリックします。これでルールが有効になります (トグルス

イッチは緑色)。

ルールを編 集 または削 除 するには、対 応 するボタンをクリックします。

6.1.6 ハードウェア

インタフェース& ルーティング> インタフェース> ハードウェアタブには、設定されているすべてのイン

タフェースが、イーサネットオペレーションモード、MACアドレスなどの情報と共に表示されます。

UTM ハードウェアデバイスで、各インタフェースに対し、オートネゴシエーションを有効または無効

にすることができます。

オートネゴシエーション:通常、2つのネットワークデバイス間のイーサネット操作モード (1000BASE-

T 全二重、100BASE-T 全二重、100BASE-T 半二重、10BASE-T 全二重、10BASE-T 半二重など)

が自動的にネゴシエートされ、両方のデバイスでサポートされる最適な操作モードが選択されま

す。このとき、速度は高速 (1000Mbps など) が低速 (100Mbps など) より優先され、同じ速度では全

二重の方が半二重より優先されます。

警 告 1000 Mbpsのオペレーションを適切に機能させるためには、IEEE標準802.3abにより義務付

けられているように、常にオートネゴシエーションが必要になります。このため、 リンクモード

1000BASE-Tのインタフェースのオートネゴシエーションを決してオフにしないようにしてください。

ネットワークリンクにタイミング障害が発生して、サービスが低下したり、障害が発生する可能性

があります。100 Mbpsおよび10 Mbpsオペレーションでは、オートネゴシエーションがオプションで

すが、できる限り使用することを推奨します。

オートネゴシエーションはデフォルトで有効化されています。まれなケースでオートネゴシエーショ

ンをオフにする必要がある場合、対応するインタフェースカードの 編 集 ボタンをクリックして、表示さ

れるNICパラメータの編 集 ダイアログボックスのリンクモードドロップダウンリストで設定を変更しま

す。ドロップダウンリストはUTMハードウェアデバイスでのみ使用可能である点に注意が必要で

す。 保 存 をクリックして変更を保存します。

UTM 9 WebAdmin 177

6.2 サービス品質(QoS) 6 インタフェースとルーティング

警 告 オートネゴシエーションを無効にするときは注意してください。これにより、不一致が生じ、

パフォーマンスが大幅に低下したり、接続が切断したりする可能性もあります。該当するネット

ワークインタフェースカードがWebAdminへのインタフェースである場合、WebAdminへのアクセス

が切断されてしまいます。

オートネゴシエーションや速度の変更の結果、インタフェースのネットワークリンクが失われた場

合には、設定を元に戻すことでインタフェースを通常のオペレーションに戻すことができます。切断

されているインタフェースでは、オートネゴシエーションや速度を確実に変更することができませ

ん。したがって、最初にオートネゴシエーションをオンにしてからUTMをリブートして通常のオペレー

ションに戻します。

HAリンクモニタリング:冗長化が有効である場合、設定されたすべてのインタフェースでリンクス

テータスがモニタリングされます。リンクに障害が発生した場合、テイクオーバーが引き起こされま

す。設定されたインタフェースが常に接続されている訳ではない場合(管理インタフェースなど)、こ

のインタフェースのHAリンクモニタリングは無効にしてください。無効にしないと、すべてのHAリン

クのステータスが「未接続(UNLINKED)」のままになります。HA リンクモニタリングを無効にするに

は、各インタフェースカードの 編 集 ボタンをクリックして、表示されるNIC パラメータの編 集 ダイアロ

グウィンドウで設定を変更します。 保 存 をクリックして変更を保存します。

仮 想 MACの設 定 :デバイスのMACアドレスを変更できると便利な場合があります。たとえば、ISP

によっては、モデムに接続されているデバイスに変更があった場合にこのモデムをリセットし、デバ

イスのMACアドレスをリセットする必要があります。MACアドレスを前のデバイスの値に設定する

ことで、モデムのリセットを回避することができます。

は、UTMデバイスのオリジナルの MAC アドレスを上書きするのではなく、仮想 MAC アドレスを設

定します。これを行うには、該当するインタフェースカードの 編 集 ボタンをクリックします。表示され

NIC パラメータの編 集 ダイアログウィンドウで、仮 想 MAC の設 定 チェックボックスにチェックを

入れ、有効な MAC アドレスを入力します。 保 存 をクリックして変更を保存します。

オリジナルの MAC アドレスに復元するには、該当するインタフェースカードの 編 集 ボタンをクリック

します。表示されるNIC パラメータの編 集 ダイアログウィンドウで、仮 想 MAC の設 定 チェックボッ

クスのチェックを外します。 保 存 をクリックして変更を保存します。

6.2 サービス品質 QoS

一般的に、

サービス品 質 (QoS)とは、選択されたネットワークトラフィックにより良いサービスを提

供する制御メカニズムを示し、特に、保証された帯域幅という点で優先することを意味します。

Sophos UTMでは、優先トラフィックは、QoSタブで設定します。この設定では、ネットワークの 2点

178 UTM 9 WebAdmin

6 インタフェースとルーティング 6.2 サービス品質(QoS)

間を通過する特定タイプの送信ネットワークトラフィックに対し、保証された帯域幅を確保できます

が、一方で、受信トラフィックのシェーピングは SFQ ( 確 率 的 不 偏 キューイング) あるいは RED (ラン

ダム初 期 検 知 ) などのさまざまなテクニックによって内部的に最適化されます。

6.2.1 ステータス

QoS > ステータスタブには、QoSを設定できるインタフェースがリストされます。デフォルトでは、QoS

は各インタフェースに対して無効になっています。

インタフェースに対してQoSを設定するには、次の手順に従います。

1. 各インターフェースの 編 集 ボタンをクリックします。

インターフェースの編 集 ダイアログボックスが開きます。

2. 次の設定を行います。

ダウンリンクkbit//アップリンクkbit/秒 :ISPによって提供されるアップリンクとダウンリンク

の帯域幅(Kbps)を入力します。たとえば、アップリンクとダウンリンクの両方に5Mビット/秒

(Mbps)のインターネット接続を設定するには、5120と入力します。

帯域幅が変動する場合は、ISPが保証した最低の値を入力します。たとえば、アップリンク

とダウンリンクの両方に0.8Mビット/秒(Mbps)の変動のある5Mビット/秒(Mbps)のインター

ネット接続を使用する場合は、4300Kビット/秒(Kbps)と入力します。利用できる帯域幅が一

時的に設定した最低保証値より高くなると、ゲートウェイは新しい帯域幅を考慮して予想し

て、優先トラフィックの帯域幅のパーセンテージが同様に高くなるようにしますが、これは残

念ながら、その反対には作用しません。

アップリンクを制 限 :このオプションを選択すると、QoS機能は、設定されたダウンリンクとアッ

プリンクの帯域幅を、このインタフェースを通過するトラフィックを優先順位付けするための

計算ベースとして使用します。デフォルトでは アップリンクを制 限 オプションは選択されてお

り、以下のインタフェースタイプに使用されます。 l

イーサネットスタティックインタフェース(ゲートウェイとインターネット間にルータが配

備され、ルータが提供する帯域幅がわかっているもの) l

標準VLANインタフェース(ゲートウェイとインターネット間にルータが配備され、ルータ

が提供する帯域幅がわかっているもの) l

DSL(PPPoE) l

DSL(PPPoA) l

モデム(PPP)

UTM 9 WebAdmin 179

6.2 サービス品質(QoS) 6 インタフェースとルーティング

トラフィックシェーピングの計算ベースがインタフェースの最大速度で決定されるインタ

フェースの アップリンクを制 限 チェックボックスからチェックを外します。ただし、これは以下

のインタフェースタイプにのみ適用されます。 l

イーサネットスタティックインタフェース(インターネットに直接接続) l

イーサネットVLANインタフェース(インターネットに直接接続) l

イーサネットDHCP

特定のアップリンク制限が指定されていないインタフェースでは、QoS機能が全トラフィック

を均等にシェーピングします。たとえば、イーサネットDHCPインタフェース上のVoIPトラフィッ

クに512Kビット/秒(Kbps)を設定した場合に、利用できる帯域幅が半分になったときは、

256Kビット/秒がこのトラフィックに使用されます(比例シェーピングは、固定最大制限に依

存するインタフェースと対照的に、双方向に機能することに注意してください)。

ダウンロードイコライザ:有効にすると、 確 率 的 不 偏 キューイング(SFQ)およびランダム初 期

検 知 (RED)キューアルゴリズムがネットワークの輻輳を回避します。設定したダウンリンク

速度に達すると、ストリームを使用するほとんどのダウンリンクのパケットはドロップします。

アップロードオプティマイザ:有効にすると、送信TCP接続の確立(SYNフラグが設定された

TCPパケット)、TCP接続のACK(確認応答)パケット(ACKフラグが設定され、パケット長が

40~60バイトのTCPパケット)、およびDNSルックアップ(ポート53上のUDPパケット)が自動

的に優先されます。

3.

保 存 をクリックします。

設定が保存されます。

4. インターフェースに対してQoSを有効にします。

インタフェースのトグルスイッチをクリックします。

トグルスイッチが緑色に変わります。

6.2.2 トラフィックセレクタ

トラフィックセレクタは、QoSが扱う特定タイプのネットワークトラフィックを記述したQoSの定義と見

なすことができます。これらの定義は、後で帯域幅プール定義の中で使用されます。帯域幅プー

ル定義では、帯域幅全体の制限や特定量の最低帯域幅の保証など、QoSによるこのトラフィック

の取り扱い方法について定義できます。

トラフィックセレクタを作成するには、以下の手順に従います。

180 UTM 9 WebAdmin

6 インタフェースとルーティング 6.2 サービス品質(QoS)

1.

トラフィックセレクタタブで、新 規 トラフィックセレクタをクリックします。

トラフィックセレクタの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :このトラフィックセレクタを説明する名前を入力します。

セレクタタイプ:以下のタイプを定義できます。 l

トラフィックセレクタ:トラフィックセレクタを使用すると、トラフィックは1つのサービスま

たはサービスグループに基づいてシェーピングされます。 l

アプリケーションセレクタ:アプリケーションセレクタを使用すると、トラフィックはアプリ

ケーションに基づいてシェーピングされます。つまり、 使用するポートやサービスを問

わず、どのトラフィックがどのアプリケーションに属しているかに基づきます。 l

グループ:複数のサービスおよびアプリケーションセレクタを1つのトラフィックセレクタ

ルールにまとめることができます。グループを定義するには、単体のセレクタをいくつ

か定義している必要があります。

送 信 元 :QoSを有効にする送信元ネットワークを追加または選択します。

サービス: トラフィックセレクタのみ。QoSを有効にするネットワークサービスを追加または選

択します。事前に定義したさまざまなサービスやサービスグループから選択できます。たと

えば、固定帯域幅をVoIP接続に予約する場合は、VoIPプロトコル(SIPおよびH.323)を選択

します。

宛 先 :QoSを有効にする宛先ネットワークを追加または選択します。

ヒント定義を追加する方法は、定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義

ページで説明しています。

制 御 基 準 : アプリケーションセレクタのみ。アプリケーションタイプに基づいてトラフィックを

シェーピングするか、分類に基づくダイナミックフィルタによってコントロールするかを選択し

ます。 l

アプリケーション:トラフィックは、アプリケーションに基づいてシェーピングされます。

制 御 するアプリケーションボックスでアプリケーションを1つ以上選択します。 l

ダイナミックフィルタ:トラフィックは、カテゴリに基づいてシェーピングされます。 制 御 す

るカテゴリボックスで分類を1つ以上選択します。

UTM 9 WebAdmin 181

6.2 サービス品質(QoS) 6 インタフェースとルーティング

制 御 するアプリケーション/カテゴリ:アプリケーションセレクタのみ。フォルダアイコンをクリック

して、アプリケーション/カテゴリを選択します。ダイアログウィンドウが開きます。これについ

ては、次のセクションで詳しく説明します。

生 産 性 : ダイナミックフィルタのみ。選択した生産性スコアが反映されます。

リスク: ダイナミックフィルタのみ。選択したリスクスコアが反映されます。

一部のアプリケーションはシェーピングできません。これは、Sophos UTMの適切なオ

ペレーションのために必要です。このようなアプリケーションは、

アプリケーション選 択 ダイ

アログウィンドウのアプリケーションテーブルでチェックボックスがオフになっています。た

とえば、WebAdminTeredoSixXs (IPv6 トラフィック用)、Portal (ユーザーポータルのトラ

フィック用) などが該当します。ダイナミックフィルタを使用すると、これらのアプリケーショ

ンのシェーピングも自動的に制限されます。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

TOS/DSCP(トラフィックセレクタのセレクタタイプのみ):特殊なケースでは、送信元、宛先、

およびサービスだけでなく、IPヘッダのTOSまたはDSCP フラグによって、QoSが処理するト

ラフィックを区別することが有益になります。 l

オフ: このデフォルトオプションでは、上で選択した送信元、サービス、および宛先と

一致するすべてのトラフィックがQoSにより処理されます。 l

TOSビット:QoSが処理するトラフィックを特定のTOS(サービスタイプ)ビット設定のIP

パケットに制限する場合は、このオプションを選択します。以下の設定から選択でき

ます。 l

通常サービス l

金額的コストの最小化 l

信頼性の最大化 l

スループットの最大化 l

遅延の最小化 l

DSCPビット:QoSが処理するトラフィックを特定のDSCP(差別化サービスコードポイ

ント)ビット設定のIPパケットに制限する場合は、このオプションを選択します。単一の

DSCP 値 (0~63 の整数) を指定するか、またはDSCP クラスリストから事前に定義し

た値を選択できます (BE default dscp (000000)など)。

182 UTM 9 WebAdmin

6 インタフェースとルーティング 6.2 サービス品質(QoS)

送 受 信 データ量 :接続によってそれまでに送信されたバイト量に基づいてトラフィックセレ

クタを一致させる場合は、このチェックボックスにチェックを入れます。この機能を使用する

と、通常のHTTPトラフィックを制限することなく、大規模なHTTPアップロードの帯域幅を制

限することなどができます。 l

送 受 信 : 特定のトラフィック量を超過する接続のみのトラフィックセレクタを定義する

場合は、ドロップダウンリストから

次 の値 より大 を選択します。特定の量を下回る接

続のトラフィックセレクタを定義する場合は、

次 の値 より小 を選択します。 l

キロバイト:トラフィック量のしきい値を入力します。

ヘルパ:一部のサービスは、データ転送で動的ポート範囲を使用します。それぞれの接続

について、使用するポートは制御チャネル経由でエンドポイント間でネゴシエートされます。

UTMは、特別なコネクショントラッキングヘルパを使用して、制御チャネルをモニタリングし、

どの動的ポートが現在使用されているかを判断します。動的ポート経由で送信されたトラ

フィックをトラフィックセレクタに含める場合は、上部の サービスボックスで任 意 を選択し、ヘ

ルパードロップダウンリストから適切なサービスを選択します。

4.

保 存 をクリックします。

新しいセレクタが

トラフィックセレクタリストに表示されます。

多くのトラフィックセレクタを定義した場合は、1つのトラフィックセレクタグループに複数のセレクタ

をまとめることで、より便利に使用することが可能になります。

このトラフィックセレクタまたはトラフィックセレクタグループは、それぞれの帯域幅プールで使用で

きます。これらのプールは 帯 域 幅 プールタブで定義できます。

アプリケーションまたはカテゴリの選 択 ダイアログウィンドウ

アプリケーションコントロールルールを作成する際は、 管 理 するアプリケーション(カテゴリ) 1つ以

上 選 択 してくださいというダイアログウィンドウからアプリケーションまたはアプリケーションカテゴリ

を選択する必要があります。

ダイアログウィンドウの下部に表示されるテーブルには、選択可能なアプリケーションまたは定義

したカテゴリに属するアプリケーションが表示されます。デフォルトでは、すべてのアプリケーション

が表示されます。

ダイアログウィンドウの上部には、テーブルに表示されるアプリケーション数を制限するための3つ

の設定オプションがあります。 l

カテゴリ:アプリケーションはカテゴリ別にグループ分けされています。このリストには、利用

可能なすべてのカテゴリが表示されます。デフォルトでは、すべてのカテゴリが選択されて

います。つまり、下部に表示されるテーブルには、利用可能なすべてのアプリケーションが

UTM 9 WebAdmin 183

6.2 サービス品質(QoS) 6 インタフェースとルーティング

表示されます。表示されるアプリケーションを特定のカテゴリに絞り込むには、クリックしてカ

テゴリリストを開き、1つ以上のカテゴリを選択します。 l

生 産 性 :アプリケーションは、生産性への影響(つまり生産性にこのアプリケーションが与

える影響の度合い)によっても分類されています。例:一般的なビジネスソフトウェアの

Salesforceのスコアは5です。つまり、これを使用することで生産性が向上します。一方、オン

ラインゲームのFarmvilleのスコアは1で、これを使用すると生産性が低下します。ネットワー

クサービスDNSのスコアは3で、生産性への影響は中立的です。 l

リスク:アプリケーションは、使用時のリスク(マルウェア、ウイルス感染、攻撃)によっても分

類されています。数値が高いほど、リスクも高くなります。

ヒントそれぞれのアプリケーションには情報アイコンがあり、クリックすると各アプリケーション

の説明が表示されます。テーブルヘッダのフィルタフィールドを使用して、テーブル内を検索する

ことができます。

次に、 新 規 トラフィックセレクタの作 成 ダイアログボックスで選択したコントロールのタイプに応じ

て、以下を行います。 l

ダイナミックフィルタでコントロールする場合: カテゴリボックスでカテゴリを選択し、適 用 をク

リックして、選択したカテゴリをルールに適用します。 l

アプリケーションでコントロールする場合:テーブルで、アプリケーションの前のチェックボック

スをクリックし、コントロール対象のアプリケーションを選択します。 適 用 をクリックして、選択

したアプリケーションをルールに適用します。

適 用 をクリックするとダイアログウィンドウが閉じ、トラフィックセレクタルールの設定の編集を続け

ることができます。

6.2.3 帯 域 幅 プール

QoS > 帯 域 幅 プールタブで、帯域幅を管理するための帯域幅プールを定義して管理できます。帯

域幅プールでは、特定の送信トラフィックタイプに対して保証された帯域幅を確保し、オプション

で、最大帯域幅制限によって制限します。

帯域幅プールを作成するには、以下の手順に従います。

1.

帯 域 幅 プールタブで、インタフェースを選択します。

インタフェースに関 連 付 けドロップダウンリストから、帯域幅プールを作成するインタフェース

を選択します。

2.

新 規 帯 域 幅 プールをクリックします。

184 UTM 9 WebAdmin

6 インタフェースとルーティング 6.2 サービス品質(QoS)

帯 域 幅 プールの追 加 ダイアログボックスが開きます。

3. 次の設定を行います。

名 前 :この帯域幅プールを説明する名前を入力します。

位 置 :位置番号。これによって帯域幅プールの優先順位が定義されます。番号が小さいほ

ど優先順位が高くなります。帯域幅プールは昇順に照合されます。ある帯域幅プールが一

致すると、それ以降、それより大きい番号の帯域幅プールは評価されません。より具体的

な帯域幅プールをリストの上部に配置して、曖昧な帯域幅プールが最後に照合されるよう

にします。たとえば、一般的なWebトラフィック(HTTP)と特定ホストへのWebトラフィックにト

ラフィックセレクタを設定した場合は、帯域幅プールリストの最上部に後者のトラフィックセ

レクタを使用する帯域幅プールを配置します(つまり、位置1をそれに選択します)。

帯 域 幅 :この帯域幅プール用に予約するアップリンク帯域幅をKビット単位で入力します。

たとえば、特定タイプのトラフィックに1Mビット/秒(Mbps)を予約する場合は、1024と入力し

ます。

帯域幅プールに割り当てられるのは、利用可能な全帯域幅の90 %までです。ゲート

ウェイは常に帯域幅の10 %をいわゆるシェーピングされていないトラフィック用に予約しま

す。上記の例で言えば、アップリンクのインターネット接続が5Mビット/秒(Mbps)で、VoIPト

ラフィックにできるだけ多くの帯域幅を割り当てたい場合は、最大4608Kビット/秒(Kbps)を

入力できます。

帯 域 幅 の上 限 を指 定 :上記の 帯 域 幅 フィールドに入力した値は、特定の種類のトラフィッ

ク用に予約される保証された帯域幅を示します。しかし、帯域幅プールは通常、可能であ

れば、そのトラフィック用により多くの帯域幅を割り当てます。特定のトラフィックが一定量

以上の帯域幅を使用しないようにしたい場合は、このオプションを選択して、この帯域幅

プールによって使用される帯域幅の割り当てを上限値に制限します。

トラフィックセレクタ:この帯域幅プールに使用するトラフィックセレクタを選択します。

コメント(オプション):説明などの情報を追加します。

4.

保 存 をクリックします。

新しい帯域幅プールが

帯 域 幅 プールリストに表示されます。

5.

ルールを有効にします。

新しいルールはデフォルトで無効になっています (トグルスイッチはグレー表示)。ルールを

有効にするには、トグルスイッチをクリックします。これでルールが有効になります (トグルス

イッチは緑色)。

帯域幅プールを編集または削除するには、対応するボタンをクリックします。

UTM 9 WebAdmin 185

6.2 サービス品質(QoS) 6 インタフェースとルーティング

6.2.4 ダウンロード帯 域 幅 調 整

QoS > ダウンロード帯 域 幅 調 整 タブで、受信トラフィックの帯域幅を調整するルールを定義して管

理できます。設定したしきい値より速くパケットが送信される場合、過剰なパケットはファイア

ウォールルールのログファイルにリストされることなく、ただちにドロップされます。TCP輻輳回避メ

カニズムの結果として、影響を受ける送信者は、ドロップされたパケットに応じて送信率を下げる必

要があります。

ダウンロード帯域幅調整ルールを作成するには、次の手順に従います。

1.

ダウンロード帯 域 幅 調 整 タブで、インタフェースを選択します。

インタフェースに関 連 付 けドロップダウンリストから、ダウンロード帯域幅調整を作成するイン

タフェースを選択します。

2.

新 規 ダウンロード帯 域 幅 調 整 ルールをクリックします。

帯 域 幅 調 整 ルールの追 加 ダイアログボックスが開きます。

3. 次の設定を行います。

名 前 :このダウンロード帯域幅調整ルールを説明する名前を入力してください。

優 先 順 位 :ルールの優先順位を定義する位置番号。番号が小さいほど優先順位が高くな

ります。ルールは昇順に照合されます。あるルールが一致すると、それ以降、それより大き

い番号のルールは評価されません。より具体的な帯域幅ルールをリストの上部に配置し

て、曖昧な帯域幅ルールが最後に照合されるようにします。

限 度 kbit/s :特定のトラフィックの上限(単位はKbit)です。,たとえば、特定タイプのトラ

フィックで1Mビット/秒(Mbps)を予約する場合は、1024と入力します。

制 限 :上で指定した制限を適用するべきトラフィックの送信元および宛先の組み合わせ。 l

共 有 :制限は、既存のすべての接続に渡って等しく分配されます。つまり、このルー

ルによって指定されたトラフィックの総合ダウンロード速度は、特定の値に制限され

ます。 l

それぞれの送 信 元 アドレス:制限は、それぞれの特定の送信元アドレスに適用され

ます。 l

それぞれの宛 先 アドレス:制限は、それぞれの特定の宛先アドレスに適用されます。 l

それぞれの送 信 元 /宛 先 :制限は、それぞれの特定のペアの送信元アドレスおよび

宛先アドレスに適用されます。

186 UTM 9 WebAdmin

6 インタフェースとルーティング 6.2 サービス品質(QoS)

トラフィックセレクタ:ダウンロード速度を調整したいトラフィックセレクタを選択します。選択し

たトラフィックセレクタの間で、指定した制限が配分されます。

コメント(オプション):説明などの情報を追加します。

4.

保 存 をクリックします。

新しいダウンロード帯域幅調整ルールが ダウンロード帯 域 幅 調 整 リストに表示されます。

5.

ルールを有効にします。

新しいルールはデフォルトで無効になっています (トグルスイッチはグレー表示)。ルールを

有効にするには、トグルスイッチをクリックします。これでルールが有効になります (トグルス

イッチは緑色)。

ルールを編集または削除するには、対応するボタンをクリックします。

6.2.5 詳 細

カプセル化 の後 も分 類 を維 持 する

カプセル化後にパケットが他のトラフィックセレクタが一致しない場合に、元のサービスのトラフィッ

クセレクタと引き続き一致することを確認する場合は、このチェックボックスにチェックを入れます。

トラフィックセレクタへのカプセル化されたIP パケットの割り当ては、次のように機能します。

1. 元のIPパケットを与えられた順序で既存のトラフィックセレクタと比較します。パケットが最

初に一致するトラフィックセレクタに割り当てられます( 内部 -> HTTP -> 任意など)。

2. IPパケットがカプセル化され、サービスが変更されます(IPsecなどへ)。

3. カプセル化したパケットを与えられた順序で既存のトラフィックセレクタと比較します。パケッ

トが最初に一致するトラフィックセレクタに割り当てられます(内部 -> IPsec -> 任意など)。

4. 一致するトラフィックセレクタがない場合の割り当ては、

カプセル化 後 もクラシフィケーション

を保 持 オプションに依存します。 l

このオプションが選択されている場合、カプセル化したパケットが手順1で検出したト

ラフィックセレクタに割り当てられます。 l

このオプションが選択されていない場合、カプセル化したパケットはトラフィックセレク

タに割り当てられないため、帯域幅プールの一部にすることができません。

明 示 的 な輻 輳 通 知

ECN サポート

ECN(明示的な輻輳通知)とはインターネットプロトコルの拡張であり、ネットワーク輻輳のエンド

ツーエンドな通知をパケットのドロップなしで許可します。ECNは、接続の両エンドポイントの間で

使用のネゴシエートが成功している場合にのみ機能します。このチェックボックスにチェックを入れ

UTM 9 WebAdmin 187

6.3 アップリンクモニタリング 6 インタフェースとルーティング

ると、UTMは、ECN使用の意向を伝える情報を送信します。他のエンドポイントが合意すると、エン

ドポイントがECN情報を交換します。下位のネットワークと関与するルータもECNをサポートしてい

る必要があります。

6.3 アップリンクモニタリング

インタフェース& ルーティング> アップリンクモニタリングメニューでは、アップリンク接続をモニタリン

グ(監視)し、接続ステータスが変化したときに自動的に適用するアクションを定義することができ

ます。

たとえば、別のリンクを使用してバックアップVPNトンネルを自動的にオンにしたり、エイリアスIPア

ドレスを無効にしてモニタリングサービスをトリガすることができます。

6.3.1 グローバル

アップリンクモニタリング> グローバルタブで、アップリンクのモニタリングを有効または無効にできま

す。

アップリンクモニタリングを有効にするには、トグルスイッチをクリックします。

トグルスイッチが緑色に変わります。

アップリンクのモニタリングが有効であれば、

アップリンクステータスセクションに、すべての現在の

アップリンクインタフェースとその状態が表示されます: l

オンライン:アップリンク接続が確立され、機能しています。 l

オフライン:モニタリングによれば、アップリンク接続が不良である。 l

ダウン:アップリンクインタフェースが管理上無効であるか、ダイナミックインタフェースであれ

ば、リモート PPPまたはDHCP サーバが動作していない。 l

スタンバイ:インタフェースは、インタフェース> アップリンクバランスタブでスタンバイインタ

フェースとして定義され、現在は使用されていない。

アップリンクバランスが有効であれば、アップリンクモニタリングが無効であっても、アップリ

ンクは常にモニターされます。したがって、アップリンクモニタリングが無効であっても、アップリン

クバランスが有効であれば、このページにアップリンクインタフェースが表示されます。この場

合、モニタリング設定を インタフェース> アップリンクバランスタブで変更できます。

188 UTM 9 WebAdmin

6 インタフェースとルーティング 6.3 アップリンクモニタリング

6.3.2 アクション

インタフェース& ルーティング> アップリンクモニタリング> アクションタブで、アップリンクの接続ステー

タスが変更になった場合に自動的に適用するアクションを定義できます。たとえば、アップリンク接

続がダウンした場合は追加アドレスを無効にすることができます。

新しいアクションを作成するには、以下の手順に従います。

1.

アクションタブで、新 規 アクションをクリックします。

アップリンクオフライン時 の新 規 アクションの作 成 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :アクションを説明する名前を入力します。

タイプ:アクションを定義する接続タイプを選択します。 l

IPsecトンネル:IPsecトンネルに対するアクションを定義する場合は、ドロップダウン

リストからこのオプションを選択します。 l

追 加 アドレス:追加アドレスに対するアクションを定義する場合は、ドロップダウンリ

ストからこのオプションを選択します。

IPsecトンネル:(IPsecトンネルタイプにのみ利用可)IPsecトンネルを定義している場合は、

ここでそれらのいずれかを選択できます。IPsecトンネルに関する詳細は、 リモートアクセス>

IPsec

の章を参照してください。

追 加 アドレス:( 追 加 アドレスタイプでのみ利用可能)追加アドレスを定義する場合、ここで

いずれかのオプションを選択します。追加アドレスに関する詳細は、 インタフェース& ルー

ティング> インタフェース>

追 加 アドレス

の章を参照してください。

アクション:ここで 有 効 または無 効 のいずれかを選択できます。つまり、アップリンクが中断

した場合は、上記で選択したIPsecトンネルや追加アドレスが有効または無効になるように

設定します。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

アクションは保存され、アップリンクの接続が中断すると適用されます。

アクションを編集または削除するには、対応するボタンをクリックします。

UTM 9 WebAdmin 189

6.3 アップリンクモニタリング 6 インタフェースとルーティング

6.3.3 詳 細

アップリンクモニタリング> 詳 細 タブで、アップリンク接続の自動モニタリングを無効にしたり、モニタ

リング(監視)に使用する1つ以上のホストを定義できます。

デフォルトでは、インタフェース障害の可能性を検出するために 自 動 モニタリングが有効になって

います。つまり、すべてのアップリンク バランシング インタフェースからインターネット上の特定のホ

ストに 15秒間隔で接続することにより、それらのインタフェースの状態 (健全性) がモニタリングされ

ます。デフォルトでは、ホストのモニタリングは、1つのルート DNS サーバーまでのルート上にある、 ping を許可する 3番目のホップです。なお、ユーザーはサーバープールをモニタリングするためのホ

ストを自分で定義することができます。これらのホストには、ping 以外の別のサービスを選択し、モ

ニタリング間隔とタイムアウトを変更できます。

各モニタリングホストには、一定期間接続を試み、いずれにも到達できない場合は、アップリンク

接続はダウンしていると判断されます。その後、 アクションタブで定義したアクションが実行されま

す。

同じモニタリング設定が、アップリンクモニタリング (アップリンクモニタリング> 詳 細 ) とアップ

リンクバランス ( インターフェースアップリンクバランス) に対して使用されます。

モニタリングにお客様のホストを使用するには、以下の手順に従います。

1.

自 動 モニタリングチェックボックスのチェックを外します。

モニタリングホストボックスが編集可能になります。

2. モニタリングホストを追加します。

任意のホストを使用する代わりに、モニタリングに使用するホストを1つ以上選択または追

加します。 複数のホストでインタフェースをモニタリングする場合、定義された時間内にすべ

てのモニタリングホストが応答しない場合にのみ、インタフェースがデッドとみなされます。

定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明

しています。

選択したホストがインタフェースに関連付けられている場合は、このインタフェースの

モニタリングのみに使用されます。ホストがインタフェースに関連付けられていない場合

は、すべてのインタフェースのモニタリングに使用されます。選択したホストによりカバーさ

れていないインタフェースは、自動モニタリングによりモニタリングされます。

190 UTM 9 WebAdmin

6 インタフェースとルーティング 6.4 IPv6

ボックスのヘッダにあるモニタリング設定アイコンをクリックして、モニタリングの詳細を設定

します:

モニタリングタイプ:モニターチェックのサービスプロトコルを選択します。モニタリング用に

TCP(TCP接続の確立)、UDP(UDP接続の確立)、Ping(ICMP Ping)、HTTPホスト HTTP

Host (HTTP要求)、またはHTTPSホスト HTTPS Hosts (HTTPS要求)のいずれかを選

択します。UDPを使用する場合、ping要求が最初に送信され、成功した場合は、続いてペイ

ロード0のUDP パケットが送信されます。pingが成功しなかった場合や、ICMPポートに到達

できない場合、この接続はダウンしているとみなされます。

ポート(TCP およびUDPのモニタリングタイプのみ): 要求の送信先のポート番号。

URL(オプション、HTTP/Sホストのモニタリングタイプのみ): 要求するURL。URLにポート情

報を追加することで、デフォルトポートの80または443以外のポートを使用することもできま

す。例、http://example.domain:8080/index.html。URLを指定しない場合は、ルー

トディレクトリが要求されます。

間 隔 :ホストをチェックする間隔を秒単位で入力します。

タイムアウト:モニタリングホストが応答を送信する最大時間を秒単位で入力します。インタ

フェースのすべてのモニタリングホストがこの時間内に応答しない場合、インタフェースが

デッドとみなされます。

3.

適 用 をクリックします。

設定が保存されます。

6.4 IPv6

Sophos UTMは、バージョン8より、IPv4の後継であるIPv6をサポートしています。

UTMの以下の機能は、IPv6を完全にまたは部分的にサポートします。 l

WebAdminおよびユーザポータルへのアクセス l

SSH l

NTP l

SNMP l

SLAAC(ステートレスアドレス自動設定)およびDHCPv6クライアントはすべての動的インタ

フェースタイプをサポートしています。 l

DNS

UTM 9 WebAdmin 191

6.4 IPv6 6 インタフェースとルーティング l

DHCPサーバ l

BGP l

OSPF l

IPS l

ファイアウォール l

NAT l

ICMP l

サーバロードバランシング l

Webフィルタ l

アプリケーションコントロール l

WAF l

SMTP l

IPsec(サイト間のみ) l

Syslogサーバ

6.4.1 グローバル

IPv6 > グローバルタブでは、Sophos UTMのIPv6サポートを有効にすることができます。さらに、これ

を有効にすると、IPv6の情報(ステータス情報やプレフィックス委任情報など)がここに表示されま

す。

IPv6サポートはデフォルトでは無効になっています。IPv6を有効にするには、次の手順に従いま

す。

1.

グローバルタブで、IPv6を有効にします。

トグルスイッチをクリックします。

トグルスイッチが緑色に変わります。 以前にIPv6を有効化または設定したことがない場合

は、 接 続 エリアになしと表示されます。

IPv6を有効にすると、複数のネットワークや、WebAdminでIPv6を明示的に参照しているその他の

オブジェクト定義が表示されます。これらは、IPv4オブジェクトと同様に使用することができます。

192 UTM 9 WebAdmin

6 インタフェースとルーティング 6.4 IPv6

IPv6を有効にすると、ネットワークオブジェクトなどのアイコンに、該当オブジェクトがIPv6オ

ブジェクトかIPv4オブジェクトか(あるいはその両方か)を示すマークが追加で表示されます。

6.4.2 プレフィックス広 告

IPv6 > プレフィックス広 告 タブでは、Sophos UTMを設定して、クライアントにIPv6アドレスプレフィック

スを割り当てて、クライアントが自力でIPv6アドレスを選択できるように設定することができます。プ

レフィックス広告(またはルータ通知)とは、IPv6の機能の1つであり、ルータ(この場合UTM)がIPv4

におけるDHCPサーバと同じように機能します。ただし、ルータはクライアントにIPを直接割り当て

ません。代わりに、IPv6ネットワーク内のクライアントは、ルータとのプライマリ通信のためにいわ

ゆるリンクローカルアドレスを自らに割り当てます。続いて、ルータがクライアントにネットワークセ

グメントのプレフィックスを伝えます。その後、クライアントはプレフィックスと自らのMACアドレスか

ら成るIPアドレスを生成します。

新しいプレフィックスを作成するには、次の手順に従います。

1.

プレフィックス広 告 タブで、新 規 プレフィックスをクリックします。

プレフィックスの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

インタフェース:64ビットのネットマスクが設定されたIPv6アドレスを持つインタフェースを選択

します。

DNSサーバ1/2(オプション):DNSサーバのIPv6アドレス。

ドメイン(オプション):クライアントに送信されるドメイン名を入力します

(例:intranet.example.com)。

有 効 期 間 :プレフィックスが有効となる期間。デフォルトは30日間です。

推 奨 期 間 :この期間を超過すると、推奨されるライフタイムがまだ満了していない他のプレ

フィックスがクライアントに選択されます。デフォルトは7日間です。

3. 次の詳細設定を任意で行います。

ステートレス統 合 サーバ:このオプションはデフォルトで選択されています。プレフィックス広

告を作成すると、DHCPv6サーバが自動的に起動されます。このDHCPv6設定は非表示で

あり、DHCP設定メニューでの表示や編集はできません。

マネージド ステートフル :このオプションは、 ステートレス統 合 サーバが選択されている場

合には利用できません。これにより、プレフィックス広告を有する同じインタフェース内で、ス

UTM 9 WebAdmin 193

6.4 IPv6 6 インタフェースとルーティング

テートフルDHCPv6サーバを起動できます。DHCPv6サーバは、 ネットワークサービス>

DHCP > サーバタブで設定できます。

その他 の設 定 :このオプションは、 ステートレス統 合 サーバが選択されている場合には利用

できません。これにより、所与のプレフィックスに対して所与のDNSサーバとドメイン名が

DHCPv6経由で追加でアナウンスされます。現時点では、プレフィックス広告からDNS情報

をフェッチできるクライアントは少ないため、この機能が役に立つます( RFC 5006 / RFC

6106 )。

4.

保 存 をクリックします。

新しいプレフィックス設定が プレフィックス広 告 リストに表示されます。

6.4.3 再 割 り当 て

IPv6 > 再 割 り当 てタブで、プレフィックス変更の場合にIPv6 アドレスの自動再割り当てをUTMに管

理させることができます。さらに、IPv6アドレスを手動で再割り当てすることができます。

以下のIPv6アドレスが変更されます: l

ホスト、ネットワーク、レンジの定義 l

プライマリおよびセカンダリ インターフェース アドレス l

DHCPv6 サーバ範囲とマッピング l

DNS マッピング

トンネルブローカが提供するIPv6プレフィックスは再割り当てされません。

自 動

IPv6再 割 り当 て

デフォルトでは、UTM によって管理されているIPv6 アドレスは、IPv6プレフィックス変更の際に自

動再割り当てされます。プレフィックス変更は、DHCPv6プレフィックス委任によるISPで開始されま

す。再割り当てを無効にするには、チェックボックスのチェックを外し、 適 用 をクリックします。

手 動

IPv6再 割 り当 て

UTMによって管理されているIPv6アドレスを手動で再割り当てすることができます。これは、ISPを

変更する場合に便利であり、新しいプロバイダは、DHCPv6で自動的に割り当てる代わりに、新し

いIPv6プレフィックスをスタティックに割り当てることができます。

1. 再割り当てするIPv6アドレスの現在のプレフィックスを指定します。

古 いプレフィックスフィールドにプレフィックスを入力します。

2. 新しいプレフィックスを指定します。

194 UTM 9 WebAdmin

6 インタフェースとルーティング 6.4 IPv6

新 しいプレフィックスフィールドにプレフィックスを入力します。

3.

適 用 をクリックします。

定義された現在のプレフィックスを持つIPv6アドレスが、すべて新しいプレフィックスで再割

り当てされます。

6.4.4 6to4

IPv6 > 6to4タブでは、既存のIPv4ネットワーク上でIPv6アドレスを自動的にトンネリングするように

Sophos UTMを設定することができます。6to4を使用すると、各IPv4アドレスに、マッピング先のIPv6

ネットワークから/48プレフィックスが付加されます。生成されるIPv6アドレスは、プレフィックス

2002と16進表記のIPv4アドレスから構成されます。

6to4を有効にするかトンネルブローカを使用するかのいずれかを選択できます。

特定のインタフェースのIPアドレストンネリングを有効にするには、次の手順に従います。

1. 6to4タブで6to4を有効化します。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、6to4エリアと詳 細 エリアが編集可能になります。

2. インタフェースを選択します。

インタフェースドロップダウンリストから、パブリックIPv6アドレスが設定されているインタ

フェースを選択します。

3.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わり、インタフェースのステータスが グローバルタブに表示されま

す。

詳 細

サーバアドレスを変更して、別の6to4リレーサーバを使用することができます。使用するには、サー

バアドレスを入力し適 用 をクリックして、設定を保存します。

6.4.5 トンネルブローカー

IPv6 > トンネルブローカータブでは、トンネルブローカの使用を有効にすることができます。トンネル

ブローカーは一部のISPが提供するサービスであり、これを利用するとIPv6アドレスを使用してイン

UTM 9 WebAdmin 195

6.4 IPv6 6 インタフェースとルーティング

ターネットにアクセスできます。

6to4を有効にするかトンネルブローカーを使用するかのいずれかを選択できます。

Sophos UTMは、次のトンネルブローカーをサポートします。 l

Teredo(匿名のみ) l

Freenet6( GoGo6 )(匿名またはユーザアカウント使用) l

SixXS (ユーザアカウントが必要) l

Hurricane Electric (ユーザアカウントが必要)

トンネルブローカーを使用するには、次の手順に従います。

1.

トンネルブローカータブで、トンネルブローカの使用を有効にします。

トグルスイッチをクリックします。

トグルスイッチが緑色になり、 トンネルブローカーエリアと詳 細 エリアが編集可能になりま

す。Teredoの匿名認証を使用すると、トンネルブローカーはすぐに有効になります。接続ス

テータスが

グローバルタブに表示されます。

SixXSトンネルを使用してIPv6接続が失われた場合、SixXSトンネルは自動的に再起動されませ

ん。この場合は、 ログとレポート> ログファイルの閲 覧 > 今 日 のログファイルに表示されているログ

ファイルをチェックします。

トンネルブローカー

デフォルトのトンネルブローカー設定を変更できます。

認 証 :ドロップダウンリストから認証方法を選択します。 l

匿 名 :この方法を使用すると、各ブローカにユーザアカウントを指定する必要はありませ

ん。割り当てられるIPアドレスは一時的なものです。 l

ユーザ:各ブローカに登録して、ユーザアカウントを取得する必要があります。

ブローカ:ドロップダウンリストから他のブローカを選択できます。

ユーザ名 ( ユーザのみで使用可能):各ブローカにユーザ名を指定します。

パスワード( ユーザのみで使用可能):ユーザ名のパスワードを入力します。

設定を保存するには 適 用 をクリックします。

詳 細

ここでは、選択したトンネルブローカーに対して他のサーバアドレスを指定できます。

196 UTM 9 WebAdmin

6 インタフェースとルーティング

設定を保存するには 適 用 をクリックします。

6.5 スタティックルート

6.5 スタティックルート

ネットワークに接続されたすべてのコンピュータは、ルーティングテーブルを使用して、発信した

データパケットを宛先に届くように送信するためのパスを決定します。たとえば、ルーティングテーブ

ルには、宛先アドレスがローカルネットワーク上にあるか、またはデータパケットをルータに転送す

るべきかどうか、といった情報が含まれています。ルータを使用する場合は、テーブルには、どの

ルータをどのネットワークに使用するかという情報が含まれます。

Sophos UTMのルーティングテーブルには、標準スタティックルートとポリシールートという2種類の

ルートを追加できます。スタティックルートでは、ルーティングターゲットはパケットの宛先アドレスだ

けで決定されます。ポリシールートでは、送信元インタフェース、送信元アドレス、サービス、あるい

は宛先アドレスに基づいてルーティングを決定できます。

UTM のインタフェースに接続されたネットワークに対して、追加ルートを設定する必要はあ

りません。また、デフォルトルートも設定する必要はありません。これらのルートはシステムが自

動的に追加します。

6.5.1 標 準 スタティックルート

システムに直接接続されたネットワークについては、システムがルーティングエントリをルーティン

グテーブルに自動的に挿入します。特定ネットワーク経由でアクセスする追加ルータを使用する場

合は、エントリを手動で入力する必要があります。直接接続されていないネットワークへのルート

で、コマンドまたは設定ファイルを使ってルーティングテーブルに挿入されるものをスタティックルー

トと呼んでいます。

標準スタティックルートを追加するには、以下の手順に従います。

1.

標 準 スタティックルートタブで、新 規 スタティックルートをクリックします。

スタティックルートを追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

ルートタイプ:次のルートタイプを使用できます。 l

インタフェースルート:パケットは特定のインタフェース上で送信されます。これは2つ

の状況で役立ちます。1つ目は、ゲートウェイの IP アドレスが不明になるダイナミック

(動的) インタフェース (PPP) 上でルーティングする場合です。2番目は、直接接続され

UTM 9 WebAdmin 197

6.5 スタティックルート 6 インタフェースとルーティング

たネットワークの外側にゲートウェイがあるデフォルトルートを定義する場合です。 l

ゲートウェイルート:パケットは特定のホスト(ゲートウェイ)へ送信されます。 l

ブラックホールルート:パケットは確認なしで廃棄されます。これはOSPFまたは他の

ダイナミックアダプティブ(動的適応型の)ルーティングプロトコルでルーティングルー

プやルートフラッピングなどを回避する場合に役に立ちます。

ネットワーク:UTMがインターセプトするデータパケットの宛先ネットワークを選択します。

インタフェース:データパケットがUTMを通過するインタフェースを選択します(ルートタ イプに

インタフェースルートを選択した場合のみ使用可能)。

ゲートウェイ:UTMがデータパケットを転送するゲートウェイ/ルータを選択します(ルートタイ

プに ゲートウェイルートを選択した場合のみ使用可能)。

コメント(オプション):説明などの情報を追加します。

3. オプションで、次の詳細設定を行います。

メトリック:0~4294967295の整数でメトリック値を指定します。デフォルトは5です。メトリック

値は同じ宛先へのルートを区別して優先するために使用されます。低いメトリック値の方

が、高いメトリック値よりも優先されます。IPsecルートのメトリックは自動的に0に設定されま

す。

4.

保 存 をクリックします。

新しいルートが 標 準 スタティックルートリストに表示されます。

5. ルートを有効にします。

トグルスイッチをクリックして、ルートを有効にします。

ルートを編集または削除するには、対応するボタンをクリックします。

6.5.2 ポリシールート

ルータがデータパケットを受信すると、通常はパケットの宛先アドレスに基づいて転送先を決定し、

この宛先アドレスを使用してルーティングテーブルのエントリが検索されます。ただし、他の基準に

基づいてパケットを転送することが必要な場合もあります。ポリシベースのルーティングでは、お客

様のポリシに従ってデータパケットをフォワーディング(転送)またはルーティングできます。

ポリシルートを追加するには、以下の手順に従います。

1.

ポリシルートタブで、新 規 ポリシルートをクリックします。

ポリシールートを追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

198 UTM 9 WebAdmin

6 インタフェースとルーティング 6.5 スタティックルート

位 置 :位置番号。これによってポリシルートの優先順位が定義されます。番号が小さいほ

ど優先順位が高くなります。ルートは昇順に照合されます。あるルートが一致すると、それ

以降、それより大きい番号のルートは評価されません。

ルートタイプ:次のルートタイプを使用できます。 l

インタフェースルート:パケットは特定のインタフェース上で送信されます。これは2つ

の状況で役立ちます。1つ目は、ゲートウェイの IP アドレスが不明になるダイナミック

(動的) インタフェース (PPP) 上でルーティングする場合です。2番目は、直接接続され

たネットワークの外側にゲートウェイがあるデフォルトルートを定義する場合です。 l

ゲートウェイルート:パケットは特定のホスト(ゲートウェイ)へ送信されます。

送 信 元 インタフェース:ルーティングされるデータパケットが到着したインタフェース。 すべて

を設定すると、すべてのインタフェースが該当することになります。

送 信 元 ネットワーク:ルーティングされるデータパケットの送信元ネットワーク。 すべてを設定

すると、すべてのネットワークが該当することになります。

サービス:ルーティングされるデータパケットに一致するサービス定義。ドロップダウンリスト

には、定義済みのサービスとお客様が定義されたサービスがすべて含まれます。これらの

サービスにより、どのようなトラフィックを処理するかを精密に指定できます。 すべてを設定

すると、プロトコル、送信元、および宛先ポートのあらゆる組み合わせに一致します。

宛 先 ネットワーク:ルーティングされるデータパケットの宛先ネットワーク。 すべてを設定する

と、すべてのネットワークが該当することになります。

ターゲットインタフェース:データパケットの送信先インタフェース(ルートタイプとして

インタ

フェースルートを選択したときのみ使用可能)。

ゲートウェイ:ゲートウェイがデータパケットを転送するゲートウェイ/ルータを選択します

(ルートタイプに ゲートウェイルートを選択した場合のみ使用可能)。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいポリシが ポリシルートリストに表示されます。

4. ルートを有効にします。

トグルスイッチをクリックして、ルートを有効にします。

ルートを編集または削除するには、対応するボタンをクリックします。

UTM 9 WebAdmin 199

6.6 OSPF 6 インタフェースとルーティング

6.6 OSPF

OSPF(Open Shortest Path First)プロトコルは、リンクステート型の階層ルーティングプロトコルであ

り、大規模な自律システム(AS)ネットワーク内で主に使用されます。Sophos UTMは OSPF バージョ

ン 2 をサポートしています。他のルーティングプロトコルと比べ、OSPFはルーティングメトリックとし

てコストを使用しています。OSPF対応インタフェースのコストは、特定のインタフェース経由でパ

ケットを送信するときに必要なオーバーヘッドを示します。インタフェースのコストは、そのインタ

フェースの帯域幅に反比例します。そのため、帯域幅が大きいと、コストが小さくなります。たとえ

ば、10 Mbpsのイーサネット回線より56 Kbpsのシリアル回線の方がオーバーヘッドが増え(コストが

高くなり)、遅延時間が長くなります。

接続されたネットワークのコストの計算方法は、OSPF仕様には指定されておらず、ベンダーに任

されています。そのため、独自の計算式を定義することができます。ただし、コストがすでに定義さ

れている他のネットワークとOSPFネットワークが隣接している場合、同じ計算ベースを適用するこ

とをお勧めします。

デフォルトでは、インタフェースのコストは帯域幅に基づいて計算されます。たとえば、Cisco の場

合、10

8

をインタフェースの帯域幅 (bps) で割ってコストを計算しています。この計算式を使用する

と、10 Mbps のイーサネット回線を経由する場合のコストは 10

8

/10000000 = 10 となります。一方、

1.544 Mbps の回線 (T1) では、10

8

/1544000 = 64 となります (コストの計算では、小数点以下を切り捨

てます)。

6.6.1 グローバル

インタフェース& ルーティング> ダイナミックルーティング OSPF > グローバルタブでは、OSPFの基

本設定を行うことができます。OSPF機能を有効にする前に、OSPFエリアを1つ以上設定しておく

必要があります ( エリアタブ)。

警 告 Sophos UTMのOSPF機能を設定するためには、OSPF プロトコルを熟知している技術的

に熟練した経験豊富な管理者が必要です。ここでの設定オプションについての解説は、OSPFプ

ロトコルについて完全に理解するために十分であるとは言えません。そのため、この機能は慎重

に使用することをお勧めします。設定を誤ると、ネットワークが動作不可能になる場合がありま

す。

OSPFを設定するには、次の手順に従ってください。

200 UTM 9 WebAdmin

6 インタフェースとルーティング 6.6 OSPF

1. エリアタブで、OSPF エリアを 1つ以 上 作 成 します。

2.

グローバルタブで、OSPFを有効化します。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、 ルーターエリアが編集可能になります。

3. ルータIDを入力します。

Sophos UTMデバイスを他のOSPFルータから識別するための独自のルータIDを入力しま

す。

4.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

OSPF を無効にするには、トグルスイッチをクリックします。

6.6.2 エリア

OSPFネットワークは、複数のエリアに分割されます。エリアとは、ネットワークの残りの部分のた

めに情報をひとまとめにできるルータの論理グループです。エリアの識別名は、10進ドット表記の

32ビットIDであり、IPアドレスの表記法と似ています。

OSPFエリアは全部で6種類あります。 l

バックボーン:IDが0(または0.0.0.0)のエリアはOSPFネットワークバックボーンに予約され

ており、OSPFネットワークの中核となります。他のすべてのエリアがこのエリアに接続され

ます。 l

標 準 : 標準エリアは0.0.0.1)~4,294,967,295(または255.255.255.255)という一意のID

範囲を持ちます。ノーマルエリアは、 エリア境 界 ルータ(ABR)を介して外部ルートを双方向

的にフラッディングして処理します。外部ルートとは、他のルーティングプロトコルからOSPF

内に配布されたルートとして定義されます。 l

スタブ:通常、Stubエリアは外部ネットワークと直接接続されません。外部ネットワークへの

すべてのトラフィックは エリア境 界 ルータ(ABR)を介してルーティングする必要があるため、

Stubエリアに外部ルートをインジェクトする必要はありません。そのため、スタブエリアは外

部ネットワークにトラフィックを送信する外部ルートにとってデフォルトルートの代わりとなり

ます。 l

スタブサマリなし:Stub No-SummaryまたはTotally Stubby Areaはスタブエリアと似ていま

すが、このエリアはいわゆるサマリルートを許可しません。つまり、タイプ3のサマリリンクス

テートアドバタイズメント(LSA)を拒絶し、エリアに入ってこないようにします。

UTM 9 WebAdmin 201

6.6 OSPF 6 インタフェースとルーティング l

NSSA:not-so-stubby area(NSSA)は、Stubエリアとは違い、外部接続をサポートできます。

NSSAはバーチャルリンクをサポートしない点に注意が必要です。 l

NSSAサマリなし:NSSAサマリなしはNSSAと似ていますが、このエリアはいわゆるサマリ

ルートを許可しません。つまり、タイプ3のサマリリンクステートアドバタイズメント(LSA)を拒

絶し、エリアに入ってこないようにします。

OSPFエリアを作成するには、次の手順に従います。

1.

エリアタブで新 規 OSPFエリアをクリックします。

OSPFエリアの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :エリアを説明する名前を入力してください。

エリアID: エリアのIDを10進ドット表記で入力します(たとえばノーマルエリアは0.0.0.1、

バックボーンエリアは0.0.0.0)。

エリアタイプ:エリアタイプ(説明は前述)を選択し、該当するエリアに割り当てられるネット

ワークの特徴を指定します。

{認 証 タイプ:エリア内のインタフェースを介して送受信されるすべてのOSPFパケットに対し

て使用する認証タイプを選択します。次の認証タイプを使用できます。 l

MD5:選択すると、MD5認証が有効になります。MD5(Message-Digest algorithm 5)と

は、128ビットのハッシュ値を使用する一般的な暗号ハッシュ関数です。 l

プレーンテキスト:選択すると、プレーンテキスト認証が有効になります。パスワードは

ネットワーク上を平文の形で伝送されます。 l

オフ:選択すると、認証が無効になります。

インタフェース経 由 で接 続 :OSPF対応インタフェースを選択します。ここでOSPF対応インタ

フェースを指定するためには、事前に インタフェースタブでこのインタフェースを作成しておく

必要があります。

バーチャルリンクを使 用 : OSPF 自 律 システム(AS)内のすべてのエリアは、バックボーンエ

リア(エリア0)に物理的に接続されている必要があります。物理的な接続が不可能な場合

には、バーチャルリンクを使用して、非バックボーンエリアを介してバックボーンに接続でき

ます。 仮 想 リンクの接 続 ボックスに、バーチャルリンクのネイバーに関連付けられたルータ

IDを10進ドット表記で入力します(10.0.0.8など)。

コスト:このエリアでデータパケットを送受信するコスト。有効な値は1~65535の範囲内で

す。

コメント(オプション):説明などの情報を追加します。

202 UTM 9 WebAdmin

6 インタフェースとルーティング 6.6 OSPF

3.

保 存 をクリックします。

新しいエリア定義が エリアタブに表示されます。

OSPFエリアを編集または削除するには、対応するボタンをクリックします。

ライブログを開 く:OSPFライブログには、OSPFインタフェースでのすべてのアクティビティが記録さ

れます。ボタンをクリックして、新しいウィンドウでライブログを開きます。

6.6.3 インタフェース

インタフェース& ルーティング> ダイナミックルーティング OSPF > インタフェースタブでは、OSPFエリ

ア内で使用するインタフェースの定義を作成できます。それぞれの定義には、OSPF対応インタ

フェースに固有の複数のパラメータがあります。

OSPFインタフェース定義を作成するには、次の手順に従います。

1.

インタフェースタブで新 規 OSPFインタフェースをクリックします。

OSPFインタフェースの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :このインタフェースを説明する名前を入力してください。

インタフェース:このOSPFインタフェース定義と関連付けるインタフェースを選択します。

認 証 タイプ:このインタフェースを介して送受信されるすべてのOSPFパケットに対して使用

する認証タイプを選択します。次の認証タイプを使用できます。 l

MD5:選択すると、MD5認証が有効になります。MD5(Message-Digest algorithm 5)と

は、128ビットのハッシュ値を使用する一般的な暗号ハッシュ関数です。 l

プレーンテキスト:選択すると、プレーンテキスト認証が有効になります。パスワードは

ネットワーク上を平文の形で伝送されます。 l

オフ:選択すると、認証が無効になります。

メッセージダイジェスト:このOSPFインタフェースに対してMD5認証が使用されることを示す

メッセージダイジェスト(MD)を選択します。ここでメッセージダイジェストを選択するために

は、事前に メッセージダイジェストタブでそのメッセージダイジェストを作成しておく必要があ

ります。

コスト:このインタフェースでデータパケットを送信するコスト。有効な値は1~65535の範囲内

です。

UTM 9 WebAdmin 203

6.6 OSPF 6 インタフェースとルーティング

詳 細 オプション(オプション):このチェックボックスにチェックを入れると、追加の設定オプ

ションが表示されます。 l

Hello間 隔 :Sophos UTMがこのインタフェースを介してHelloパケットを送信する間隔

(秒)を指定します。デフォルト値は10秒です。 l

再 送 間 隔 :LSA(リンクステートアドバタイズメント)を受け取ったという確認応答の

ACKがインタフェースに届かなかったときに、インタフェースがLSAを再送する間隔

(秒)を指定します。デフォルト値は5秒です。 l

Dead間 隔 :Sophos UTMがこのインタフェースを介してHelloパケットの受信を待機す

る期間(秒)を指定します。デフォルト値は40秒です。原則的に、Dead間 隔 の値は

Hello間 隔 の値の4倍の長さにします。 l

優 先 順 位 :ルータの優先順位を1~255の範囲の8ビット値で指定します。この値は、

特定のネットワークの指名ルータ(DR)を決定するために主に使用されます。優先順

位が高いルータほど、指定ルータにふさわしい候補と見なされます。値を0に設定す

ると、そのルータは指定ルータの候補から外されます。デフォルト値は1です。 l

送 信 遅 延 :インタフェースでLSUパケット送信に予想される期間(秒)を指定します。

範囲は1~65535秒で、デフォルト値は1です。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

OSPFインタフェース定義が インタフェースタブに表示されます。

OSPFインタフェースを編集または削除するには、対応するボタンをクリックします。

ライブログを開 く:OSPFライブログには、OSPFインタフェースでのすべてのアクティビティが記録さ

れます。ボタンをクリックして、新しいウィンドウでライブログを開きます。

6.6.4 メッセージダイジェスト

インタフェース& ルーティング> ダイナミックルーティング OSPF > メッセージダイジェストタブでは、い

わゆるメッセージダイジェストキーを生成することができます。メッセージダイジェスト鍵は、OSPF

でMD5認証を有効にするために必要です。MD5認証では、パスワードを使用してメッセージダイ

ジェストを生成します。これはデータパケットとパスワードの128ビットのチェックサムです。メッセー

ジダイジェストは、パスワードと関連付けられた鍵IDとともにデータパケットで送信されます。

受信側ルータは、同じメッセージダイジェストキーで設定されていなければなりません。

メッセージダイジェストキーを作成するには、次の手順に従います。

204 UTM 9 WebAdmin

6 インタフェースとルーティング 6.6 OSPF

1.

メッセージダイジェストタブで新 規 メッセージダイジェストキーをクリックします。

メッセージダイジェストキーの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

ID:このメッセージダイジェストキーのキーIDを入力します。範囲は1~255です。

MD5キー:関連するパスワードを入力します。最大16文字の英数字から成る文字列にする

必要があります。

3.

保 存 をクリックします。

新しいキーが メッセージダイジェストリストに表示されます。

ダイジェストキーを編集または削除するには、対応するボタンをクリックします。

6.6.5 デバッグ

インタフェース& ルーティング> ダイナミックルーティング OSPF > デバッグタブでは、関連OSPFパラ

メータについての詳細情報が別のブラウザウィンドウで表示されます。次の情報が含まれていま

す。 l

OSPFネイバの表 示 :OSPFネイバ情報をインタフェース単位で表示するために使用しま

す。 l

OSPFルートの表 示 :ルーティングテーブルの現在の状態を表示するために使用します。 l

OSPFインタフェースの表 示 :OSPF関連のインタフェース情報を表示するために使用しま

す。 l

OSPFデータベースの表 示 :特定ルータのOSPFデータベースに関連する情報を一覧表示

するために使用します。 l

OSPF境 界 ルータの表 示 :ABR エリア境 界 ルータ とASBR 自 律 システム境 界 ルータ へ

の内部OSPFルーティングテーブルのエントリを表示するために使用します。

6.6.6 詳 細

インタフェースとルーティング> OSPF > 詳 細 タブには、OSPFに関連する追加の設定オプションがあ

ります。これらは、OSPF以外のドメインからOSPFドメインへのルーティング情報の再配布に関連

するものです。

ポリシルートを再分配することはできません。

UTM 9 WebAdmin 205

6.7 BGP 6 インタフェースとルーティング

直 接 接 続 されたネットワークを再 配 布 :直接接続されているネットワークのルートを再配布する場

合は、これを選択します。デフォルトのメトリック(コスト)値は10です。

スタティックルートを再 配 布 :スタティックルートを再分配する場合は、これを選択します。

IPsecトンネルを再配分するためにはストリクトルーティングを無効化する必要があります(

続 の章を参照)。

IPsecの再 配 布 :IPsecルートを再配布したい場合に選択します。インタフェースにバインドオプショ

ンは無効にしてください。

SSL VPNを再 配 布 :SSL VPNを再分配する場合は、これを選択します。デフォルトのメトリック(コ

スト)値は10です。

BGPを再 配 布 :BGPルートを再分配する場合は、これを選択します。デフォルトのメトリック(コス

ト)値は10です。

デフォルトルートを配 布 :デフォルトルートをOSPFドメインに再配布したい場合は、これを選択しま

す。デフォルトのメトリック(コスト)値は25です。

デフォルトルートは、0.0.0.0/0へのルートの有無を問わずOSPFドメインにアドバタイズさ

れます。

インタフェースリンク検 出 :インタフェースリンクが検出された場合にのみインタフェースのルートを

アナウンスする場合は、これを選択します。

6.7 BGP

Border Gateway Protocol(BGP)とは、主にインターネットサービスプロバイダ(ISP)により、複数の

自律システム(AS)間(つまりISP間)の通信を可能にするために使用されるルーティングプロトコル

で、インターネットのバックボーンになっています。自律システムは、1つ以上のISPにより制御さ

れ、内部ルーティングプロトコル(IGPなど)により接続されたIPネットワークの集合です。BGPはパ

スベクトル型プロトコルと形容されており、IGPと異なり、パス、ネットワークポリシ、ルールセットに

基づいてルーティングを決定します。このために、ルーティングプロトコルではなく、到達可能性プロ

トコルとみなすことができます。

各ISP(または他のネットワークプロバイダ)は、ネットワーク上でそれぞれのISPを識別するために

正式に登録された自律システム番号(ASN)を持つ必要があります。ISPは内部的に複数の自律

システムをサポートすることができますが、インターネットにとってはルーティングプロトコルのみが

206 UTM 9 WebAdmin

6 インタフェースとルーティング 6.7 BGP

重要になります。64512~65534の範囲の番号のASNはプライベートで、内部でのみ使用すること

ができます。

BGPは伝送プロトコルとしてTCPをポート179で使用します。

1つのASのルータ間でBGPを使用する場合は、内部BGP(iBGP)と呼ばれ、異なるASのルータ間

でBGPを使用する場合は外部BGP(eBGP)と呼ばれます。 eBGPの利点は、ルーティングループを防止することで、IPパケットがASを2度通過することがありま

せん。これは、特定ネットワークセグメントに到達するためにIPパケットが通過する必要のあるすべ

てのASの全リストをeBGPルータが持つことで可能になります。ルータは送信時に、近隣のeBGP

ルータとこの情報を共有し、近隣のeBGPルータも必要に応じてそれぞれのルーティングリストを更

新します。eBGPルータが既にこのような更新リストに存在することを検出した場合、再度リストに

追加されることはありません。

6.7.1 グローバル

BGP > グローバルページでは、UTMに対してBGPを有効または無効にすることができます。

1. BGP を有 効 にするには、ネイバーページで 1つ以 上 のネイバーを登 録 しておく必 要 があり

ます。

2.

グローバルページで、BGPを有効化します。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、BGPシステムセクションが編集可能になります。

3. 次の設定を行います。

AS番 号 :システムの自律システム番号(ASN)を入力します。

ルーターID:ルーターIDとしてIPv4アドレスを入力します。これはセッションの初期化中にネ

イバーに送信されます。

ネットワーク:システムからネイバーにアナウンスするネットワークを追加または選択します。

定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明

しています。

アナウンス対象のネットワークは、物理的または仮想のインタフェースに割り当てら

れている必要があります。存在しないIPへのアクセス要求は、BGPネイバーとUTMとの間

でループします。

4.

適 用 をクリックします。

UTM 9 WebAdmin 207

6.7 BGP 6 インタフェースとルーティング

トグルスイッチが緑色になり、BGPが有効になります。しばらくすると、BGP概 観 セクション

にステータス情報が表示されます。

6.7.2 システム

BGP > システムページでは、複数の自律システムの環境を作成できます。

このページは、詳 細 ページで複数のASの使用を有効にしている場合にのみアクセスでき

ます。

新しいBGPシステムを作成するには、次の手順に従います。

1.

システムページで新 規 BGPシステムをクリックします。

BGPシステムを追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :システムを説明する名前を入力します。

ASN:システムの自律システム番号(ASN)を入力します。

ルーターID:ルーターIDとしてIPv4アドレスを入力します。これはセッションの初期化中にネ

イバーに送信されます。

ネイバー:このシステムのASに属するネイバーのチェックボックスにチェックを入れます。最

初に ネイバーページでネイバーを登録する必要があることに注意してください。

ネットワーク:システムからアナウンスするネットワークを追加または選択します。定義を追

加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明していま

す。

インストールルート:このオプションはデフォルトで有効になっています。BGPルータにルート

を把握させる一方で、BGPルーティングプロセスにはあまり関与させたくない場合にのみ、

無効にしてください。複数のASシステムでこのオプションが選択されている場合、フィルタリ

ストを作成して重複ネットワークが存在することがないようにしてください。そうしないと、同

一ネットワークのルーティング動作が定義されなくなります。

3.

保 存 をクリックします。

システムが システムリストに表示されます。

208 UTM 9 WebAdmin

6 インタフェースとルーティング 6.7 BGP

6.7.3 ネイバー

BGP > ネイバーページでは、1つ以上のBGPネイバールータを登録できます。ネイバールータ(ピア

ルータ)は、複数の自律システム(AS)間か1つのAS内で接続を構築します。2つのネイバー間での

最初の通信時に、それぞれのBGPルーティングテーブルが交換されます。その後は、ルーティング

テーブルの変更に対する更新情報を相互に送信します。接続が確立していることを確認するため

にキープアライブパケットを送信します。エラーが発生した場合には、通知パケットが送信されま

す。

BGPのポリシルーティングでは、受信ポリシと送信ポリシが異なります。このため、受信トラフィック

と送信トラフィックに別々のルートマップとフィルタリストを定義して適用することができます。

グローバルページでBGPを有効化できるようにするには、1つ以上のネイバールータを作成する必

要があります。

新しいBGPネイバーを登録するには、次の手順に従います。

1.

ネイバーページで新 規 BGPネイバーをクリックします。

BGPネイバーを追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :BGPネイバールータの名前を入力します。

ホスト:ネイバーのホスト定義を追加または選択します。定義されたIPアドレスが、UTMか

ら到達できる必要があります。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 >

ネットワーク定 義 ページで説明しています。

リモートASN:ネイバーの自律システム番号(ASN)を入力します。

認 証 :ネイバーで認証を必要とする場合、ドロップダウンリストからTCP MD5シグニチャを

選択し、ネイバーに設定されているパスワードを入力します。

3. 必要に応じて次の詳細設定を行います。

受 信 /送 信 ルート:ルートマップを定義している場合、ここで選択できます。受 信 ルートまた

は 送 信 ルートを使用してルートマップを受信アナウンスメントまたは送信アナウンスメントに

適用するかどうかを定義します。

受 信 /送 信 フィルタ:フィルタリストを定義している場合、ここで選択できます。受 信 フィルタま

たは 送 信 フィルタを使用してフィルタを受信アナウンスメントまたは送信アナウンスメントに

適用するかどうかを定義します。

UTM 9 WebAdmin 209

6.7 BGP 6 インタフェースとルーティング

Next-Hop-Self:iBGPネットワークでは、ルータが外部eBGPネットワークを内部的にアナ

ウンスした場合、直接的な外部接続を持たないiBGPルータはそのネットワークへのパケッ

トのルーティング方法を把握していません。このオプションを選択すると、eBGPルータは外

部ネットワークに到達するための次のホップとして自らをアナウンスします。

マルチホップ:場合によって、Ciscoルータは、2つの外部ピアの直接接続を許可しないサード

パーティのルータとして、eBGPを実行することができます。この接続を実現するには、eBGP

マルチホップを使用します。eBGPマルチホップでは、直接接続がない2つの外部ピアの間

でネイバー接続が可能です。マルチホップが使えるのはeBGPであり、iBGPでは使用でき

ません。

Soft-Reconfiguration:デフォルトで有効化されています。このオプションにより、ネイ

バーから送信される更新を保存することができます。

デフォルトルート生 成 :ネイバーにデフォルトルート0.0.0.0で送信します。ネイバーは、ルー

ティングテーブルに存在しないネットワークに到達するために必要な場合にのみ、このルー

トを使用します。

ウェイト:Cisco専用のオプションです。このネイバーから学習したすべてのルートの汎用ウェ

イトを設定します。設定できる値は0~65535です。ウェイトが最も高いルートが、特定ネット

ワークに到達するために優先されます。ここで指定されたウェイトは、ルートマップのウェイト

を上書きします。

4.

保 存 をクリックします。

ネイバーが ネイバーリストに表示されます。

6.7.4 ルートマップ

BGPでは、ルートマップとは、ルートの再配布条件を設定し、ポリシルーティングを有効化するため

のコマンドを指します。BGP > ルートマップページでは、特定ネットワークのルートマップを作成し、

メトリック、ウェイト、プリファレンスの値を設定することができます。

どのルートを取るかを決定するベストパスアルゴリズムは次のように機能します。

1. ウェイトをチェックします。*

2. ローカルプリファレンスをチェックします。*

3. ローカルルートをチェックします。

4. ASパス長をチェックします。

210 UTM 9 WebAdmin

6 インタフェースとルーティング 6.7 BGP

5. 送信元をチェックします。

6. メトリックをチェックします。*

これはあくまでも簡素化した説明です。ベストパスの計算は非常に複雑であるため、詳しくはイン

ターネット上の関連資料などを参照してください。

アスタリスク(*)が付いた項目は直接設定することができます。

BGPルートマップを作成するには、次の手順に従います。

1.

ルートマップページで新 規 BGPルートマップをクリックします。

BGPルートマップを追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :ルートマップを説明する名前を入力します。

マッチ基 準 :ルートマップの一致対象を特定ルータのIPアドレスにするか、AS全体のIPアド

レスにするかを選択します。 l

IPアドレス:ネットワークボックスに、フィルタを適用するホストまたはネットワークを追

加または選択します。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 >

ネットワーク定 義 ページで説明しています。 l

AS番 号 :AS正 規 表 現 ボックスに、フィルタを適用するAS番号を定義するための

BGP正規表現を指定します。例:_100_を指定すると、AS100を通過するすべての

ルートが一致します。

ネットワーク:ルートマップを適応するネットワーク/ホストを追加または選択します。定義を追

加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明していま

す。

メトリック:既定では、ルータがルートメトリックを動的に学習します。しかし、0~4294967295

の整数を使用して独自のメトリック値を設定できます。低いメトリック値の方が、高いメトリッ

ク値よりも優先されます。

加 重 :ベストパスの選択に使用されます。これは特定ルータに対して指定するもので、伝

達されません。同じ宛先に複数のルートが存在する場合、高いウェイト値のルートが優先さ

れます。ウェイトは最初に一致したASパスに基づき、0~4294967295の整数で設定できま

す。

- ネイバーにウェイトが設定されている場合、指定されたネットワークへのルートが一

致すると、このウェイトによってルートマップのウェイトが上書きされます。

UTM 9 WebAdmin 211

6.7 BGP 6 インタフェースとルーティング

プリファレンス:ローカルASのすべてのルータのみに送信されるASパスのプリファレンス値を

設定することができます。プリファレンス(ローカルプリファレンス)は、AS外の特定ネットワー

クに到達するときに優先するパスをAS内のルータに指示するものです。0~4294967295の整

数で設定でき、デフォルトは100です。

ASプリペンド:ASパスのプリペンドは、特定ルートを回避する上でプリファレンス設定が何ら

かの理由により充分でない場合に使用されます(メインルートが使用できない場合にのみ

取るべきバックアップルートなど)。これにより、自らのAS番号を繰り返すことで(65002

65002 65002など)、ASパス属性を拡張することができます。BGPルート選択では、最も短

いASパスが優先されるため、この選択に影響が及びます。ASプリペンドが設定されたルー

トマップを意図したとおりに機能させるには、ネイバーの 送 信 ルートフィールドでルートマッ

プを選択する必要があることに注意してください。

3.

保 存 をクリックします。

ルートマップが ルートマップリストに表示されます。

これで、ネイバー定義にルートマップを使用することができます。

6.7.5 フィルタリスト

BGP > フィルタリストページでは、IPアドレスまたはAS番号に基づいてネットワーク間のトラフィック

を制御するために使用するフィルタリストを作成できます。

フィルタリストを作成するには、次の手順に従います。

1.

フィルタリストページで新 規 BGPフィルタリストをクリックします。

BGPフィルタリストを追 加 ダイアログウィンドウが開きます。

2. 次の設定を行います。

名 前 :フィルタリストを説明する名前を入力します。

フィルタ条 件 :フィルタの一致対象を特定ルータのIPアドレスにするか、AS全体のIPアドレ

スにするかを選択します。 l

IPアドレス:ネットワークボックスに、フィルタを適用するホストまたはネットワークを追

加または選択します。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 >

ネットワーク定 義 ページで説明しています。 l

AS番 号 :AS正 規 表 現 ボックスに、フィルタを適用するAS番号を定義するための

BGP正規表現を指定します。例:_100_を指定すると、AS100を通過するすべての

ルートが一致します。

212 UTM 9 WebAdmin

6 インタフェースとルーティング 6.7 BGP

ネットワーク:特定ネットワークに関する情報を拒否または許可するネットワーク/ホストを追

加または選択します。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネット

ワーク定 義 ページで説明しています。

アクション:ドロップダウンリストから、フィルタが一致した場合に取るアクションを選択しま

す。トラフィックを拒否するか許可することができます。 l

否 認 :

ネイバーページの受 信 フィルタフィールドで特定ネイバーのネットワークを拒

否した場合、UTMではそのネットワークのアナウンスメントを無視します。

送 信 フィル

タフィールドで特定ネイバーのネットワークを拒否した場合、UTMではそのネットワー

クのそのネイバーにアナウンスメントを送信しません。 l

許 可 :

ネイバーページの受 信 フィルタフィールドで特定ネイバーのネットワークを許

可した場合、UTMではそのネットワークのみのアナウンスメントを受信します。

送 信

フィルタフィールドで特定ネイバーのネットワークを許可した場合、UTMではそのネッ

トワークのそのネイバーのみにアナウンスメントを送信し、

グローバルまたはシステム

ページで定義した他のネットワークには送信しません。

3.

保 存 をクリックします。

フィルタリストが フィルタリストリストに表示されます。

これで、ネイバー定義にフィルタリストを使用することができます。

6.7.6 詳 細

BGP > 詳 細 ページでは、BGPの追加設定を行ったり、BGPデバッグ情報ウィンドウにアクセスする

ことができます。

複 数 の自 律 システムの許 可

複 数 ASを許 可 :複数ASを設定するには、このチェックボックスにチェックを入れます。これで、複

数ASを追加できる システムページが有効になります。同時に、グローバルページのBGPシステムセ

クションが無効になり、 グローバルページにすべてのASの情報が表示されます。

厳 密

IPアドレスマッチ

厳 密 IPアドレスマッチ:IPアドレスの完全な一致を行うには、このチェックボックスにチェックを入れ

ます。例:10.0.0.0/8は10.0.0.0/8と一致しますが、10.0.1.0/24には一致しません。

マルチパスルーティング

通常、コストが等しい複数のルートが存在する場合でも、使用できるルートパスは1つのみです。こ

れを選択すると、8つまでの等価ルートを同時に使用できるようになります。これにより複数のイン

UTM 9 WebAdmin 213

6.8 マルチキャストルーティング(PIM-SM) 6 インタフェースとルーティング

タフェース間でのロードバランシングが可能になります。

複数のインタフェース間でのバランシングは、同一のASNを使用するネイバーについての

み有効となります。

BGPデバッグ

このセクションには、3つのデバッグ情報ウィンドウがあります。ボタンをクリックしてウィンドウを開

きます。各ボタンの名前は、通常コマンドラインで呼び出すBGPコマンドに対応しています。ボタン

をクリックすると、ウィンドウにそのコマンドの結果がコマンドライン出力形式で表示されます。

IP BGPネイバーの表 示 :UTMのネイバー情報を表示します。各ネイバーのリンク状態が確 立 と

なっていることを確認します。

IP BGPユニキャストの表 示 :優先パスを示す現在のBGPルーティングテーブルが表示されます。

これは、メトリック、ウェイト、プリファレンスの設定とその影響の概要を確認する上で特に有益で

す。

IP BGPサマリの表 示 :すべてのBGP接続のステータスが表示されます。この情報は、グローバル

ページのBGPサマリセクションにも表示されます。

6.8 マルチキャストルーティング PIM-SM

インタフェース& ルーティング> マルチキャストルーティング(PIM-SM)メニューを使用すると、ネット

ワーク上で使用する PIM-SM (Protocol Independent Multicast Sparse Mode) を設定することが

できます。PIM とは、複数ネットワーク内でマルチキャストパケットを動的 (ダイナミック) にルーティ

ングするためのプロトコルです。マルチキャストとは、複数のクライアントが受信するパケットをでき

るだけ小さいトラフィックを使用して効率的に配信するための技術です。通常、複数のクライアント

宛てのパケットは、コピーされて各クライアントに個別に送信されるため、消費される帯域幅は

ユーザ数に応じて増大します。そのため、同じパケットを同時に要求する多数のクライアントを抱

えるサーバー (コンテンツのストリーミング用サーバーなど) の場合、大量の帯域幅が必要となりま

す。

これに対しマルチキャストは、ネットワークの各リンク経由でパケットを一度だけ送信することにより

帯域幅を節約します。これを実現するために、マルチキャストでは、サーバ(送信者)からクライア

ント(受信者)への経路上でいつコピーを作成するかを決定するために、適切に設定されたルータ

を使用します。これらのルータは、PIM-SMを使用してアクティブなマルチキャスト受信者を追跡し、

ルーティングの設定にこの情報を使用します。

214 UTM 9 WebAdmin

6 インタフェースとルーティング 6.8 マルチキャストルーティング(PIM-SM)

PIM-SM通信の簡単な説明は次のようになります。送信者がマルチキャストデータの送信を開始

します。送信者用のマルチキャストルータがPIM-SM経由でRPルータに登録し、RPルータは送信

者のルータにJoinメッセージを送信します。マルチキャストパケットが送信者からRPルータに流れ

るようになります。受信者が、このマルチキャストグループのIGMPブロードキャスト経由でローカル

PIM-SMルータに自己登録します。このルータは受信先用のJoin要求をRPルータに向けて送信

し、RPルータはマルチキャストトラフィックを受信者に転送します。

マルチキャストは、独自のIPアドレス範囲(224.0.0.0/4)を持ちます。

6.8.1 グローバル

マルチキャストルーティング PIM-SM > グローバルタブでは、PIMを有効または無効にできます。

ルーティングデーモンの設 定 エリアには、関与するインタフェースとルータのステータスが表示され

ます。

PIMを有効にする前に、

インタフェースタブでPIMインタフェースとして機能するインタフェースを2つ以

上定義して、RPルータタブでルータを1台定義する必要があります。

PIM-SMを有効にするには、次の手順に従います。

1.

グローバルタブでPIM-SMを有効化します。

トグルスイッチをクリックします。

トグルスイッチがアンバー色に変わり、 ルーティングデーモン設 定 エリアが編集可能になり

ます。

2. 次の設定を行います。

アクティブなPIM-SMインタフェース:PIM-SMに使用するインタフェースを2つ以上選択しま

す。インタフェースの設定は インタフェースタブで行います。

アクティブなPIM-SM RPルータ:PIM-SMに使用するRPルータを1つ以上選択します。RP

ルータの定義はRPルータタブで行います。

3.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色になり、ネットワークでPIM-SM通信が有効になりました。

設定をキャンセルするには、アンバー色のトグルスイッチをクリックします。PIM-SMを無効にする

には、緑色のトグルスイッチをクリックします。

ライブログ

ライブログを開 くボタンをクリックすると、新しいウィンドウでPIMライブログが開きます。

UTM 9 WebAdmin 215

6.8 マルチキャストルーティング(PIM-SM) 6 インタフェースとルーティング

6.8.2 インタフェース

マルチキャストルーティング PIM-SM > インタフェースタブでは、どのインタフェース上でSophos

UTMマルチキャスト通信を行うかを定義することができます。

新しいPIM-SMインタフェースを作成するには、次の手順に従います。

1.

インタフェースタブで新 規 PIM-SMインタフェースをクリックします。

ダイアログボックスPIM-SMインタフェースを追 加 が開きます。

2. 次の設定を行います。

名 前 :PIM-SMインタフェースを説明する名前を入力してください。

インタフェース:PIMおよびIGMPネットワークトラフィックを許可するインタフェースを選択しま

す。

DR優 先 順 位 (オプション):インタフェースの指定ルータ(DR)の優先順位を定義する番号

を入力します。同じネットワークセグメント内に複数のPIM-SMルータが存在する場合、優先

順位が最も高いルータがIGMP要求を受け付けます。0~2 32 の数字を使用できます。優先

順位を指定しないと、デフォルトで0が使用されます。

IGMP:サポートするIGMP Internet Group Management Protocol のバージョンを選択し

ます。IGMPは、受信者がマルチキャストグループのメンバシップを確立するために使用しま

す。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいPIM-SMインタフェースがインタフェースリストに追加されます。

PIM-SMインタフェースを編集または削除するには、対応するボタンをクリックします。

6.8.3 RPルータ

ネットワーク上でマルチキャストを使用できるようにするためには、1つ以上のランデブーポイント

ルータ(RPルータ)を設定する必要があります。RPルータは、マルチキャスト受信者と送信者の両

方から登録を受け付けます。RPルータとは、特定のマルチキャストグループのRPルータとして選

ばれた通常のPIM-SMルータでもあります。どのルータがRPルータとなるかについて、すべての

PIM-SMルータが合意する必要があります。

RPルータを作成するには、次の手順に従います。

216 UTM 9 WebAdmin

6 インタフェースとルーティング 6.8 マルチキャストルーティング(PIM-SM)

1. RPルータタブで新 規 ランデブーポイントルータをクリックします。

新 規 RPルータの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :RPルータを説明する名前を入力してください。

ホスト:RPルータとして機能するホストを作成(または選択)します。

優 先 順 位 :RPルータの優先順位を定義する数字を入力します。優先順位が一番低いRP

ルータに、Joinメッセージが送信されます。0~255の数字を使用できます。優先順位を指

定しないと、デフォルトで0が使用されます。

マルチキャストグループプレフィックス:RPルータが担当するマルチキャストグループを入力し

ます。RPルータが複数のマルチキャストグループを担当する場合は、グループのプレフィッ

クスを224.1.1.0/24のように定義できます。マルチキャストグループ(プレフィックス)は、

マルチキャストアドレスの範囲内(224.0.0.0/4)にする必要があります。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいRPルータがルータのリストに追加されます。

RPルータを編集または削除するには、対応するボタンをクリックします。

6.8.4 ルート

受信者と送信者の間に、継続的な通信ルートをセットアップする必要があります。受信者、送信

者、RPルータが同じネットワークセグメント内にない場合、これらの間の通信を可能にするルート

を作成する必要があります。

PIM-SMルートを作成するには、次の手順に従います。

1.

ルートタブで、新 規 PIM-SMルートをクリックします。

PIM-SMルートの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

ルートタイプ:次のルートタイプを使用できます。 l

インタフェースルート:パケットは特定のインタフェース上で送信されます。これは2つ

の状況で役立ちます。1つ目は、ゲートウェイの IP アドレスが不明になるダイナミック

(動的) インタフェース (PPP) 上でルーティングする場合です。2番目は、直接接続され

たネットワークの外側にゲートウェイがあるデフォルトルートを定義する場合です。 l

ゲートウェイルート:パケットは特定のホスト(ゲートウェイ)へ送信されます。

UTM 9 WebAdmin 217

6.8 マルチキャストルーティング(PIM-SM) 6 インタフェースとルーティング

ネットワーク:PIMトラフィックをルーティングする宛先アドレス範囲を選択します。

ゲートウェイ:ゲートウェイがデータパケットを転送するゲートウェイ/ルータを選択します

(ルートタイプに ゲートウェイルートを選択した場合のみ使用可能)。

インタフェース:ゲートウェイがデータパケットを転送するインタフェースを選択します(ルートタ

イプに インタフェースルートを選択した場合のみ使用可能)。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいPIM-SMルートがルートのリストに追加されます。

PIM-SMルートを編集または削除するには、対応するボタンをクリックします。

6.8.5 詳 細

インタフェース& ルーティング> マルチキャストルーティング PIM-SM > 詳 細 タブでは、PIMの詳細

設定を構成することができます。

Shortest Path Tree(最 短 パスツリー)ー設 定

一部のネットワークでは、送信者、RP、受信者の間のPIM通信ルートは可能な限り最短のネット

ワークパスとはなりません。SPTへの切 り替 えを有 効 にするオプションを使用すると、特定のトラ

フィックしきい値に達したときに送信者と受信者の間の既存の通信を最短パスに切り替えて、モデ

レータのRPを省くことができます。

自 動 ファイアウォール設 定

このオプションを有効にすると、指定されたマルチキャストグループにマルチキャストトラフィックを

転送するために必要となるすべてのファイアウォールルールがシステムによって自動的に作成さ

れます。

デバッグ設 定

PIM-SMルーティングデーモンログに追加のデバッグ情報を表示するには、 デバッグモードを有 効

化 オプションを選択します。

218 UTM 9 WebAdmin

7 ネットワークサービス

この章では、ご利用のネットワーク用にSophos UTMの複数のネットワークサービスを設定する方

法を説明します。

この章には次のトピックが含まれます。 l

DNS

l

DHCP

l

NTP

7.1 DNS

ネットワークサービス> DNSメニューにあるタブには、さまざまな設定オプションがあり、すべてドメイ

ンネームシステム (DNS) に関連しています。DNS とは、ドメイン名 (コンピュータのホスト名) を IP ア

ドレスに変換するために主に使用されるシステムです。

7.1.1 グローバル

許 可 ネットワーク

UTMを再帰的なDNSリゾルバとして使用することを許可するネットワークを指定できます。ここでは

通常、内部ネットワークを選択します。

警 告 セキュリティリスクを招き、インターネットの悪用に道を開くので、決してネットワークオブ

ジェクトで すべてを選択しないでください。

内部DNSサーバをActive Directoryの一部などとしてすでに起動している場合、このボックス

は空のまま残します。

DNSSEC

Domain Name System Security Extensions(DNSSEC)は、セキュリティを強化するためのDNSへの拡

張のセットです。公開鍵暗号を使用しているDNSルックアップレコードにデジタル署名することに

よって機能します。選択を解除すると、UTMは、すべてのDNS レコードを受け入れます。選択する

7.1 DNS 7 ネットワークサービス

と、UTMは受信DNS 要求のDNSSEC署名を確認します。署名ゾーンからの、正しく署名されたレ

コードだけを受け入れます。

選択すると、DNSレコードは、手動でインストールしたか、ISPによって割り当てられた

DNSSEC非対応のフォワーダには拒否されます。この場合は、 フォワーダタブで、ボックスから

DNS フォワーダを削除し、ISP が割 り当 てたフォワーダを使 用 チェックボックスを無効にします。

リゾルバキャッシュをクリア

DNSプロキシでは、レコードに対してキャッシュを使用します。各レコードには有効期限(TTL、生存

時間)があり、この時間にレコードは削除されます。通常は1日に設定されています。ただし、キャッ

シュは手動で空にすることもできます(TTLが失効する前にDNSレコードの最新の変更を今すぐ有

効にしたい場合など)。キャッシュを空にするには、 今 すぐリゾルバキャッシュをクリアをクリックしま

す。

7.1.2 フォワーダ

ネットワークサービス> DNS > フォワーダタブでは、いわゆるDNSフォワーダを指定できます。DNS

フォワーダとは、ネットワーク上にあるDNS ドメインネームシステム サーバであり、外部DNS名に

関するDNSクエリを当該ネットワーク外のDNSサーバに転送(フォワーディング)するために使用し

ます。可能な限り、設定にDNSフォワーダを追加してください。DNSフォワーダは、お客様のサイト

の「近く」にあり、(可能であれば)同じインターネットプロバイダが提供しているホストにする必要が

あります。これは「親」キャッシュとして使用されます。これにより、DNS要求の速度が飛躍的に向

上します。転送を行うネームサーバを指定しないと、ゾーン情報についてのクエリ(問い合わせ)は

最初にルートDNSサーバに対して行われるため、要求が完了するまで時間がかかります。

DNSフォワーダを選択するには、次の手順に従ってください。

1. DNSフォワーダを選択します。

DNSフォワーダを選択または追加します。定義を追加する方法は、

定 義 とユーザ > ネット

ワーク定 義 > ネットワーク定 義 ページで説明しています。

ISPが割 り当 てたフォワーダを使 用 (オプション):DNSクエリをISPのDNSサーバに転

送する場合は、ISPが割 り当 てたフォワーダを使 用 チェックボックスにチェックを入れ

ます。このチェックボックスにチェックを入れると、ISPによって自動的に割り当てられ

たすべてのフォワーダがボックスの下に一覧表示されます。

2.

適 用 をクリックします。

設定が保存されます。

220 UTM 9 WebAdmin

7 ネットワークサービス 7.1 DNS

7.1.3 リクエストルーティング

内部DNSサーバが稼働しており、DNSフォワーダに解決させたくないドメインがある場合、そのドメ

インへのクエリをフォワーダではなく内部サーバに処理させることができます。 ネットワークサービス

> DNS > リクエストルーティングタブで、独自のDNSサーバへのルートを定義することができます。

DNSリクエストルートを作成するには、次の手順に従います。

1.

リクエストルーティングタブで新 規 DNSリクエストルートをクリックします。

DNSリクエストルートの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

ドメイン:代替DNSサーバを使用したいドメインを入力します。

ターゲットサーバ:上記ステップで入力したドメインを解決するために使用するDNSサーバを1

つ以上選択または追加します。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義

> ネットワーク定 義 ページで説明しています。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいルートがDNSリクエストルートリストに表示され、ただちに有効になります。

DNSリクエストルートを編集または削除するには、対応するボタンをクリックします。

7.1.4 スタティックエントリ

独自のDNSサーバをセットアップせず、ネットワーク内のいくつかのホストに対してスタティックDNS

マッピングが必要な場合は、これらのマッピングを入力することができます。

UTMバージョン9.1から、この機能は 定 義 とユーザ > ネットワーク定 義 タブに移動しています。現在

は、DNS マッピングは、関与するホストと共に定義されます。

スタティックエントリーボタンをクリックすると、定 義 とユーザ > ネットワーク定 義 タブが開きます。自

動的に、スタティックエントリがあるホストだけが表示されます。リストの上部にあるドロップダウンリ

ストを使用して、フィルタ設定を変更できます。

7.1.5 DynDNS

ダイナミックDNS(略してDynDNS)は、可変IPアドレスを持つコンピュータに静的インターネットドメイ

ン名を割り当てることを可能にするドメインネームサービスです。それぞれのDynDNSサービスプロ

UTM 9 WebAdmin 221

7.1 DNS 7 ネットワークサービス

バイダのWebサイトでDynDNSサービスにサインアップし、DNSエイリアスを取得すると、アップリン

クIPアドレスの変化に応じてこのエイリアスが自動的に更新されます。このサービスに登録する

と、設定に必要なホスト名、ユーザ名、パスワードが提供されます。

DynDNSを設定するには、次の手順に従ってください。

1. DynDNSタブで、新 規 DynDNSをクリックします。

DynDNSの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

タイプ:次のDynDNSサービスを使用できます。 l

DNS-O-Matic:特定のホスト名の代わりに一般ホスト名all.dnsomatic.comを使

用すると、すべての設定済みサービスを一度にアップデートできます

( www.dnsomatic.com/wiki/api もご覧ください)。公式ウェブサイト: www.dnsomatic.com

l

DNSdynamic:公式ウェブサイト: www.dnsdynamic.org

l

DNS Park: 公式ウェブサイト: www.dnspark.com

l

DtDNS: 公式ウェブサイト: www.dtdns.com

l

Dyn:サービスプロバイダDynamic Network Services Inc. (Dyn)の標準DNSサービス。

公式ウェブサイト: www.dyn.com

l

Dynカスタム:サービスプロバイダDynamic Network Services Inc. (Dyn)のカスタム

DNSサービス( www.dyn.com

)。カスタムDNSは、主にユーザ自身が所有または登録し

ているドメインを使用するために設計されています。 l

easyDNS:公式ウェブサイト: www.easydns.com

l

FreeDNS:公式ウェブサイト: freedns.afraid.org

l

Namecheap: 公式ウェブサイト: www.namecheap.com

l

No-IP.com:公式ウェブサイト: www.noip.com

l

OpenDNS IPアップデート: 公式ウェブサイト: www.opendns.com

l

selfHOST: 公式ウェブサイト: www.selfhost.de

l

STRATO AG: 公式ウェブサイト: www.strato.de

l

zoneedit: 公式ウェブサイト: www.zoneedit.com

サーバフィールドには、UTMがIPの変更を送信するURLが表示されます。

222 UTM 9 WebAdmin

7 ネットワークサービス 7.1 DNS

割 り当 て(FreeDNSタイプには無効):DynDNS名を関連付けるIPアドレスを定義します。

ローカルインタフェースがパブリックIPアドレスを持つ場合は、この ローカルインタフェースの

IPを選択すると便利です。通常は、DSLアップリンクに対してこのオプションを使用します。デ

フォルトルートの最 初 のパブリックIPを選択する場合、インタフェースの指定は不要です。

UTMデフォルトルートの最初のパブリックIPを選択する場合、インタフェースの指定は不要

です。代わりに、UTMがパブリックDynDNSサーバにWWW要求を送信し、パブリックDynDNS

サーバは現在使用中のパブリックIPを返します。

FreeDNSは、常にデフォルトルートの最初のパブリックIPアドレスを使用します。

インタフェース( ローカルインタフェースのIPのみ):DynDNSサービスを使用するインタフェース

を選択します。最も可能性が高いのは、インターネットに接続された外部インタフェースで

す。

レコード(DynおよびFreeDNSのみ):DynDNSサービスに使用するレコードを選択します。A

IPv4 AAAA デュアルスタック (Dynのみ)、およびAAAA IPv6 FreeDNSのみ)から

決定します。

ホスト名 (Open DNS IPアップデートタイプ以外):DynDNSサービスプロバイダから受け取っ

たドメイン名を入力します(例、example.dyndns.org)。ここでは、特定の構文を遵守して

ホスト名を入力する必要はありません。ここで入力が必要な内容は、各DynDNSサービスプ

ロバイダの要件に応じて異なります。DynDNSホスト名をゲートウェイのメインホスト名として

使用することもできますが、必須ではありません。

ラベル(Open DNS IPアップデートタイプのみ):ネットワークに与えられるラベルを入力しま

す。詳細情報は、OpenDNS Knowledgebaseを参照してください。

エイリアス(オプション、一部のタイプのみ):このボックスは、前述のメインホスト名と同じIP

アドレスをポイントする追加ホスト名を入力するために使用します(mail.example.com、 example.comなど)。

MX(オプション、DNS ParkDynDNSeasyDNSタイプのみ):MX(mail exchanger)は、ホス

ト名で指定されたサーバ以外の特定サーバにメールを送信するために使用します。MXレ

コードは、特定ドメインへのメールの送信先となるホスト(サーバ)を指定するという目的の

ために使用します。たとえば、MX として mail.example.com を指定すると、 [email protected] 宛てのメールはホストである mail.example.com に配信されます。

MX優 先 順 位 (オプション、DNS Parkタイプのみ):ドメインへのメールの配信に指定した

メールサーバを優先するかどうかを示す正の整数値を入力します。数値が低いサーバーが

UTM 9 WebAdmin 223

7.2 DHCP 7 ネットワークサービス

数値の高いサーバーよりも優先されます。DNS Parkでは、デフォルト値として5が使用され、

これがほとんどの目的に適っているため、このフィールドを空白のままにすることができま

す。MXの優先順位の詳細な技術情報については、 RFC 5321 を参照してください。

バックアップMX(オプション、DynDNSまたはeasyDNSタイプのみ):ホスト名 テキストボック

スで指定したホスト名がメインMXとなる場合のみ、このチェックボックスにチェックを入れま

す。すると、MXテキストボックスのホスト名はバックアップMXとしてのみアドバタイズされま

す。

ワイルドカード(オプション、DynDNSまたはeasyDNSタイプのみ):このオプションは、登録

したドメインと同じIPアドレスをサブドメインのポイント先とする場合に選択します。このオプ

ションを使用すると、ドメインにワイルドカードとしてアスタリスク (*) が追加されます

(*.example.dyndns.orgなど)。これにより、www.example.dyndns.org などが example.dyndns.org と同じアドレスをポイントするようになります。

ユーザ名 :DynDNSサービスプロバイダから受け取ったユーザ名を入力します。

パスワード:DynDNSサービスプロバイダから受け取ったパスワードを入力します。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいDynDNSがDynDNSリストに表示されます。サービスは無効になっています(トグルス

イッチは灰色)。

4. DynDNSを有効にします。

DynDNSサービスを有効にするには、トグルスイッチをクリックします。

これでサービスが有効になります(トグルスイッチは緑色)。

DynDNSを編集または削除するには、対応するボタンをクリックします。

複数のDynDNSオブジェクトを同時に使用することができます。2つのホスト名のすべての設定が

同じであれば、別オブジェクトを2つ作成するのではなく、 エイリアスオプションを使用することを推奨

します。

7.2 DHCP

DHCP Dynamic Host Configuration Protocol は、定義されたIPアドレスプールからクライアント

コンピュータにアドレスを自動的に割り当てます。大規模ネットワークにおけるネットワーク設定を

簡素化し、アドレスの衝突を防止するために設計されています。DHCP はクライアントに、IP アドレ

ス、デフォルトのゲートウェイ情報、DNS 設定情報を割り当てます。

224 UTM 9 WebAdmin

7 ネットワークサービス 7.2 DHCP

クライアントコンピュータの設定を簡素化し、モバイルコンピュータが複数のネットワークを問題なく

行き来できるようにすることに加え、DHCPはIPアドレスに関連する問題の原因特定とトラブル

シューティングもサポートします。これは、DHCPサーバ自体の設定に問題があることが多いためで

す。また、アドレスを必要に応じて割り当てて、不要な場合は再利用することができるため、すべて

のコンピュータが同時にアクティブになっていない場合などに、アドレススペースの使用をより効率

化することができます。

7.2.1 サーバ

ネットワークサービス> DHCP > サーバタブで、DHCPサーバを設定できます。Sophos UTMは、接続

されたネットワークだけでなく、他のネットワークに対してDHCPサービスを提供します。DHCPサー

バを使用して、クライアントに基本ネットワークパラメータを割り当てることができます。独自の構成

を持つそれぞれ独自のインタフェースとネットワークを取得して、複数のインタフェース上でDHCP

サービスを実行できます。

オプションタブでは、クライアントに送信する追加DHCPオプションまたは異なるDHCPオプ

ションを定義できます。 オプションタブで定義されるDHCPオプションは、そのスコープがグローバ

ルに設定されていない場合、 サーバタブの設定を上書きします。たとえば、選択したホストのみ

にDHCPオプションを定義するときに、DHCPサーバに定義されたものとは異なるDNSサーバまた

はリース期間を割り当てることができます。

DHCPサーバを設定するには、次の手順に従ってください。

1.

サーバタブで、新 規 DHCPサーバをクリックします。

DHCPサーバの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

インタフェース:IPアドレスをクライアントに割り当てるインタフェース。すでに設定されている

インタフェースのみを選択できます。

アドレスタイプ:このオプションはIPv6をグローバルに有効にしている場合にのみ使用できま

す。DHCPサーバのIPバージョンを選択します。

UTM上または別のデバイス経由でのステートフル自 動 設 定 (管理対象フラグ)のプ

レフィックス広告が必要になります。 インタフェース& ルーティング> IPv6 > プレフィックス広

告 タブで、プレプレフィックス広告を設定できます。

UTM 9 WebAdmin 225

7.2 DHCP 7 ネットワークサービス

レンジの先 頭 /末 尾 :そのインタフェースのアドレスプールとして使用するIPレンジ。デフォル

トで、ネットワークカードに設定されたアドレスエリアがテキストボックスに表示されます。ク

ライアントが同じネットワーク内にある場合、レンジはインタフェースが接続されたネットワー

ク内にする必要があります。クライアントが別のネットワークにある場合、レンジはリレーさ

れたDHCP要求の送信元ネットワーク内にする必要があります。

定義したDHCP IP範囲が広いほど、UTMはより多くのメモリを予約します。必ず、

DHCPの範囲のサイズを必要な値に減らしてください。最大許容範囲は、9ネットワークに

1つです。

DNSサーバ1/2:DNSサーバのIPアドレス。

デフォルトゲートウェイ(IPv4のみ):デフォルトゲートウェイのIPアドレスです。

ワイヤレスアクセスポイントとREDアプライアンスの両方で、デフォルトゲートウェイが

接続先インタフェースと同じサブネット内にある必要があります。

ドメイン(オプション):クライアントに送信されるドメイン名を入力します

(例:intranet.example.com)。

リース期 間 (IPv4のみ):DHCPクライアントがリースの更新を自動的に試行します。このリー

ス期間中にリースが更新されない場合、IPアドレスリースの期限が切れます。ここでは、そ

の間隔を秒数で定義できます。デフォルトは86,400秒(1日)です。最小値は600秒(10分)で、

最大値は2,592,000秒(1か月)です。

有 効 期 間 (IPv6のみ):DHCPクライアントがリースの更新を自動的に試行します。この有効

期間中にリースが更新されない場合、IPアドレスリースステータスが無効になり、アドレス

がインタフェースから削除され、他に割り当てられるようになります。間隔は5分から無限の

間で選択できますが、有効期間は推奨期間以上にする必要があります。

推 奨 期 間 (IPv6のみ):DHCPクライアントがリースの更新を自動的に試行します。この推奨

期間中にリースが更新されない場合、IPアドレスリースステータスがデプリケート、つまり引

き続き有効ではあるものの、新しい接続には使用されないようになります。間隔は、5分か

ら無限の間で選択できます。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

226 UTM 9 WebAdmin

7 ネットワークサービス 7.2 DHCP

WINSノードタイプ(IPv4のみ):WINS Windows Internet Naming Service とは、マイクロ

ソフトがWindowsに実装したNBNS NetBIOS Name Server であり、NetBIOSコンピュータ

名用のネームサーバおよびサービスです。WINSサーバは、コンピュータ名をIPアドレスと一

致させるデータベースとして機能するため、NetBIOSを使用しているコンピュータがTCP/IP

ネットワークのメリットを利用できるようになります。次のWINSノードタイプを使用できます。 l

設 定 しない:WINSノードタイプは設定するのではなくクライアントに選択されます。 l

Bノード WINSなし :Bノードシステムはブロードキャストのみを使用します。 l

Pノード WINSのみ :PノードシステムはWINS(Windows name server)へのポイント

ツーポイントの名前問い合わせのみを使用します。 l

Mノード ブロードキャスト後 WINS :Mノードシステムは、まずブロードキャストしてか

ら、ネームサーバに問い合わせを行ないます。 l

Hノード WINS後 ブロードキャスト :Hノードシステムは、まずネームサーバに問い

合わせてから、ブロードキャストします。

WINSサーバ:選択したWINSノードタイプに応じて、このテキストボックスが表示されます。

WINSサーバのIPアドレスを入力します。

スタティックマッピングされたクライアントのみ(オプション):スタティックDHCP マッピングがある

クライアントのみにDHCPサーバがIPアドレスを割り当てるようにするには、このオプションを

選択します 定 義 とユーザ ネットワーク定 義 > ネットワーク定 義 を参照)。

HTTPプロキシ自 動 設 定 の有 効 化 : ブラウザの自動プロキシ設定用にPACファイルを提

供するには、このオプションを選択します。詳細情報は、Webプロテクション> フィルタリングオ

プション>

その他

の章で、 プロキシの自 動 設 定 セクションを参照してください。

Microsoft Windowsでは現在、IPv6でHTTPプロキシの自動設定をサポートしていませ

ん。

DHCPリレー経 由 のクライアント(IPv4のみ):これを選択すると、DHCPサーバは接続された

インタフェースのネットワーク内に存在しないクライアントにIPアドレスを割り当てます。この

場合、上に定義されたアドレスレンジは、接続されたインタフェースのネットワーク内ではな

く、リレーされたDHCP要求の転送元ネットワーク内にする必要があります。

ネットマスク:リレーされたDHCP要求の転送元ネットワークのネットマスクを選択しま

す。

4.

保 存 をクリックします。

UTM 9 WebAdmin 227

7.2 DHCP 7 ネットワークサービス

新しいDHCPサーバ定義がDHCPサーバのリストに表示され、ただちにアクティブになってい

ます。

DHCPサーバ定義を編集または削除するには、対応するボタンをクリックします。

7.2.2 リレー

ネットワークサービス> DHCP > リレータブでは、DHCPリレーを設定することができます。DHCPサー

ビスは別のDHCPサーバによって提供され、UTMはリレーとして機能します。DHCPリレーを使用す

ると、ネットワークセグメントをまたいでDHCP要求および応答を転送することができます。DHCP

サーバと、DHCPトラフィックが転送されるインタフェースのリストを指定する必要があります。

DHCPリレーを設定するには、次の手順に従ってください。

1.

リレータブで、DHCPリレーを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、DHCPリレー設 定 エリアが編集可能になります。

2. DHCP サーバーを選 択 します。

3. 関与するインタフェースを追加します。

DHCPサーバへのインタフェース、ならびにDHCP要求および応答を転送するクライアント

ネットワークへのすべてのインタフェースを追加します。

4.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

設 定 をキャンセルするには、アンバー色 のトグルスイッチをクリックします。

7.2.3 DHCPv6リレー

ネットワークサービス> DHCPv6リレータブでは、IPv6のDHCPリレーを設定することができます。

DHCPサービスは別のDHCPv6インタフェースによって提供され、UTMはリレーとして機能します。

DHCPv6リレーを使用すると、ネットワークセグメントをまたいでDHCP要求および応答を転送するこ

とができます。

DHCPv6リレーを使用するには、インタフェース& ルーティング> IPv6 > グローバルタブのIPv6

を有効化しなければなりません。

DHCPv6リレーを設定するには、次の手順に従ってください。

228 UTM 9 WebAdmin

7 ネットワークサービス 7.2 DHCP

1. DHCPv6リレータブで、DHCPv6リレーを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、DHCPv6リレー設 定 エリアが編集可能になります。

2. 関与する、クライアントと接続しているインタフェースを追加します。

インタフェースを、DHCPv6要求および応答を転送するクライアントネットワークに追加しま

す。

3. 関与する、サーバと接続しているインタフェースを追加します。

DHCPv6サーバと接続しているインタフェースを追加します。

4.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

設 定 をキャンセルするには、アンバー色 のトグルスイッチをクリックします。

7.2.4 スタティックマッピング

一部または全部のクライアントのIPアドレスとクライアント間のスタティック(静的)マッピングを作

成できます。UTM バージョン9.1から、この機能は 定 義 とユーザ > ネットワーク定 義 タブに移動して

います。現在は、DHCP マッピングは、関与するホストと共に定義されます。

スタティックマッピングボタンをクリックすると、定 義 とユーザ > ネットワーク定 義 タブが開きます。自

動的に、スタティックマッピングがあるホストだけが表示されます。リストの上部にあるドロップダウ

ンリストを使用して、フィルタ設定を変更できます。

7.2.5 IPv4リーステーブル

DHCPを使用すると、クライアントはIPアドレスを持つのではなく、DHCPサーバからIPアドレスを

借りる(リースする)ことになります。これにより、アドレスを一定期間にわたって使用する許可をク

ライアントに与えます。

ネットワークサービス> DHCP > IPv4リーステーブルタブにあるリーステーブルには、DHCPサーバが

現在発行しているリースが、開始日付やリースの有効期限日などの情報とともに表示されます。

新 しいホスト定 義 へのスタティックマッピングの追 加

定義するホストで、既存のリースをスタティックMAC/IPマッピングのテンプレートとして使用すること

ができます。以下の手順に従ってください。

UTM 9 WebAdmin 229

7.2 DHCP 7 ネットワークサービス

1. 該当するリースについて、 スタティックにする列のスタティックにするボタンをクリックします。

スタティックにするダイアログウィンドウが開きます。

2. 次の設定を行います。

アクション: 新 しいホストを作 成 するを選択します。

名 前 :新しいホストを説明する名前を入力します。

DHCPサーバ:スタティックマッピングで使用するDHCPサーバを選択します。対応する

DHCP 範囲が、下のドロップダウンリストに表示されます。

IPv4アドレス:DHCPプール範囲外のアドレスにIPアドレスを変更します。

リースをスタティックマッピングに変換する場合、DHCPプールの範囲外のIPアドレス

に変更する必要があります。ただし、IPアドレスを変更しても、クライアントの使用するアド

レスはすぐには変更されず、次にリース更新を試行するまで変更されません。

DNSホスト名 :DNSホスト名を入力すると、ホストのスタティックDNSエントリとして使用され

ます。

リバースDNS:ホストのIPアドレスと名前のマッピングを有効化するには、チェックボックスに

チェックを入れます。同じIPアドレスに複数の名前をマッピングすることが可能ですが、1つ

のIPアドレスには1つの名前にしかマッピングできません。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

設定が保存されます。

スタティックマッピングを持つ新しいホストは、 定 義 とユーザ > ネットワーク定 義 タブで見つけること

ができます。

既 存 のホスト定 義 へのスタティックマッピングの追 加

既存のリースを新しいスタティック MAC/IP マッピングのテンプレートとして使用し、ホストの定義に

使用できます。以下の手順に従ってください。

1. 望ましいリースの 静 的 化 列の静 的 化 ボタンをクリックします。

スタティックにするダイアログウィンドウが開きます。

2. 次の設定を行います。

アクション: 既 存 のホストを使 用 を選択します。

ホスト:フォルダアイコンをクリックして、ホストを追加します。

230 UTM 9 WebAdmin

7 ネットワークサービス 7.2 DHCP

3.

保 存 をクリックします。

設定が保存されます。

静的マッピングによるホストは、 定 義 とユーザー > ネットワーク定 義 タブに表示されます。

7.2.6 IPv6リーステーブル

DHCPを使用すると、クライアントはIPアドレスを持つのではなく、DHCPサーバからIPアドレスを

借りる(リースする)ことになります。これにより、アドレスを一定期間にわたって使用する許可をク

ライアントに与えます。

ネットワークサービス> DHCP > IPv6リーステーブルタブにあるリーステーブルには、DHCPサーバが

現在発行しているリースが、開始日付やリースの有効期限日などの情報とともに表示されます。

プレフィックス広告経由で付与されたリースはテーブルに表示されません。

新 しいホスト定 義 へのスタティックマッピングの追 加

定義するホストで、既存のリースをスタティックMAC/IPマッピングのテンプレートとして使用すること

ができます。以下の手順に従ってください。

1. 該当するリースについて、 スタティックにするボタンをクリックします。

スタティックにするダイアログウィンドウが開きます。

2. 次の設定を行います。

アクション: 新 しいホストを作 成 するを選択します。

名 前 :新しいホストを説明する名前を入力します。

DHCPサーバ:スタティックマッピングで使用するDHCPサーバを選択します。対応する

DHCP 範囲が、下のドロップダウンリストに表示されます。

IPv6アドレス:DHCPプール範囲外のアドレスにIPアドレスを変更します。

リースをスタティックマッピングに変換する場合、DHCPプールの範囲外のIPアドレス

に変更する必要があります。ただし、IPアドレスを変更しても、クライアントの使用するアド

レスはすぐには変更されず、次にリース更新を試行するまで変更されません。

DNSホスト名 :DNSホスト名を入力すると、ホストのスタティックDNSエントリとして使用され

ます。

UTM 9 WebAdmin 231

7.2 DHCP 7 ネットワークサービス

リバースDNS: ホストのIPアドレスと名前のマッピングを有効化するには、チェックボックス

にチェックを入れます。同じIPアドレスに複数の名前をマッピングすることが可能ですが、1

つのIPアドレスには1つの名前にしかマッピングできません。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

設定が保存されます。

既 存 のホスト定 義 へのスタティックマッピングの追 加

既存のリースを新しいスタティック MAC/IP マッピングのテンプレートとして使用し、ホストの定義に

使用できます。以下の手順に従ってください。

1. 望ましいリースの

静 的 化 列の静 的 化 ボタンをクリックします。

スタティックにするダイアログウィンドウが開きます。

2. 次の設定を行います。

アクション: 既 存 のホストを使 用 を選択します。

ホスト:フォルダアイコンをクリックして、ホストを追加します。

3.

保 存 をクリックします。

設定が保存されます。

静的マッピングによるホストは、 定 義 とユーザー > ネットワーク定 義 タブに表示されます。

7.2.7 オプション

ネットワークサービス> DHCP > オプションタブを使用すると、DHCPオプションを設定することができ

ます。DHCPオプションは、DHCPサーバによりDHCPクライアントに提供される追加設定パラメータ

です。

例:一部のVoIP電話の場合、DHCPサーバから必要な情報を提供するために、このページで3つ

の追加DHCPオプションを作成して有効にする必要があります。 l

ファイル名 :ブートファイルの名前。 l

次 のサーバ:ブートファイルを提供するTFTPサーバの名前。 l

4 タイムサーバ :タイムサーバのIPアドレス。

DHCPオプションに異なるスコープを許可:選択したホストのみに提供するか、選択したサーバから

のみとするか、グローバルにすることもできます。このため、同じホストに異なるパラメータを定義す

ることができます。一部のDHCPオプションは、DNSサーバ(オプション6)など、DHCP > サーバタブ

232 UTM 9 WebAdmin

7 ネットワークサービス 7.2 DHCP

で既に定義されています。パラメータ値が一致しない場合、次の優先順位でパラメータがクライア

ントに提供されます。

1. スコープがホストのDHCPオプション

2. スコープがMACプレフィックスのDHCPオプション

3. スコープがベンダIDのDHCPオプション

4. スコープがサーバのDHCPオプション

5. DHCPサーバパラメータ(DHCP > サーバタブ)

6. スコープがグローバルのDHCPオプション

DHCP要求では、DHCPクライアントが処理できるDHCPオプションに関する情報を送信しま

す。その結果、DHCPサーバは、ここに定義されたオプションに関係なく、クライアントが理解でき

るDHCPオプションのみを提供します。

DHCPオプションを作成するには、次の手順に従います。

1.

新 規 DHCPオプションをクリックします。

DHCPを追 加 オプションダイアログボックスが開きます。

2. 次の設定を行います。

アドレスタイプ(IPv6が有効な場合のみ):DHCPオプションを作成するIPバージョンを選択し

ます。

コード:作成するDHCPオプションのコードを選択します。

ファイル名 エントリでは、そこで実行するDHCP クライアントにロードするファイルを指

定できます。 次 のサーバでは、ブートサーバを定義できます。番号付きDHCPオプション

コードは、 RFC 2132 などで定義されています。

名 前 :このオプションを説明する名前を入力します。

タイプ:コメントが

不 明 のコードを選択した場合にのみ使用できます。オプションのデータ

タイプを選択します。データタイプには、IPアドレス、テキスト、16進 を使用できます。選択し

たデータタイプに応じて、対応する下のフィールドに適切なデータを入力します。

アドレス:このDHCPオプションでDHCPクライアントに送信するホストまたはネット

ワークグループのIPアドレスを選択します。定義を追加する方法は、 定 義 とユーザ >

ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

UTM 9 WebAdmin 233

7.3 NTP 7 ネットワークサービス

テキスト:このDHCPオプションでDHCPクライアントに送信するテキストを入力します。

16進 :このDHCPオプションでDHCPクライアントに送信する16進値を入力します。16

進数をコロンで2桁の区切ってまとめた形式で指定します(00:04:76:16:EA:62な

ど)。

整 数 :このDHCPオプションでDHCPクライアントに送信する整数値を入力します。

スコープ:DHCPオプションを送信する条件を定義します。 l

グローバル:DHCPオプションが定義されているすべてのDHCPサーバによりすべて

のDHCPクライアントに送信されます。 l

サーバ: サーバボックスには、DHCPオプションを送信するDHCP サーバを選択しま

す。ボックスには、DHCPサーバタブに定義されているすべてのDHCPサーバが表示

されます。 l

ホスト: ホストボックスでは、DHCPオプションが提供される必要があるホストを追加

または選択します。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネッ

トワーク定 義 ページで説明しています。 l

MACプレフィックス:MACプレフィックスを入力します。MACアドレスが一致するすべ

てのDHCPクライアントにDHCPオプションが提供されます。 l

ベンダID:ベンダIDまたはベンダIDのプレフィックスを入力します。この文字列に一致

するすべてのDHCPクライアントにDHCPオプションが提供されます。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

DHCPオプションリストに新しいDHCPオプションが表示され、直ちにアクティブになります。

DHCPオプションを編集または削除するには、対応するボタンをクリックします。

7.3 NTP

ネットワークサービス> NTPメニューを使 用 すると、接 続 されたネットワーク用のNTPサーバを設定

することができます。NTP Network Time Protocol)とは、IPネットワーク経由でコンピュータシステ

ムのクロックの同期をとるために使用するプロトコルです。Sophos UTMの時刻の同期 ( マネジメント

> システム設 定 > 日 付 と時 刻 タブで設定) だけではなく、特定のネットワークがこのサービスを使

用できるように明示的に許可することもできます。

特定のネットワークに対して NTP による時刻同期を有効にするには、次の手順に従ってください。

234 UTM 9 WebAdmin

7 ネットワークサービス 7.3 NTP

1. NTPサーバを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、NTPオプションエリアが編集可能になります。

2.

許 可 ネットワークを選択します。

NTPサーバへのアクセスを許可するネットワークを追加または選択します。定義を追加する

方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

3.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

UTM 9 WebAdmin 235

8 ネットワークプロテクション

ネットワークプロテクションSophos UTM WebAdmin の ネットワークプロテクション統 計 ページには、送

信元ホストと宛先ホストの両方に対する侵入防御イベントおよび破棄されたデータパケットの概要

が表示されます。各セクションには 詳 細 リンクがあります。リンクをクリックするとWebAdminのそれ

ぞれのレポーティングセクションが表示され、そこでさらなる統計情報を参照できます。

高 度 な脅 威 防 御 :最 新 のイベントリストのプラス(+)アイコンをクリックすることで、ネット

ワーク/ホスト除 外 または脅 威 除 外 を直接追加することができます。

この章には次のトピックが含まれます。 l

ファイアウォール

l

ネットワークアドレス変換

l

高度な脅威防御

l

侵入防御(IPS)

l

サーバロードバランシング

l

ボイスオーバーIP(VoIP)

l

詳細設定

8.1 ファイアウォール

ネットワークプロテクション> ファイアウォールメニューを使用すると、ゲートウェイのファイアウォール

ルールを定義し、管理することができます。一般的に、ファイアウォールはゲートウェイの中核部分

で、ネットワーク環境においてセキュリティポリシで禁止されている通信を妨げます。Sophos UTMの

デフォルトのセキュリティポリシでは、ゲートウェイの他のソフトウェアコンポーネントが機能するた

めに必要な、自動的に生成されたルールセットを除くすべてのネットワークトラフィックをブロックし

てログします。ただし、自動的に生成されたルールセットは ファイアウォール > ルールタブには表示さ

れません。このポリシーでは、どのデータトラフィックにゲートウェイの通過を許可するかを明確に

定義する必要があります。

8.1 ファイアウォール 8 ネットワークプロテクション

8.1.1 ルール

ネットワークプロテクション> ファイアウォール > ルールタブでは、ファイアウォールルールセットを管

理できます。タブを開くと、デフォルトで、ユーザ作成のファイアウォールルールだけが表示されま

す。リストの上部にあるドロップダウンリストを使用すると、代わりに自動ファイアウォールルールを

表示したり、両方のタイプのルールを表示したりすることを選べます。自動ファイアウォールルール

は、明瞭な背景色で表示されます。自動ファイアウォールルールは、設定の1つ(例、IPsecまたは

SSL接続の作成)として選択した 自 動 ファイアウォールルールチェックボックスに基 づいてUTMが生

成 します。

新規に定義したすべてのファイアウォールルールは、ルールテーブルに追加されると、デフォルト

で無効になります。自動ファイアウォールルールおよび有効になっているユーザ作成のファイア

ウォールルールが、最初ルールが一致するまで、所定の順番で適用されます。自動ファイア

ウォールルールは、常にリストの一番上にあります。ユーザ作成のファイアウォールルールの処

理順序は位置番号によって決まるため、位置番号によってルールの順序を変更すると、処理順

序も変わります。

警 告 1つのファイアウォールルールが一致すると、他のすべてのルールは無視されます。そ

のため、ルールの順番は非常に重要です。

すべて 送 信 元 – すべて サービス – すべて 宛

先 – 許 可 アクション のようなルールは、ルールテーブルの上部には配置しないでください。こ

のようなルールをルールテーブルの上部に配置すると、各パケットがゲートウェイを双方向に通

過できるようになり、以降の他のルールはすべて無視されます。

ファイアウォールルールを作成するには、次の手順に従います。

1.

ルールタブで、新 規 ルールをクリックします。

ルールの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

グループ: グループオプションを使用すると、ルールを論理的にグループ化できます。 リスト

の上部にあるドロップダウンリストを使用すると、ルールをグループ別にフィルタできます。グ

ループ化は表示用のみで、ルールの一致には関係ありません。新しいグループを作成する

には、<< 新 規 グループ>>エントリを選択し、グループを説明する名前を名 前 に入力しま

す。

優 先 順 位 :ルールの優先順位を定義する位置番号。番号が小さいほど優先順位が高くな

ります。ルールは昇順に照合されます。あるルールが一致すると、それ以降、それより大き

い番号のルールは評価されません。

238 UTM 9 WebAdmin

8 ネットワークプロテクション 8.1 ファイアウォール

送 信 元 :パケットの送信元のホストまたはネットワークを説明する送信元ネットワークの定

義を追加または選択します。

ヒント定義を追加する方法は、定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義

ページで説明しています。

サービス:プロトコルを説明するサービス定義を追加または選択します。TCPまたはUDPの

場合は、パケットの送信元および宛先ポートになります。

宛 先 :パケットのターゲットホストまたはネットワークを説明する宛先ネットワークの定義を

追加または選択します。

複数の送信元、サービスおよび/または宛先を選択すると、ルールは可能性がある

送信元-サービス-宛先のすべての組み合わせに対して適用されます。たとえば、2つの

送信元、2つのサービス、2つの宛先を含むルールは、それぞれの送信元からそれぞれの

宛先で両方のサービスを使用する8つの単一ルールに相当します。

アクション:アクションは、ルールに一致したトラフィックに対する処理を説明します。次のア

クションを選択できます。 l

許 可 :接続を許可し、トラフィックを送ります。 l

破 棄 :このアクションが指定されたルールと一致したパケットは、警告なしでドロップ

されます。 l

拒 否 :このアクションが指定されたルールと一致した接続要求はアクティブに拒否さ

れます。送信者にはICMPメッセージで通知されます。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

時 間 帯 :デフォルトでは、期間定義は選択されていません。つまり、ルールは常に有効で

す。時間帯定義を選択すると、時間帯定義で指定された期間だけルールが有効になりま

す。詳細は、

時 間 帯 定 義

を参照してください。

トラフィックをログ:このオプションを選択すると、ログが有効になり、ルールに一致したパケッ

トがファイアウォールログにログされます。

送 信 元 MACアドレス定 義 :どのMACアドレスからパケットが送信されているかを説明す

る、MAC アドレスのリスト定義を選択します。選択すると、パケットがルールに一致するに

は、送信元のMACアドレスがこの定義でリストされている場合だけです。送信元

すべてと組

UTM 9 WebAdmin 239

8.1 ファイアウォール 8 ネットワークプロテクション

み合わせてMACアドレスリストを使用することはできません。MACアドレスリストは、 定 義 と

ユーザ > ネットワーク定 義 > MACアドレス定 義 タブで定義されます。

4.

保 存 をクリックします。

新しいルールが ルールリストに表示されます。

5.

ファイアウォールルールを有効にします。

新しいルールはデフォルトで無効になっています (トグルスイッチはグレー表示)。ルールを

有効にするには、トグルスイッチをクリックします。

これでルールが有効になります (トグルスイッチは緑色)。

ルールを編集または削除するには、対応するボタンをクリックします。

ライブログを開 く:フィルタされたパケットのリアルタイムログを含むポップアップウィンドウを開きま

す。表示は定期的に更新されて、最新のネットワークアクティビティが示されます。適用されたアク

ションによって、背景色が次のように変化します。 l

赤色:パケットは破棄されました。 l

黄色:パケットは拒否されました。 l

緑色:パケットは許可されました。 l

灰色:アクションを決定できませんでした。

ライブログには、パケットが拒否される原因となったファイアウォールルールに関する情報も含ま

れます。こうした情報は、ルールのデバッグに必須です。検索機能を使用して、特定のエントリに

ついてファイアウォールログをフィルタすることができます。検索機能では、表現の前にダッシュ

(-)を付けることで、その表現を無効にできます。たとえば、-WebAdminと指定すると、この表現を

含むすべての行を連続して非表示にできます。

自 動 スクロールチェックボックスにチェックを入れると、ウィンドウのスクロールバーが自動的にス

クロールダウンして、常に最新の結果が表示されます。

以下に、ファイアウォールの設定に関する基本的なヒントをいくつか示します。 l

ドロップされたブロードキャスト: デフォルトでは、すべてのブロードキャストはドロップされ、

ログもされません(詳細は

詳細 を参照)。この機能はNetBIOS(たとえば、Microsoft Windows

オペレーティングシステム)を使用する多数のコンピュータから成るネットワークで役立ちま

す。この理由は、ファイアウォールのログファイルは、ブロードキャストによってすぐにいっぱ

いになるからです。ブロードキャストのドロップルールを手動で定義するには、接続されたす

べてのネットワークのブロードキャストアドレスの定義をグループ化し、

255.255.255.255/255.255.255.255の「global_broadcast」定義を追加し、次にファイア

ウォール設定上部でこれらのアドレスに対するすべてのトラフィックをドロップするルールを

240 UTM 9 WebAdmin

8 ネットワークプロテクション 8.1 ファイアウォール

追加します。ブロードキャストを多用するネットワークでは、これによってシステムのパフォー

マンスも向上します。 l

IDENTトラフィックのリジェクト:IDENTリバースプロキシを使用しない場合は、内部ネットワー

クのポート113 (IDENT)へのトラフィックをアクティブに拒否できます。これにより、FTP、

IRC、およびSMTPなどのIDENTを使用するサービスの長いタイムアウトを防止できます。

マスカレーディングを使用している場合は、マスカレードされているネットワークに対

するIDENT要求が、マスカレードするインタフェースに届きます。 l

NATはネットワークパケットのアドレスを変更するため、ファイアウォールの機能に影響を与

えます。 l

DNATはファイアウォールの 前に適用します。これは、ファイアウォールが、すでに変

換されたパケットを「見る」ことを意味します。DNAT関連のサービスにルールを追加

する際は、これを考慮することが必要です。 l

SNATおよびマスカレーディングはファイアウォールの 後に適用されます。これは、

ファイアウォールは、オリジナルの送信元アドレスを持つ変換されていないパケット

をまだ「見る」ことを意味します。

テーブルヘッダのコントロールパネルを使用して、特定の基準でファイアウォールルールをフィルタ

して、読みやすいようにルールを再構成できます。グループを定義している場合は、ドロップダウン

メニューからグループを選択し、このグループに属するすべてのルールを見ることができます。検

索フィールドを使用して、キーワードあるいは単に文字列を探して、それに関連するルールを表示

できます。検索は、ルールの送信元、宛先、サービス、グループ名、およびコメントで構成されま

す。

8.1.2 送 受 信 国 別 ブロック

ネットワークプロテクション> ファイアウォール > 送 受 信 国 別 ブロックタブで、特定国からの、または

特定国へのトラフィックをブロックできます。1つの国/場所あるいは大陸全体をブロックできます。

このブロックは、ホストのIPアドレスのGeoIP情報に基づいています。

送受信国別ブロックを有効にするには、以下の手順に従います。

1. 送受信国別ブロックを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、 国 エリアが編集可能になります。

2. ブロックする場所を選択します。

UTM 9 WebAdmin 241

8.1 ファイアウォール 8 ネットワークプロテクション

場所名の前にあるドロップダウンリストを使用して、それぞれの場所のブロック状況を指定

します: l

すべて:この場所へのすべての受信、またはこの場所からのすべての送信がブロッ

クされます。 l

送 信 元 :この場所を送信元とするトラフィックがブロックされます。 l

宛 先 :この場所を宛先とするトラフィックがブロックされます。 l

オフ:この場所からのトラフィック、ならびにこの場所へのトラフィックが許可されま

す。

ヒントある地域のすべての場所について、同一のブロックステータスを簡単に選択する

ことができます。これを行うには、それぞれの地域の名前の前にあるドロップダウンリスト

でブロックステータスを選択します。

3.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑に変わり、お使いの設定に従い、選択したロケーションからの/へのトラ

フィックがブロックされます。

国 ブロックの例 外 タブで、ブロックされる場所に対して例外を定

義することができます。

ヒントこのページの各セクションは、セクションヘッダの右にあるアイコンをクリックして、折りた

たみ/展開できます。

8.1.3 国 ブロックの例 外

ネットワークプロテクション> ファイアウォール > 国 ブロックの例 外 タブでは、国 ブロックタブでブロックさ

れる国の例外を定義できます。例外は、トラフィックの方向やサービスを考慮に入れて、ブロックさ

れている国/場所と特定のホストまたはネットワークとの間でのトラフィックに適用されます。

国ブロックの例外を作成するには、次の手順に従います。

1.

新 規 例 外 リストをクリックします。

除 外 リストを追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :除外を説明する名前を入力します。

コメント(オプション):説明などの情報を追加します。

242 UTM 9 WebAdmin

8 ネットワークプロテクション 8.1 ファイアウォール

これらのブロックをスキップ: l

地 域 : このドロップダウンリストを使用して、 国 ボックスに表示される国を絞り込むこ

とができます。 l

国 :例外を指定する国や地域の前にあるチェックボックスを選択します。すべての国

を一度に選択するには、 すべてを選 択 チェックボックスを有効にします。

例えば内部IPアドレスなど、任意の国に関連していないものも含め、すべて

のIPアドレスを選択するには、 すべて外 すチェックボックスを使用し、すべての

チェックボックスからチェックを外します。

全 リクエストに適 用 :国ブロックをスキップ条件を選択します。下のボックスで選択したホスト

/ネットワークを参照することで、送信および受信を選ぶことができます。 l

ホスト/ネットワーク:上のドロップダウンリストで選択したエントリに応じて、選択した

国との送信トラフィックまたは受信トラフィックを許可するホスト/ネットワークを追加

または選択します。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネッ

トワーク定 義 ページで説明しています。

サービスを利 用 :オプションで、選択したホスト/ネットワークと選択した国/場所の間で許可

するサービスを追加します。サービスが選択されていない場合、すべてのサービスが許可

されます。

3.

保 存 をクリックします。

新しい国ブロックの例外が 国 ブロックの例 外 リストに表示されます。

除外ルールを編集または削除するには、対応するボタンをクリックします。

国 ブロックの例 外 を使 用 する

国ブロックの例外は以下のように使用します:

インタフェース/リモート

ホスト

要 求

ローカルインタフェース 送 信 元

ホスト/ネットワーク

ローカルインタフェース 宛 先

リモートホスト 内 部

ネットワーク

送 信 元

ローカルインタフェースアド

レスを入 力

ローカルインタフェースアド

レスを入 力

スキップする国 を選 択

スキップする国 を選 択

内 部 ホスト/ネットワークを

入 力

スキップする国 を選 択

UTM 9 WebAdmin 243

8.1 ファイアウォール 8 ネットワークプロテクション

インタフェース/リモート

ホスト

要 求

リモートホスト 外 部

ネットワーク

送 信 元

リモートホスト 内 部

ネットワーク

リモートホスト 外 部

ネットワーク

宛 先

宛 先

ホスト/ネットワーク 国

外 部 ホストを入 力 国 を選 択 しないでくださ

内 部 ホスト/ネットワークを

入 力

スキップする国 を選 択

外 部 ホストを入 力 国 を選 択 しないでくださ

8.1.4 ICMP

ネットワークプロテクション> ファイアウォール > ICMPタブで、インターネット制 御 メッセージプロトコル

(ICMP)の設定を構成できます。ICMPを使用して、ホスト間で接続関連のステータス情報をやり取

りします。ICMPはネットワーク接続のテストやネットワークの問題のトラブルシューティングに重要

です。

このタブで任意のICMPトラフィックを許可すると、ファイアウォールのICMP設定が上書きされま

す。特定のホストやネットワークだけにICMPを許可する場合は、 ファイアウォール > ルールタブを使

用します。

グローバル

ICMP設 定

以下のグローバルICMPオプションを利用できます。 l

ゲートウェイ上 でのICMPを許 可 :このオプションで、どの種類のICMPパケットにもゲート

ウェイが対応できるようにします。 l

ICMPのゲートウェイ通 過 を許 可 :このオプションを使用すると、内部ネットワーク、つまりデ

フォルトゲートウェイを使用しないネットワークからパケットが送信される場合、ゲートウェイ

を通してICMPパケットを転送可能になります。 l

ICMPリダイレクトをログ:ICMPリダイレクトは、パケットの宛先へのより良いルートを探すた

めに、1台のルータから別のルータに送信されます。ルータはルーティングテーブルを変更し

て、より適切と想定されるルートを経由して同じ宛先にパケットを送ります。このオプションを

選択すると、ゲートウェイが受信したすべてのICMPリダイレクトがファイアウォールログにロ

グされます。

244 UTM 9 WebAdmin

8 ネットワークプロテクション 8.1 ファイアウォール

有効にすると、ICMP設定は、すべてのICMP パケットに適用されます。ICMP経由で送信さ

れる場合は、たとえ対応するpingやtracerouteの設定が無効であっても、pingやtracerouteも含ま

れます。

Ping設 定

pingプログラムは、IPネットワークを横断して特定ホストに到達できるかどうかをテストするための

コンピュータネットワークツールです。ping は、ICMP

エコー要 求 パケットをターゲットホストに送信

し、ICMP エコー応 答 による返信を待機することで機能します。ping は、間隔のタイミングと応答率

を使用して、ホスト間の往復時間とパケット紛失率を評価します。

以下のpingオプションを利用できます。 l

ゲートウェイはpingで可 視 :ゲートウェイはICMPエコー要 求 パケットに応答します。この機

能はデフォルトで有効になっています。 l

ゲートウェイからのping:ゲートウェイでpingコマンドを使用できます。この機能はデフォルト

で有効になっています。 l

ゲートウェイはpingを転 送 :ゲートウェイは、内部ネットワーク、つまりデフォルトゲートウェ

イを使用しないネットワークから送信されるICMP エコー要 求 およびエコー応答パケットを転

送します。

有効であれば、たとえ対応するtracerouteの設定が無効であっても、pingの設定も traceroute ICMPパケットを許可します。

Traceroute設 定

traceroute(トレースルート)プログラムは、IPネットワーク上でパケットが使用するルートの決定に

使用されるコンピュータネットワークツールです。tracerouteは、パケットの伝送に関与したルータの

IPアドレスを一覧表示します。一定の時間内にパケットのルートを判断できない場合は、IPアドレ

スの代わりにアスタリスク(*)で報告します。一定の回数だけ失敗すると、確認作業は終了します。

確認の中断には多くの理由が考えられますが、ほとんどの場合は、ネットワークパスのファイア

ウォールが traceroute パケットをブロックすることが原因となります。

以下のtracerouteオプションを利用できます。 l

ゲートウェイはtracerouteで可 視 :ゲートウェイはtracerouteパケットに応答します。 l

ゲートウェイはtracerouteを転 送 :ゲートウェイは内部ネットワーク、つまりデフォルトゲート

ウェイを使用しないネットワークから送信されるtracerouteを転送します。

UTM 9 WebAdmin 245

8.1 ファイアウォール 8 ネットワークプロテクション

UTM内のブリッジモードではパケットフィルタを使用して、トラフィックがUTMを通過できるよ

うにします(webサーフィントラフィックなど)。この場合、ICMPのゲートウェイ通 過 を許 可 、ゲート

ウェイはpingを転 送 、およびゲートウェイは転 送 の各オプションは、ブリッジモードでは機能しなく

なります。

さらに、UNIX tracerouteアプリケーション用のUDPポートも開きます。

有効であれば、たとえ対応するpingの設定が無効であっても、tracerouteの設定もpingパ

ケットを許可します。

8.1.5 詳 細

ネットワークプロテクション> ファイアウォール > 詳 細 タブには、ファイアウォールおよびNATルールの

詳細設定が含まれています。

コネクショントラッキングヘルパ

コネクショントラッキングヘルパを使用することにより、複数のネットワークコネクションを使用するプ

ロトコルでファイアウォールあるいはNATルールを使用できます。 ファイアウォールが取り扱うすべ

ての接続は、conntrackカーネルモジュール(コネクショントラッキングプロセスとも呼ばれます)で追

跡します。FTPやIRCなどのプロトコルにはいくつかのポートを開くことが必要で、それらの正常な

機能をサポートする特別なコネクショントラッキングヘルパが必要になります。これらのヘルパは

特別なカーネルモジュールで、追加のコネクションを最初のコネクションに関連付けることによって

(通常はデータストリームから関連するアドレスを読み取ることで)特定します。

たとえば、FTPのコネクションが正常に機能するには、FTP conntrackヘルパを選択する必要があり

ます。これはFTPプロトコルの特異性によるもので、それによってFTPコントロールコネクションと呼

ばれる単一のコネクションを確立します。このコネクションでコマンドが発行されると、他のポートが

開いてその特定コマンドに関連するデータの残りを実行します(例:ダウンロードあるいはアップ

ロード)。問題は、それらは動的にネゴシエートされたため、ゲートウェイがこれらの特別なポートを

知らない、ということです。したがって、ゲートウェイは、これらの特定のポートでサーバをクライア

ントに接続させなければならないか(アクティブなFTP接続)、またはインターネット上でクライアント

をFTPサーバに接続させなければならないか(パッシブなFTP接続)を知ることができません。

これがFTP conntrackヘルパが役に立つ理由です。この特別なヘルパは特別なコネクショントラッ

キングモジュールに追加され、特別な情報のコントロールコネクション(通常はポート21)をスキャン

します。ヘルパが正しい情報に出会うと、その情報をコントロールコネクションの関連情報として想

246 UTM 9 WebAdmin

8 ネットワークプロテクション 8.1 ファイアウォール

定される接続のリストに追加します。これにより、ゲートウェイで最初のFTPコネクションと関連する

全コネクションの両方を追跡することが可能になります。

コネクショントラッキングヘルパは以下のプロトコルで使用できます。 l

FTP l

IRC (DCC用) l

PPTP l

TFTP

- ファイアウォールでPPTP VPNサービスを提供したい場合は、PPTPヘルパモジュールを

ロードする必要があります。ロードしないと、PPTPセッションは確立できません。この理由は、

PPTPは、別個のIPプロトコルのGeneric Routing Encapsulation(GRE)通信に切り換える前に、

TCPポート1723接続を確立するからです。PPTPヘルパモジュールをロードしないと、すべての

GREパケットはゲートウェイにブロックされます。PPTPヘルパモジュールを使用しない場合は、

代わりにファイアウォールルールを手動で追加し、受信および送信トラフィックでGREパケットを

許可します。

プロトコル処 理

TCPウインドウスケーリングの有 効 化 :TCPの受信ウインドウ(RWin)サイズは、接続時にバッファ

できる受信データ量(バイト単位)です。送信側ホストは、受信側ホストからの受信確認とウィンド

ウの更新を待つ間、その量のデータのみを送信できます。高帯域幅ネットワークをさらに効率的に

使用するために、大きなTCPウインドウサイズを使用できます。ただし、TCPウインドウサイズの

フィールドはデータの流れを制御し、2バイトあるいは65535バイトのウインドウサイズに制限されて

います。サイズフィールドは拡張できないため、スケーリングファクタを使用します。TCPウインドウ

のスケーリングはTCP/IPスタックのカーネルオプションで、最大ウインドウサイズを65535バイトか

ら1ギガバイトに拡大するために使用できます。デフォルトではウインドウスケーリングが有効に

なっています。しかし、ルータ、ロードバランサ、ゲートウェイなどの一部のネットワークデバイスは

ウインドウのスケーリングをまだ完全にはサポートしていないため、環境によってはスケーリングを

オフにすることが必要な場合があります。

厳 密 なTCPセッション処 理 を使 用 する:デフォルトでは、システムはネットワーク機能のリセットに

よりコネクショントラッキングテーブルで現在扱われていない既存のTCPコネクションを「ピックアッ

プ」できます。これはSSHおよびTelnetなどの対話型セッションが、ネットワークインタフェースが一

時的に利用できない場合に停止しないことを意味します。このオプションを有効にすると、そのよう

なセッションを再度確立するには新しい3WAYハンドシェークが常に必要になります。さらに、この

オプションはTCP接続方法が同時に開くことや、TCPがハンドシェークを分割することを許可しませ

ん。一般的にはこのオプションはオフのままにしておくことをお勧めしています。

UTM 9 WebAdmin 247

8.2 NAT 8 ネットワークプロテクション

パケット長 の有 効 性 を確 認 :有効にすると、ファイアウォールは、ICMP、TCP、またはUDPプロトコ

ルの使用時に、データパケットが最小長を満たしているかチェックします。データパケットが最小値

より小さい場合、それらはブロックされ、その記録がファイアウォールログに書き込まれます。

なりすまし防 御 :デフォルトでは、なりすまし防御は無効になっています。以下の設定から選択で

きます。 l

通 常 :ゲートウェイは、インタフェース自体と同じ送信元IPアドレスを持つパケット、またはそ

のインタフェースに別に割り当てられたネットワークの送信元IPを持つインタフェースに到着

するパケットを、ドロップしてログします。 l

厳 密 :ゲートウェイは、宛先IPにインタフェースが指定され、割り当てられた以外のインタ

フェースに到着する(つまり、宛先として指定されていないインタフェースに到着する)すべて

のパケットを、ドロップしてログします。たとえば、内部ネットワークのみからパケットを受け

付けると想定される内部インタフェースのIPアドレスに外部ネットワークから送信されたパ

ケットはドロップされます。

ロギングオプション

FTPデータコネクションのログ:UTMは、ファイルおよびディレクトリリスティングのFTPデータコネク

ションをログします。ログレコードには「FTP data(FTPデータ)」という文字列によってマークが付けら

れます。

ユニークなDNSリクエストのログする:UTMは、DNSサーバへのすべての要求およびそれらの結果

をログします。ログレコードには「DNS request」という文字列によってマークが付けられます。

破 棄 したブロードキャストのログ:デフォルトでは、ファイアウォールはすべてのブロードキャストを

破棄し、ログも行いません。しかし、たとえば監査のためにブロードキャストをファイアウォールログ

に記録する必要がある場合は、このオプションを選択します。

8.2 NAT

ネットワークプロテクション> NATメニューを使用すると、ゲートウェイのNATルールを定義し、管理

することができます。 ネットワークアドレス変 換 (NAT)とは、ルータやゲートウェイを通過するIPパ

ケットの送信元アドレスまたは宛先アドレス(あるいは両方)を書き換えるプロセスです。NATを使

用するほとんどのシステムは、プライベートネットワーク上の複数のホストが1つのパブリックIPアド

レスを使用してインターネットにアクセスできるようにするためにNATを使用しています。あるクライ

アントがIPパケットをルータに送信すると、NATは送信アドレスを別のパブリックIPアドレスに変換

してからインターネットにパケットを転送します。応答パケットを受信すると、NATはパブリックアドレ

スを元のアドレスに変換し、クライアントにパケットを転送します。システムリソースに応じて、NAT

は自己裁量で大規模内部ネットワークに対応できます。

248 UTM 9 WebAdmin

8 ネットワークプロテクション 8.2 NAT

8.2.1 マスカレード

マスカレードとは、 送 信 元 ネットワークアドレス変 換 (SNAT) の特殊ケースであり、ネットワークイン

タフェース (通常は、インターネットに接続された外部インタフェース) 上の 1つの公式 IP アドレスの

背後に内部ネットワーク (通常はプライベートアドレススペースを持つ LAN) をマスカレードすること

ができます。SNATの場合、複数の送信元アドレスを複数の宛先アドレスにマッピングすることが

できるため、より汎用的です。

送信元アドレスは、指定されたインタフェース経由でパケットがゲートウェイシステムから配

信された場合にのみ変換されます。新しい送信元アドレスは常に、当該インタフェースの最新IP

アドレスとなります(つまり、このアドレスは動的です)。

マスカレードルールを作成するには、次の手順に従います。

1.

マスカレードタブで新 規 マスカレードルールをクリックします。

マスカレードルールの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

ネットワーク:マスカレードする(内部)ネットワークを選択します。

優 先 順 位 :ルールの優先順位を定義する位置番号。番号が小さいほど優先順位が高くな

ります。ルールは昇順に照合されます。あるルールが一致すると、それ以降、それより大き

い番号のルールは評価されません。

インタフェース I/F :インターネットに接続する(外部)インタフェースを選択します。

アドレスを使 用 :選択したインタフェースに複数のIPアドレスが割り当てられている場合( イ

ンタフェースとルーティング>

追 加 アドレス

参照)、マスカレードに使用するIPアドレスをここで

定義できます。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいマスカレードルールが マスカレードルールのリストに表示されます。

4. マスカレードルールを有効にします。

マスカレードルールを有効にするには、トグルスイッチをクリックします。

ルールを編 集 または削 除 するには、対 応 するボタンをクリックします。

UTM 9 WebAdmin 249

8.2 NAT 8 ネットワークプロテクション

クライアントが外部サーバにアクセスできるようにするには、ファイアウォールで内部ネット

ワークからインターネットへのトラフィックを許可する必要があります。

IPsecパケットはマスカレードルールの影響を受けません。IPsecパケットの送信元アドレスを変換

するには、SNATまたはフルNATルールを作成します。

8.2.2 NAT

DNAT (Destination Network Address Translation) と SNAT (Source Network Address Translation)

は、いずれも NAT の特殊ケースです。SNATでは、接続を開始したコンピュータのIPアドレスが書

き換えられます。一方、DNATでは、データパケットの宛先アドレスが書き換えられます。DNAT

は、内部ネットワークでプライベートIPアドレスを使用しており、管理者が一部のサービスを外部か

らも使用可能にしたい場合に特に便利です。

これは、例を使って説明するとわかりやすいでしょう。内部ネットワークでアドレススペース

192.168.0.0/255.255.255.0を使用しており、WebサーバがIPアドレス192.168.0.20で機能

しているとします。この場合、インターネット経由のクライアントに対してポート80を使用可能にする

必要があります。192.168. アドレススペースはプライベートであるため、インターネットベースのク

ライアントはWebサーバにパケットを直接送信できません。ただし、UTMの外部(公開)アドレスと通

信することはできます。この場合、DNATは、システムアドレスのポート80向けのパケットを捕捉し、

内部Webサーバに転送できます。

PPTP VPNアクセスはDNATに対応していません。

常にプライマリネットワークインタフェースアドレスにマッピングするマスカレードと異なり、SNATは

送信元アドレスをSNATルールに指定されたアドレスにマッピングします。

1:1 NATはDNATまたはSNATの特殊なケースです。この場合、ネットワーク全体のすべてのアドレ

スが同じネットマスクを持つ別のネットワークのアドレスに1対1で変換されます。したがって、元の

ネットワークの最初のアドレスが他のネットワークの最初のアドレスに変換され、元のネットワーク

の2番目のアドレスが他のネットワークの2番目のアドレスに変換されるという様になります。1:1の

NATルールは、送信元アドレスまたは宛先アドレスに適用することができます。

デフォルトで、ポート443(HTTPS)はユーザポータルに使用されます。ポート443を内部サー

バに転送する予定がある場合、 マネジメント> ユーザポータル > 詳 細 タブでユーザポータルの

TCPポートを他の値(1443など)に変更する必要があります。

250 UTM 9 WebAdmin

8 ネットワークプロテクション 8.2 NAT

DNATはファイアウォールの前に行われるため、適切なファイアウォールルールを定義しておく必

要があります。詳しくは、 ネットワークプロテクション> ファイアウォール > ルールを参照してください。

NATルールを定義するには、次の手順に従います。

1. NATタブで、新 規 NATルールをクリックします。

NATルールの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

グループ: グループオプションを使用すると、ルールを論理的にグループ化できます。 リスト

の上部にあるドロップダウンリストを使用すると、ルールをグループ別にフィルタできます。グ

ループ化は表示用のみで、ルールの一致には関係ありません。新しいグループを作成する

には、<< 新 規 グループ>>エントリを選択し、グループを説明する名前を名 前 に入力しま

す。

優 先 順 位 :ルールの優先順位を定義する位置番号。番号が小さいほど優先順位が高くな

ります。ルールは昇順に照合されます。あるルールが一致すると、それ以降、それより大き

い番号のルールは評価されません。

ルールタイプ:ネットワークアドレス変換モードを選択します。選択に応じて、さまざまなオプ

ションが表示されます。次のモードを使用できます。 l

SNAT 送 信 元 :定義されたIPパケットの送信元アドレスを1つの新しい送信元アド

レスにマッピングします。サービスを変更することもできます。 l

DNAT 宛 先 :定義されたIPパケットの宛先アドレスを1つの新しい宛先アドレスに

マッピングします。サービスを変更することもできます。 l

1:1 NAT ネットワーク全 体 :ネットワークのIPアドレスを別のネットワークに1対1で

マッピングします。このルールは、定義されたIPパケットの送信元アドレスか宛先ア

ドレスに適用されます。 l

フルNAT 送 信 元 +宛 先 :定義されたIPパケットの送信元アドレスと宛先アドレス

の両方を1つの新しい送信元アドレスと1つの新しい宛先アドレスにマッピングしま

す。送信元サービスとターゲットサービスを変更することもできます。 l

NAT除 外 :このオプションは除外ルールの一種と考えることができます。たとえば、

定義したネットワークにNATルールがある場合、このネットワーク内の特定のホスト

に対してNAT除 外 ルールを作成することができます。これにより、これらのホストは

NATの対象外となります。

マッチング条 件 :送信元および宛先ネットワーク/ホストとアドレスを変換するサービスを追

加または選択します。定義を追加する方法は、

定 義 とユーザ > ネットワーク定 義 > ネット

ワーク定 義 ページで説明しています。

UTM 9 WebAdmin 251

8.2 NAT 8 ネットワークプロテクション l

トラフィック送 信 元 :パケットのオリジナルの送信元アドレス。1つのホストにすること

も、ネットワーク全体にすることもできますし、1:1 NATルールタイプを除けば、ネット

ワーク範囲にすることもできます。 l

サービス:パケットのオリジナルのサービスタイプ(送信元ポートと宛先ポート、および

プロトコルタイプから構成されています)。

トラフィックサービスは、対応するアドレスも変換される場合のみ変換できま

す。さらに、2つのサービスが同じプロトコルが使用する場合のみ、サービスを別の

サービスに変換できます。 l

トラフィック宛 先 :パケットのオリジナルの宛先アドレス。1つのホストにすることも、

ネットワーク全体にすることもできます。SNAT およびNATなしでは、ネットワーク範

囲にすることもできます。

アクション:送信元/宛先、元のIPパケットデータを変換するサービスタイプを追加または選

択します。表示されるパラメータは選択されている ルールタイプに依存します。定義を追加す

る方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明しています。 l

変 更 後 の送 信 元 (SNATまたはフルNATモードのみ):送信元ホスト、つまりパケット

の新しい送信元アドレスを選択します。 l

変 更 後 の宛 先 (DNATまたはフルNATモードのみ):宛先ホスト、つまりパケットの新

しい宛先アドレスを選択します。 l

変 更 後 のサービス(DNATSNAT、またはフルNATモードのみ): パケットの新しい

サービスを選択します。選択されている ルールタイプによっては、送信元/宛先サービ

スとすることができます。 l

1:1 NATモード(1:1 NATルールタイプのみ):以下のモードのいずれかを選択しま

す。 l

宛 先 のマッピング:宛先アドレスを変更します。 l

送 信 元 のマッピング:送信元アドレスを変更します。

送信元をマッピングする場合は、トラフィック送 信 元 フィールドにネットワーク

全体を追加し、宛先をマッピングする場合は トラフィック宛 先 フィールドにネットワー

ク全体を追加する必要があります。

252 UTM 9 WebAdmin

8 ネットワークプロテクション 8.3 高度な脅威防御 l

マッピング先 (1:1 NATモードのみ):元のIPアドレスの変換先となるネットワークを選

択します。元のネットワークと変換先のネットワークが同じネットマスクである必要が

あります。

自 動 ファイアウォールルール(オプション):該当するトラフィックがファイアウォールを通過す

ることを許可するファイアウォールルールを自動的に生成する場合に、このオプションを選

択します。

コメント(オプション):説明などの情報を追加します。

3. 次の詳細設定を任意で行います。

IPsecパケットにルールを適 用 (SNATまたはフルNATモードのみ):IPsecで処理するトラ

フィックにルールを適用する場合にこのオプションを選択します。デフォルトではこのオプ

ションが選択されていないため、IPsecトラフィックがSNATから除外されることになります。

初 期 パケットのログ(オプション):このオプションは、通信の初期化パケットをファイアウォー

ルログに書き込む場合に選択します。これにより、NATルールを使用する場合はいつでも、

ファイアウォールログに「NATを使用する接続」というメッセージが記述されます。このオプ

ションは、ステートフルプロトコルでもステートレスプロトコルでも機能します。

4.

保 存 をクリックします。

新しいルールがNATリストに表示されます。

5.

NATルールを有効にします。

新しいルールはデフォルトで無効になっています (トグルスイッチはグレー表示)。ルールを

有効にするには、トグルスイッチをクリックします。

ルールを編 集 または削 除 するには、対 応 するボタンをクリックします。

8.3 高度な脅威防御

ネットワークプロテクション> 高 度 な脅 威 防 御 (ATP)メニューで、高度な脅威防御機能を有効に

し、設定することで、ネットワーク内の感染した、または使用できなくなったクライアントを速やかに

検出し、それぞれのトラフィックについて、アラートを発生させるか、ドロップさせることができます。

高度な脅威防御は、現在の企業ネットワークにおける一般的な課題を対象としています:一方で

は、 さまざまなモバイルデバイスの台数が増加する中でのモバイル従業員の管理(BYOD)であ

り、もう一方は、ますます高速化しつつあるマルウェアの進化や拡散の方法です。高度な脅威防

御は、ネットワークのトラフィックを分析します。たとえば、DNSリクエスト、HTTPリクエスト、あるい

は、一般に、すべてのネットワークとの間でやり取りされるIPパケットなどです。また、それぞれの

機能が有効であれば、侵入 防御やウイルス対策のデータも取り込みます。脅威を特定するため

に使用されるデータベースは、パターンの更新を通じてSophos LabsからフィードされるCnC/Botnet

UTM 9 WebAdmin 253

8.3 高度な脅威防御 8 ネットワークプロテクション

データによって継続的に更新されます。このデータに基づいて、感染したホストや、そのコマンド・ア

ンド・コントロール(CnC) サーバとの通信が、速やかに特定され、対処されます。

8.3.1 グローバル

高 度 な脅 威 防 御 (ATP) > グローバルタブで、Sophos UTMの高 度 な脅 威 防 御 システムを有効にす

ることができます。

高度な脅威防御を有効にするには、以下の手順に従います。

1. 高度な脅威防御システムを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、 グローバル設 定 エリアが編集可能になります。

2. 次の設定を行います。

ポリシ: 脅威が検出された場合に高度な脅威防御システムが使用するべきセキュリティポ

リシを選択します。 l

破 棄 : データパケットは記録され、ドロップされます。 l

警 告 : データパケットは記録されます。

ネットワーク/ホスト除 外 :高度な脅威防御による脅威のスキャンから除外されるべき、送信

元ネットワークまたはホストを追加または選択します。定義を追加する方法は、 定 義 とユー

> ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

脅 威 除 外 :高度な脅威防御による脅威のスキャンでスキップしたい宛先IPアドレスまたは

ドメイン名を追加します。これは、脅威として検出されることを防ぐために、誤検出を追加す

るべき場所です。例:8.8.8.8またはgoogle.com。

警 告 除外の指定には、注意してください。送信元や宛先を除外することで、ネットワー

クをより深刻なリスクに曝すことになる場合があります。

3.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

有効になっていて、脅威が検出されると、ネットワークプロテクションページにリストされます。 マネ

ジメント> 通 知 > 通 知 ページで有効になっていると、通知が管理者に送信されます。通知は、ド

ロップおよびアラート用にデフォルトで設定されています。

254 UTM 9 WebAdmin

8 ネットワークプロテクション 8.4 侵入防御(IPS)

ライブログ

高度な脅威防御のライブログは、検出した脅威のモニタリングに使用できます。ボタンをクリックし

て、新しいウィンドウでライブログを開きます。

IPSおよびWebプロキシの脅威は、ライブログには表示されません。

8.4 侵入防御(IPS)

ネットワークプロテクション> 侵 入 防 御 (IPS)メニューで、ゲートウェイのIPSルールを定義し、管理

することができます。侵入防御システム (IPS) は、シグニチャに基づく IPS ルールセットを利用して

攻撃を認識します。システムは、トラフィックを完全に分析し、ネットワークに到達する前に攻撃を

自動的にブロックします。既存のルールセットと攻撃パターンは、パターン更新によって最新状態

に更新されます。IPS攻撃パターンのシグニチャは、IPSルールとしてルールセットに自動的にイン

ポートされます。

8.4.1 グローバル

ネットワークプロテクション> 侵 入 防 御 (IPS) > グローバルタブでは、Sophos UTMの侵 入 防 御 システ

ム(IPS)を有効にすることができます。

IPSを有効にするには、次の手順に従います。

1. 侵入防御システムを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、 グローバルIPS設 定 エリアが編集可能になります。

2. 次の設定を行います。

ローカルネットワーク:侵入防御システムで防御するネットワークを追加または選択します。

ローカルネットワークを選択しないと、侵入防御は自動的に無効になり、トラフィックはモニ

タリングされません。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワー

ク定 義 ページで説明しています。

ポリシ:ブロッキングルールがIPS攻撃シグ二チャを検出したときに侵入防御システムが使

用するセキュリティポリシを選択します。

UTM 9 WebAdmin 255

8.4 侵入防御(IPS) 8 ネットワークプロテクション l

サイレントドロップ:データパケットは、他のアクションなしでドロップされます。 l

コネクションを切 断 :中止データパケット(TCPの場合はRST、UDPコネクションの場

合はICMP Port Unreachable)が両方の通信相手ーに送信され、コネクションがク

ローズされます。

デフォルトでは、サイレントドロップが選択されています。通常はこの設定を変更する

必要はありません。これは特に、疑わしい侵入者に中止データパケットが悪用され、ゲー

トウェイについての情報が引き出されてしまう可能性があるためです。

3.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

ライブログ

侵入防御ライブログは、選択したIPSルールのモニタリングに使用できます。ボタンをクリックして、

新しいウィンドウでライブログを開きます。

8.4.2 攻 撃 パターン

ネットワークプロテクション> 侵 入 防 御 > 攻 撃 パターンタブには、共通の攻撃パターンに従ってグ

ループ分けされたIPSルールが表示されます。攻撃パターンは次のようにまとめられています。 l

オペレーティングシステム固 有 の攻 撃 :オペレーティングシステム関連の脆弱性を悪用しよ

うとする攻撃。 l

サーバに対 する攻 撃 :(Webサーバ、メールサーバなど)あらゆる種類のサーバを対象とする

攻撃。 l

クライアントソフトウェアに対 する攻 撃 :Webブラウザ、マルチメディアプレーヤなどのクライア

ントソフトウェアを対象とする攻撃。 l

プロトコル異 常 :ネットワークの異常を探す攻撃パターン。 l

マルウェア:所有者のインフォームドコンセントなく、コンピュータシステムへの侵入や破壊を

行うように設計されたソフトウェア(トロイの木馬、DoS通信ツールなど)。

パフォーマンス向上のために、会社のローカルネットワークに導入されているサービスまたはソフ

トウェアに該当しないチェックボックスはチェックを外してください。たとえば、ローカルネットワーク

内でWebサーバを運用していない場合は、HTTPサーバ用の選択を取り消すことができます。

各グループに対して、次の設定を使用できます。

256 UTM 9 WebAdmin

8 ネットワークプロテクション 8.4 侵入防御(IPS)

アクション:デフォルトで、グループ内の各ルールにはアクションが関連付けられています。次のア

クションを選択できます。 l

破 棄 :デフォルト設定。攻撃の疑いがある試行が見つかると、その原因であるデータパケッ

トはドロップされます。 l

警 告 :

破 棄 設定と違い、重大なデータパケットはゲートウェイを通過できますが、IPSログに

アラートメッセージが記述されます。

個々の IPS ルールの設定を変更するには、侵 入 防 御 > 詳 細 タブの変 更 されたルールボッ

クスを使用します。Sophos UTM9で使用されているIPSルールの詳細なリストは、 UTM Web サイト

で参照できます。

ルールの有 効 期 間 :デフォルトでは、IPS パターンの有効期間は12か月です。全体的なパッチレ

ベル、レガシーシステム、その他のセキュリティ要件などの個々の要因によって、他の期間を選択

することもできます。短い期間を選択すると、ルールの数を減少できるため、パフォーマンスも向上

できます。

追 加 の警 告 ルールを有 効 化 :このオプションを選択すると、各グループにルールが追加され、IPS

検出率が向上します。これらのルールは、明示的な攻撃パターンよりも一般的で曖昧なので、ア

ラートの数が増える可能性があります。このため、これらのルールのデフォルトアクションは

警 告

であり、設定はできません。

通 知 :このオプションを選択すると、このグループと一致するIPSイベントが発生するたびに管理者

に通知が送信されます。このオプションが有効になるのは、 マネジメント> 通 知 > 通 知 タブで侵入

防御システムの通知機能を有効にした場合のみです。さらに、送信される通知のタイプ(つまり、E

メールまたはSNMPトラップ)は、ここでの設定によって決まります。また、通知設定の変更が有効

になるまでは最大5分かかる場合があります。

8.4.3 DoS/フラッド防 御

DoS/フラッド防 御 タブでは、DoS サービス拒 否 攻撃とDDoS 分 散 型 サービス拒 否 攻撃から防

御するためのオプションを設定できます。

一般にDoS攻撃とDDoS攻撃は、正当な要求がコンピュータリソースを使用できないようにします。

シンプルな例では、攻撃者はサーバに無意味なパケットを送信して過負荷をかけ、パフォーマン

スに負担をかけます。このような攻撃には大規模な帯域幅が必要となるため、いわゆるSYNフラッ

ド攻 撃 を使用する攻撃者が増え続けています。この攻撃は、帯域幅の過負荷ではなく、システム

リソースのブロックを目的としています。この目的のために、攻撃者は多くの場合、偽造された送

信元アドレスを使用してサービスのTCPポートにSYNパケットを送信します。これに対し、サーバは

UTM 9 WebAdmin 257

8.4 侵入防御(IPS) 8 ネットワークプロテクション

TCP/SYN-ACKを送り返して、これに応答する送信元アドレスからのTCP/ACKパケットを待ち続け

るため、接続がhalf-open状態になります。ところが、送信元アドレスは偽造されているため、応答

は返ってきません。これらのhalf-open状態の接続により、サーバが対応できる接続数が飽和状態

になり、正当な要求に対応できなくなります。

このような攻撃は、特定時間内にネットワークに対して送信されるSYN(TCP)、UDP、ICMPパケッ

トの数を制限することで回避できます。

TCP SYNフラッド防 御

SYN(TCP)フラッド防御を有効にするには、次の手順に従います。

1. DoS/フラッド防 御 タブで、TCP SYNフラッド防 御 の使 用 チェックボックスにチェックを入 れま

す。

2. 次の設定を行います。

モード:次のモードを使用できます。 l

送 信 元 アドレスと宛 先 アドレス:送信元IPアドレスと宛先IPアドレスの両方によって

SYNパケットをドロップする場合、このオプションを選択します。まず、送信元IPアドレ

スと一致するSYNパケットが、下で指定する送信元パケットレートの値に制限されま

す。次に、要求がまだ多すぎる場合には、宛先IPアドレスに従って追加でフィルタさ

れ、下で指定する宛先パケットレートの値に制限されます。このモードはデフォルトで

設定されています。 l

宛 先 アドレスのみ:宛先IPアドレスおよび宛先パケットレートのみに従ってSYNパケッ

トをドロップする場合、このオプションを選択します。 l

送 信 元 アドレスのみ:送信元IPアドレスおよび送信元パケットレートのみに従って

SYNパケットをドロップする場合、このオプションを選択します。

ログ:このオプションを使用すると、ログレベルを選択できます。以下のレベルを設定できま

す。 l

オフ:ログを完全にオフにする場合、このログレベルを選択します。 l

制 限 :ログを1秒あたり5パケットに制限する場合、このログレベルを選択します。デ

フォルトではこのレベルが設定されています。 l

すべて:すべてのSYN(TCP)接続試行を詳細にログする場合、このログレベルを選択

します。SYN(TCP)フラッド攻撃により、ログが膨大になる可能性があります。

送 信 元 パケットレート:ここに、送信元IPアドレスに対して許可される1秒あたりのパケット

レートを指定できます。

258 UTM 9 WebAdmin

8 ネットワークプロテクション 8.4 侵入防御(IPS)

宛 先 パケットレート:ここに、宛先IPアドレスに対して許可される1秒あたりのパケットレートを

指定できます。

ここで合理的な値を入力することは重要です。レートを高く設定し過ぎると、Webサー

バがそのように大量なSYN(TCP)パケットに対処しきれず、障害が発生する可能性など

があります。一方、レートを低く設定し過ぎると、ゲートウェイが通常のSYN(TCP)要求をブ

ロックして、予期しない挙動をする可能性があります。各システムの合理的な設定は、

ハードウェアに大きく依存します。従って、システムに適した値にデフォルト値を置き換え

てください。

3.

適 用 をクリックします。

設定が保存されます。

UDPフラッド防 御

UDPフラッド防 御 機能は、UDPパケットフラッドを検出し、ブロックします。UDPフラッド防 御 の設定

は、TCP SYNフラッド防 御 の設定と同じです。

ICMPフラッド防 御

ICMPフラッド防 御 機能は、ICMPパケットフラッドを検出し、ブロックします。ICMPフラッド防 御 の設

定は、TCP SYNフラッド防 御 の設定と同じです。

8.4.4 ポートスキャン防 御

ネットワークプロテクション> 侵 入 防 御 > ポートスキャン防 御 タブでは、一般的なポートスキャン検

知オプションを設定することができます。

ポートスキャンとは、セキュアなシステムで使用可能なサービスを探るためにハッカーが用いる手

段です。攻撃者は、システムに侵入したり、DoS攻撃を開始するために、ネットワークサービスに関

する情報を必要としています。このような情報を入手すると、攻撃者はこれらのサービスにあるセ

キュリティ上の欠陥を悪用しようとします。インターネットプロトコルTCPおよびUDPを使用している

ネットワークサービスは、特別なポートからアクセス可能であり、このポート割り当ては一般によく

知られています。たとえば、SMTPサービスはTCPポート25に割り当てられています。サービスで

使用されるポートは、オープンであると見なされます。これは、このようなポートへの接続を確立す

ることができるためです。一方、使用されていないポートはクローズと見なされ、これらのポートへ

の接続を試みると失敗します。攻撃者は、ポートスキャナという特別なソフトウェアツールを利用し

てオープンポートを探します。このプログラムは、攻撃対象のコンピュータ上にある複数のポートに

対して接続を試みます。接続が成功したポートはオープンであるとツールに表示されます。こうして

UTM 9 WebAdmin 259

8.4 侵入防御(IPS) 8 ネットワークプロテクション

攻撃者は、攻撃対象のコンピュータにおいてどのネットワークサービスが使用可能であるかを示す

必要な情報を入手します。

インターネットプロトコルTCPとUDPでは、使用可能なポートが全部で65535個あるため、ポートは非

常に短い間隔でスキャンされます。サービスへ接続しようとする試行が異常に大量に発生してい

ることをゲートウェイが検出した場合(特に、これらの試行が同じ送信元アドレスから送信されてい

る場合)、ゲートウェイがポートスキャンを受けている可能性が高くなります。攻撃者の疑いのある

人がネットワーク上のホストまたはサービスのスキャンを行うと、ポートスキャン検出機能がこれを

認識します。オプションで、同じ送信元アドレスから繰り返されるポートスキャンを自動的にブロック

することができます。ポートスキャン検知は、インターネットインタフェース、 つまりデフォルトゲート

ウェイを装備したインタフェースに制限されています。

技術的に言うと、ポートスキャンが検出されるのは、1つの送信元IPアドレスの検出スコアが300ミ

リ秒の時間枠内で21点を超えたときです。検出スコアは次のように計算されます。 l

1024未満のTCP宛先ポートに対するスキャン = 3点 l

1024以上のTCP宛先ポートに対するスキャン = 1点

ポートスキャン検出を有効するには、次の手順に従ってください。

1.

ポートスキャン防 御 タブで、ポートスキャン検 知 を有効にします。

トグルスイッチをクリックします。

トグルスイッチが緑色になり、 グローバル設 定 エリアが編集可能になります。

2. 次の設定を行います。

アクション:次の作業を実行できます。 l

イベントのログのみ:ポートスキャンに対する対策は行われません。イベントのログが

記録されるだけです。 l

トラフィックのドロップ:さらなるポートスキャンパケットは、ユーザに通知することなくド

ロップされます。ポートスキャナは、これらのポートがフィルタされたことを報告しま

す。 l

トラフィックの拒 否 :さらなるポートスキャンパケットはドロップされ、ICMP「destination unreachable/port unreachable(宛先到達不可/ポート到達不可)」応答が送信者に送

られます。ポートスキャナは、これらのポートがクローズされたことを報告します。

ログを制 限 :ログメッセージの数を抑えたい場合に、このオプションを有効にします。ポート

スキャン検出機能は、ポートスキャンが実行されているときに大量のログを生成します。た

とえば、ポートスキャンに使用されていると見なされるそれぞれのSYNパケットに対して、

ファイアウォールログにエントリが1つ生成されます。このオプションを選択すると、ログが1秒

あたり5行までに制限されます。

260 UTM 9 WebAdmin

8 ネットワークプロテクション 8.4 侵入防御(IPS)

3.

適 用 をクリックします。

設定が保存されます。

8.4.5 除 外

ネットワークプロテクション> 侵 入 防 御 IPS > 除 外 タブでは、侵入防御から除外する送信元ネッ

トワークと宛先ネットワークを定義することができます。

新しいIPS除外は新しい接続にのみ適用されます。新しいIPS除外を既存の接続に適用す

るには、例えば対応するデバイスを切断するまたは再起動することが可能です。

除外ルールを作成するには、次の手順に従います。

1.

除 外 タブで、新 規 除 外 リストをクリックします。

除 外 リストを追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :この除外ルールを説明する名前を入力してください。

実 行 しないチェック:スキップするセキュリティチェックを選択します。 l

侵 入 防 御 (IPS):このオプションを選択すると、Sophos UTMのIPSが無効になります。 l

ポートスキャン防 御 :このオプションを選択すると、ネットワークホストでオープンポー

トを探すことを目的とする攻撃からの防御が無効になります。 l

TCP SYNフラッド防 御 :選択すると、TCPSYNフラッド攻撃からの防御が無効になり

ます。 l

UDPフラッド防 御 :選択すると、UDPフラッド攻撃からの防御が無効になります。 l

ICMPフラッド防 御 :選択すると、ICMPフラッド攻撃からの防御が無効になります。

対 象 :セキュリティチェックをスキップする条件を少なくとも1つ選択します。条件の前にある

ドロップダウンリストでAndまたはOrを選択して、複数の条件を論理的に組み合わせること

ができます。次の条件を設定できます。 l

送 信 元 ホスト/ネットワークで除 外 :選択して、この除外ルールのセキュリティチェック

から除外する送信元ホスト/ネットワークを追加します。条件を選択すると

ネットワーク

ボックスが開くので、各ホストまたはネットワークを入力します。

UTM 9 WebAdmin 261

8.4 侵入防御(IPS) 8 ネットワークプロテクション l

除 外 するサービス:選択して、この除外ルールのセキュリティチェックから除外する

サービスを追加します。条件を選択すると サービスボックスが開くので、各サービスを

追加します。 l

除 外 する宛 先 :選択して、この除外ルールのセキュリティチェックから除外するホス

ト/ネットワークを追加します。条件を選択すると 宛 先 ボックスが開くので、各ホストま

たはネットワークを入力します。

ヒント定義を追加する方法は、定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義

ページで説明しています。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しい除外ルールが 除 外 リストに表示されます。

4. 除外リストを有効にします。

新しい例外はデフォルトで無効になっています (トグルスイッチはグレー表示)。例外を有効

にするには、トグルスイッチをクリックします。

これで除外リストが有効になります (トグルスイッチは緑色)。

除外ルールを編集または削除するには、対応するボタンをクリックします。

ゲートウェイの宛先アドレスを持つパケットに対する侵入防御を除外したい場合、宛 先 です

べてを選択すると成功しません。そうではなく、例えば内 部 アドレス または外部WANアドレス

などの、ゲートウェイのIPアドレスを含む宛先を選択します。

UTMプロキシを使用している場合、侵入防御除外がこれを反映している必要があります。

プロキシはパケットの元の送信元アドレスをそれ自体のアドレスに置き換えます。したがって、プ

ロキシパケットの侵入防御を除外するには、適切なUTMのインタフェースアドレス定義を送信元

ネットワークボックスに追加する必要があります。

8.4.6 詳 細

パターンセットの最 適 化

ファイル関 連 パターンを有 効 にする:デフォルトでは、ファイルに基づく攻撃に対するパターンは、こ

れらの脅威が通常はウイルス対策エンジンによってカバーされているので、保護としては無効に

なっています。このデフォルトの設定(無効)によって、このオプションが最大の認識率を提供でき

262 UTM 9 WebAdmin

8 ネットワークプロテクション 8.4 侵入防御(IPS)

るようにしながら、最大のパフォーマンスを実現しています。他のウイルス保護を使用できない場

合、ファイル関連パターンを有効にすることは妥当な選択肢です。つまり、Webプロテクションをオフ

にするか、クライアントのウイルス対策プログラムをインストールしないことになります。

マニュアルルール変 更

このセクションでは、各IPSルールを手動で変更し、攻撃パターングループから取得されるデフォル

トポリシを上書きできます。熟練ユーザのみが設定してください。

変更したルールを作成するには、次の手順に従います。

1.

変 更 されたルールボックスで、「+」アイコンをクリックします。

ルールの変 更 ダイアログボックスが開きます。

2. 次の設定を行います。

ルールID:変更したいルールのIDを入力します。ルールIDを検索するにはSophos のWebサ

イト でIPSルールのリストにアクセスします。(フォルダで、名前にIPS-rulesがあり、HTMおよ

びXMの両方のフォーマットで、異なるUTMのバージョンやパターンのバージョンが使用でき

るファイルを探します。)さらに、IPSログまたはIPSレポートでも決定できます。

このルールを無 効 化 :このオプションを選択すると、該当IDのルールが無効になります。

選択

しない場合、次の2つのオプションを使用できます。 l

通 知 の無 効 化 :このオプションを選択すると、当該ルールが適用された場合に通知

がトリガされません。 l

アクション:各ルールが関連付けられるアクション。次のアクションを選択できます。 l

破 棄 :攻撃の疑いがある試行が見つかると、その原因であるデータパケット

はドロップされます。 l

警 告 : 破 棄 設定と違い、重大なデータパケットはゲートウェイを通過できます

が、IPSログにアラートメッセージが記述されます。

3.

保 存 をクリックします。

変 更 されたルールボックスにルールが表示されます。変更を確定するためには、ページの

一番下にある 適 用 をクリックする必要もあります。

変 更 されたルールボックスにルールIDを追加し、アクションを警 告 に設定した場合、この変

更が有効になるのは、ルールが属するグループが 攻 撃 パターンタブで有効になっている場合の

みです。該当する攻撃パターングループが無効になっている場合、各IPSルールへの変更は効

果がありません。

UTM 9 WebAdmin 263

8.5 サーバロードバランシング 8 ネットワークプロテクション

パフォーマンスチューニング

さらに、侵入防御システムのパフォーマンスを向上し、誤検出による警告を最低限に抑えるため

に、IPSルールの範囲を内部サーバの一部に制限することができます。たとえば、 攻 撃 パターンタ

ブでHTTPサーバを有効にし、特定のHTTPサーバをここで選択したとします。この場合、侵入防御

システムがHTTPサーバへの攻撃を認識しても、関連付けられたアクション( ドロップまたはアラー

ト)は、影響を受けるサーバのIPアドレスとここで選択されたHTTPサーバのIPアドレスが一致する

場合に限り、適用されます。

次のサーバタイプに対して、IPSルールの範囲を制限できます。 l

HTTPHTTPサーバに含まれるすべての攻撃パターングループ l

DNS:攻撃パターングループDNS l

SMTP:攻撃パターングループExchangeおよびSendmail l

SQL:データベースサーバに含まれるすべての攻撃パターングループ

8.5 サーバロードバランシング

サーバーロードバランシング機能により、受信接続 (例: SMTP または HTTPトラフィック) をゲート

ウェイの背後の複数サーバーに分散できます。負荷分散は、送信元 IP アドレスに基づいて、1時

間持続して行われます。同じ送信元 IP アドレスから送信された 2つの要求の間隔がこの持続時

間を上回ると、バランシングは再決定されます。トラフィックの分散は単純なラウンドロビンアルゴ

リズムに基づいています。

サーバープールのすべてのサーバーは ICMP ping、TCP 接続の確立、または HTTP/S 要求により

監視されます。障害が発生すると、影響を受けたサーバーは負荷分散に使用されなくなり、問題と

考えられる送信元 IP の持続性は却下されます。

HTTP/S要求のリターンコードは1xx Informational、2xx Success、3xx

Redirection、または4xx Client Errorのいずれかであることが必要です。その他のすべ

のリターンコードは障害の発生を意味します。

8.5.1 分 散 ルール

ネットワークプロテクション> サーバロードバランシング> 分 散 ルールタブで、Sophos UTMソフトウェア

の負荷分散ルールを作成できます。ルールの作成後、サーバ間での重み分散を追加で定義し、

インタフェースパーシスタンスを設定することができます。

264 UTM 9 WebAdmin

8 ネットワークプロテクション 8.5 サーバロードバランシング

負荷分散のルールを作成するには、以下の手順に従います。

1.

負 荷 分 散 ルールタブで、新 規 負 荷 分 散 ルールをクリックします。

負 荷 分 散 ルールの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

サービス:負荷分散するネットワークサービスです。

仮 想 サーバ:受信トラフィックの元のターゲットホスト。このアドレスは通常、ゲートウェイの

外部アドレスと同じになります。

リアルサーバ:交替でサービスのトラフィックを受け付けるホスト。

ヒント定義を追加する方法は、定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義

ページで説明しています。

チェックタイプ:サービスをモニタリングするためのチェックタイプを、以下から1つ選択します。 l

TCP:TCP接続の確立 l

UDP:UDP接続の確立 l

Ping:ICMP Ping l

HTTP Host:HTTP要求 l

HTTPSホスト:HTTPS要求

UDPを使用する場合、ping要求が最初に送信され、成功した場合は、続いてペイロード0の

UDPパケットが送信されます。pingが成功しなかった場合や、ICMPポートに到達できない場

合、このサーバはダウンしているとみなされます。HTTPおよびHTTPS要求の場合は、

URLを入力できます。ホスト名は指定してもしなくても構いません(例:index.htmlあるい

はhttp://www.example.com/index.html)。

間 隔 :チェック間隔を秒単位で入力します。デフォルトは15秒です。つまり15秒ごとに、すべ

ての本サーバの健全性状態がチェックされます。

タイムアウト:本サーバが応答を送信する最大時間を秒単位で入力します。本サーバがこ

の時間内に応答しない場合、デッドとみなされます。

自 動 ファイアウォールルール(オプション):このチェックボックスは、ゲートウェイルールを自

動生成する場合に選択します。これらのルールにより、トラフィックをホストから実際のサー

バに送ることができます。

UTM 9 WebAdmin 265

8.5 サーバロードバランシング 8 ネットワークプロテクション

仮 想 サーバアドレスのシャットダウン(オプション):このチェックボックスは、追加のアドレスを

負荷分散用の仮想サーバとして使用する場合( インターフェース>

追 加 アドレス の章を参

照)にのみ使用できます。すべてのリアルサーバが利用不可になった場合、追加アドレス

インタフェースは自動的にシャットダウンされます。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいルールが 負 荷 分 散 リストに表示されます。

4.

負荷分散ルールを有効にします。

新しいルールはデフォルトで無効になっています (トグルスイッチはグレー表示)。ルールを

有効にするには、トグルスイッチをクリックします。

これでルールが有効になります (トグルスイッチは緑色)。

ルールを編 集 または削 除 するには、対 応 するボタンをクリックします。

例:それぞれ192.168.66.10および192.168.66.20というIPアドレスの2台のHTTPサーバが

DMZにあるとします。ゲートウェイの外部インタフェースで受信したHTTPトラフィックを両方のサー

バに均等に分散したいと仮定します。負荷分散ルールをセットアップするには、各サーバのホスト

定義を選択あるいは作成します。それらをhttp_server_1およびhttp_server_2とします。次に、新

規 負 荷 分 散 ルールの作 成 ダイアログボックスで、サービスとしてHTTPを選択します。さらに、仮

想 サーバとしてゲートウェイの外部アドレスを選択します。最後に、リアルサーバボックスにホスト定

義を入力します。

荷 重 分 散 およびインタフェースパーシスタンス

負荷分散サーバ間で荷重を分散し、それらの間にインタフェースパーシスタンス設定するには、以

下の手順に従ってください。

1. 負荷分散ルールの 編 集 ボタンをクリックします。

負 荷 分 散 ルールの編 集 ダイアログボックスが開きます。

2.

リアルサーバボックスのヘッダでスケジューラボタンをクリックします。

スケジューラの編 集 ダイアログボックスが開きます。

3. 次の設定を行います。

荷 重 :荷重とは、あるサーバが処理するトラフィック量を他のサーバに対して相対的に示す

もので、0~100の間で設定できます。荷重ラウンドロビンアルゴリズムが使用され、値が大

きいほど、該当サーバにルーティングされるトラフィックが多くなります。相対的な値である

ため、合計して100にする必要はありません。たとえば、サーバ1の値を100に、サーバ2の値

を50に、サーバ3の値を0に設定することなどができます。この場合、サーバ2のトラフィック量

はサーバ1の半分となり、サーバ3は他のサーバが使用可能でない場合にのみ使用されま

266 UTM 9 WebAdmin

8 ネットワークプロテクション 8.6 VoIP

す。0の値は、より値が大きい他のサーバが常に使用されることを示します(他のインタ

フェースが使用可能であれば)。

インタフェースパーシステンス:インタフェースパーシスタンスとは、クライアントからの後続の

接続が常に同じアップリンクインタフェース経由でルーティングされるようにする技術です。

パーシスタンスのデフォルトのタイムアウト時間は1時間です。この負荷分散ルールのイン

タフェースパーシスタンスを無効化することもできます。

4.

保 存 をクリックします。

スケジューラの編 集 ダイアログボックスが終了し、設定が保存されます。

5.

保 存 をクリックします。

負 荷 分 散 ルールの編 集 ダイアログボックスが閉じます。

8.6 VoIP

VoIP Voice over Internet Protocol は、インターネットまたは他のIPベースのネットワークを通した

音声会話のルーティングです。Sophos UTMは、IPネットワーク上で音声信号を伝送するために最

もよく使用される次のプロトコルのサポートを提供しています。 l

SIP

l

H.323

8.6.1 SIP

Session Initiation Protocol(SIP)は2つ以上の通信パートナー間のセッションの設定、変更、および

終了のための信号を送るプロトコルです。SIPは主に音声または音声通話の確立と終了処理に使

用します。SIPを使用するには、まずIP アドレスとURLをISPで登録する必要があります。SIPは、

UDPまたはTCPをポート5060で使用して、どのIP アドレスおよびポート番号をエンドポイント間で

のメディアデータ交換(ビデオや音声)で使用するべきかを示します。すべてのアドレスのすべての

ポートを開くとセキュリティに重大な問題が生じるため、ゲートウェイでSIPトラフィックをインテリジェ

ントに処理することができます。これは、特別なコネクショントラッキングヘルパによって実現しま

す。このヘルパは制御チャネルをモニタリングし、どの動的ポートが現在使用されているかを判断

して、制御チャネルがビジーであるときはこれらのポートのみをトラフィックが通過するようにしま

す。これを行うために、SIPプロトコルを介した通信を可能にする適切なファイアウォールルールを

作成するために、SIPサーバとSIP クライアントネットワーク定義の両方を指定する必要がありま

す。

SIPプロトコルのサポートを有効にするには、以下の手順に従います。

UTM 9 WebAdmin 267

8.6 VoIP 8 ネットワークプロテクション

1. SIPタブで、SIPプロトコルのサポートを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、 グローバルSIP設 定 エリアが編集可能になります。

2. 次の設定を行います。

SIPサーバネットワーク SIP Server Networks :ここで、SIPクライアントの接続先として許

可されるSIPサーバ(ISPが提供)を選択します。セキュリティ上の理由から、 すべては選択し

ないでください。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定

義 ページで説明しています。

SIPクライアントネットワーク:SIP通信の開始や応答を許可されるSIPクライアントのホスト/

ネットワークを追加または選択します。SIPクライアントとはLAN内のエンドポイントであり、

他のSIPクライアントとのリアルタイムな双方向通信に関与します。定義を追加する方法

は、

定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

予 想 モード:通信セッションの初期化を制限する方法を選択します。 l

厳 密 :受信コールは、ISPのレジストラからの場合だけ許可されます。例、 例、

REGISTER SIP メッセージが送信されたIP アドレス加えて、 UTMは、信号エンドポイ

ントからのメディア(音声またはビデオ)データしか受け入れません。つまり、SIP メッ

セージを実行したデバイスのことです。UTM一部のプロバイダは、SIP メッセージ以

外のIP からのメディアデータを送信しますがによって拒否されます。 l

クライアント/サーバネットワーク:定義済みSIP サーバまたはクライアントのネットワー

クのすべてのクライアントからの受信コールが許可されます。定義済みSIP サーバ

またはクライアントのネットワークのアドレスであれば、SIP メッセージを送信した送

信者以外の送信者のIP アドレスからのメディアデータが許可されます。 l

すべて:どこからの受信コールならびにメディアデータであっても許可されます。

3.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

設定をキャンセルするには、アンバー色のトグルスイッチをクリックします。

8.6.2 H.323

H.323とは、ITU-T 国 際 電 気 通 信 連 合 が公開した国際マルチメディア通信プロトコル標準であ

り、あらゆるパケット交換網上で音声・映像通信セッションを提供するプロトコルを規定しています。

H.323は、VoIP ボイスオーバーIP やIPベースのテレビ会議で一般的に使用されます。

268 UTM 9 WebAdmin

8 ネットワークプロテクション 8.7 詳細

H.323では、ポート1720でTCPを使用して、エンドポイント間で使用する動的ポート範囲をコールの

セットアップ時にネゴシエートします。動的範囲内ですべてのポートを開くと、セキュリティ上で重大

な問題が発生するため、ゲートウェイはインテリジェントベースでH.323関連のトラフィックを許可す

ることができます。これは、特別なコネクショントラッキングヘルパによって実現します。このヘルパ

は制御チャネルをモニタリングし、どの動的ポートが現在使用されているかを判断して、制御チャ

ネルがビジーであるときはこれらのポートのみをトラフィックが通過するようにします。この目的を

達成するためには、H.323プロトコルでの通信を可能にする適切なファイアウォールルールを作成

するために、H.323ゲートキーパとクライアントネットワーク定義の両方を指定する必要があります。

H.323プロトコルのサポートを有効にするには、以下の手順に従います。

1. H.323タブで、H.323プロトコルのサポートを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、 グローバルH.323設 定 エリアが編集可能になります。

2. 次の設定を行います。

H.323ゲートキーパ:H.323ゲートキーパを追加または選択します。H.323ゲートキーパは、

ゾーン内のすべてのH.323クライアント(マイクロソフトのNetMeetingなどのエンドポイント)を

コントロールします。より具体的には、ゲートキーパはLAN上のゾーン内のすべてのH.323

コールに対するモニタとして機能します。ゲートキーパの最重要タスクは、シンボルエイリア

スアドレスとIPアドレスとの変換です。定義を追加する方法は、 定 義 とユーザ > ネットワーク

定 義 > ネットワーク定 義 ページで説明しています。

H.323クライアント:ここで、H.323接続を開始する元のホスト/ネットワークと宛先のホスト/

ネットワークを追加または選択できます。H.323クライアントとはLAN内のエンドポイントであ

り、他のH.323クライアントとのリアルタイムな双方向通信に関与します。定義を追加する方

法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

3.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

設定をキャンセルするには、アンバー色のトグルスイッチをクリックします。

8.7 詳細

ネットワークプロテクション> 詳 細 メニューのタブを使用すると、ジェネリックプロキシ、SOCKSプロキ

シ、IDENTリバースプロキシなど追加のネットワークプロテクション機能を設定することができます。

UTM 9 WebAdmin 269

8.7 詳細 8 ネットワークプロテクション

8.7.1 ジェネリックプロキシ

ジェネリックプロキシ(別名「ポートフォワーダ」)は、DNATとマスカレーディングの両機能を組み合

わせており、特定のサービスへのすべての受信トラフィックを任意のサーバに転送(フォワーディ

ング)します。標準DNATとの違いは、ジェネリックプロキシでは送信接続についても要求の送信元

IPアドレスをインタフェースのIPアドレスに書き換える点です。さらに、宛先(ターゲット)ポート番号

も変更することができます。

ジェネリックプロキシルールを追加するには、次の手順に従います。

1.

ジェネリックプロキシタブで、新 規 ジェネリックプロキシルールをクリックします。

ジェネリックプロキシルールの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

インタフェース:受信接続のインタフェースを選択します。

サービス:プロキシを使用するトラフィックのサービス定義を追加または選択します。

ホスト:トラフィックの転送先とするターゲットホストを追加または選択します。

サービス:プロキシを使用するトラフィックのターゲットサービスを追加または選択します。

許 可 ネットワーク:ポート転送を適用するネットワークを追加または選択します。

ヒント定義を追加する方法は、定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義

ページで説明しています。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

ジェネリックプロキシルールリストに表示されます。

4.

ジェネリックプロキシルールを有効にします。

新しいルールはデフォルトで無効になっています (トグルスイッチはグレー表示)。ルールを

有効にするには、トグルスイッチをクリックします。これでルールが有効になります (トグルス

イッチは緑色)。

ルールを編集または削除するには、対応するボタンをクリックします。

270 UTM 9 WebAdmin

8 ネットワークプロテクション 8.7 詳細

8.7.2 SOCKSプロキシ

SOCKSとは、クライアントサーバ型アプリケーションがネットワークファイアウォールのサービスを

透過的に使用できるようにするインターネットプロトコルです。ファイアウォール内にある多くのクラ

イアントアプリケーションが、インターネット上のホストと通信するために使用します。例としては、

IRC/インスタントメッセージングクライアント、FTPクライアントや、Windows SSH/Telnetクライアント

です。ファイアウォールの内側にあるこれらのクライアントは、外側にあるサーバにアクセスしたい

場合、その代わりにSOCKSプロキシサーバに接続します。このプロキシサーバは、クライアントが

外部サーバにアクセスする適格性をコントロールし、要求をサーバに受け渡します。クライアントア

プリケーションは、SOCKS 4またはSOCKS 5というプロトコルバージョンを明示的にサポートしている

必要があります。

SOCKSのデフォルトポートは1080です。ほぼすべてのクライアントにこのデフォルトポート設定が

導入されているため、通常は設定不要です。SOCKSとNATの違いは、SOCKSが「バインド」要求

(クライアントの代わりにポートでリスンする機能。わずかなクライアントだけがこれをサポートして

います)もサポートしており、SOCKS 5ではユーザ認証が可能である点です。

SOCKSプロキシを有効にする場合、プロキシへのアクセス権がある1つ以上のネットワークを定義

しなければなりません。ユーザ認証が必要である場合、SOCKSプロキシの使用を許可するユーザ

またはグループも選択する必要があります。

- ユーザ認証を使用しない場合、SOCKSプロキシはSOCKS 4プロトコルとSOCKS 5プロトコル

の両方で使用できます。ユーザ認証を選択した場合、SOCKS 5のみが機能します。プロキシに

SOCKS 5モードでホスト名を解決させる場合、DNSプロキシも有効にする必要があります。有効

にしないと、DNS解決は失敗します。

SOCKSプロキシを設定するには、次の手順に従ってください。

1. SOCKSプロキシタブで、SOCKSプロキシを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、SOCKSプロキシオプションエリアが編集可能になりま

す。

2. 次の設定を行います。

許 可 ネットワーク:SOCKSプロキシの使用を許可するネットワークを追加または選択しま

す。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで

説明しています。

UTM 9 WebAdmin 271

8.7 詳細 8 ネットワークプロテクション

ユーザ認 証 の有 効 化 :このオプションを選択すると、ユーザはSOCKSプロキシへのログイン

時にユーザ名とパスワードを入力しなければならなくなります。ユーザ認証をサポートして

いるのがSOCKS 5のみであるため、SOCKS 4は自動的に無効になります。

許 可 されたユーザ:SOCKSプロキシの使用を許可するユーザまたはグループを選択する

か、新しいユーザを追加します。ユーザを追加する方法は、 定 義 とユーザ > ユーザとグルー

> ユーザページで説明しています。

3.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

8.7.3 IDENTリバースプロキシ

IDENTプロトコルは、リモートサーバがアクセス元クライアントの身元を簡単に確認するために使

用します。IDENTプロトコルは暗号化されず、スプーフィングが簡単ですが、多くのサービスではい

まだにこのプロトコルを使用しており、場合によっては必須です。

IDENTリレーを設定するには、次の手順に従ってください。

1. IDENTリバースプロキシタブで、IDENTリレーを有効にします。

トグルスイッチをクリックします。

トグルスイッチが緑色になり、 グローバル設 定 エリアが編集可能になります。

2. 次の設定を行います。

内 部 ホストへの転 送 (オプション):IDENTクエリはゲートウェイの接続追跡でカバーされな

いため、マスカレーディングが使用されている場合は「スタック」します。ゲートウェイの内側

にあるマスカレーディングされたホストにIDENTクエリを受け渡すためには、 内 部 ホストへの

転 送 オプションを選択します。実際のIP接続は転送されません。代わりに、ゲートウェイが

内部クライアントにIDENT応答を要求し、その文字列を要求元サーバに転送します。この方

法は、主要IRCクライアントとFTPクライアントに組み込まれた大部分の「ミニIDENT」サーバ

で機能します。

デフォルト応 答 :IDENTリレーを有効にすると、ゲートウェイはIDENT要求への応答をサポー

トします。システムは、接続を開始したローカルサービスを問わず常に、 デフォルト応 答 ボッ

クスに入力した文字列で応答します。

3.

適 用 をクリックします。

設定が保存されます。

272 UTM 9 WebAdmin

9 Webプロテクション

この章では、Sophos UTMの基本Webプロテクション機能の設定の仕方を説明します。

この章には次のトピックが含まれます。 l

Webフィルタリング

l

Webフィルタプロファイル

l

フィルタリングオプション

l

ポリシテスト

l

アプリケーション コントロール

l

FTP

WebadminのWebプロテクション統 計 ページには、時間、トラフィック、ならびに上位ユーザのアクセ

ス状況に基づいて、最も使用されたアプリケーションやアプリケーションカテゴリ、最もアクセスの

多いドメインの概要が表示されます。さらに、ブロックされた上位Webサイトカテゴリが表示されま

す。各セクションには 詳 細 リンクがあります。リンクをクリックするとWebAdminのそれぞれのレポー

ティングセクションが表示され、そこでさらなる統計情報を参照できます。

Web使用状況データがどのようにして収集され、ログとレポート> Webプロテクション> Web

使 用 状 況 レポートページで統計がどのように算出されているかについての詳細情報を見つけら

れます。

上 位 アプリケーションセクションでは、アプリケーション名の上にカーソルを合わせると、追加機能

が1つまたは2つ表示されます。 l

ブロックアイコンをクリックすると、現時点から該当アプリケーションがブロックされます。これ

により、

アプリケーション制 御 ルール

ページにルールが作成されます。このオプションは、

Sophos UTMの正常なオペレーションに必要なアプリケーションに対しては利用できません。

たとえば、WebAdminトラフィックはブロックできません。これをブロックすると、ユーザ自身が

WebAdminからシャットアウトされてしまいます。未分類のトラフィックもブロックできません。 l

シェーピングアイコンをクリックすると、それぞれのアプリケーションのトライフィックシェーピン

グが有効になります。ダイアログウィンドウが開き、ルール設定を定義するよう要求されま

す。完了したら

保 存 をクリックします。これにより、

および帯 域 幅 プール

ページの両方に

ルールが作成されます。シェーピングはインタフェース単位で機能するため、 すべてのインタ

フェースフローモニタを閲覧している際はトラフィックシェーピングを利用できません。

9.1 Webフィルタリング 9 Webプロテクション l

帯 域 幅 調 整 アイコンをクリックして、対応するアプリケーションのトラフィック帯域幅調整を

有効化します。ダイアログウィンドウが開き、ルール設定を定義するよう要求されます。完

了したら

保 存 をクリックします。これにより、

トラフィックセレクタ

および

ダウンロード帯 域 幅 調

ページにルールが作成されます。ダウンロード帯域幅調整はインタフェース単位で機能

するため、

すべてのインタフェースフローモニタを閲覧している際はダウンロード帯域幅調整

を利用できません。

9.1 Webフィルタリング

Webプロテクション> Webフィルタリングメニューのタブを使用すると、Sophos UTMをHTTP/Sキャッシ

ングプロキシとして設定することができます。これには、送受信Webトラフィックをスキャンし、スパイ

ウェアから保護し、悪意のあるWebサイトを検出する、ウイルス対策が含まれています。また、異

なるカテゴリのWebサイトへのアクセスを制御できますので、管理者は、ギャンブル、ポルノ、ショッ

ピングといったものへのアクセスに関するポリシを強制し、これらのサイトのブロックまたはクリック

スルー警告ページの提供が可能です。

Sophosのエンドポイントソフトウェアと合わせて使用することで、Sophos UTMは外部ネットワークに

あるエンドポイントマシンでも同じWebポリシを適用し、監視することができます。ユーザはラップトッ

プを家に持ち帰る、または出張に携帯することが可能であり、同じポリシが適用されます。 エンドポ

イントWebコントロールを有効にするには、エンドポイントプロテクション> Webコントロールを参照し

てください。

引き続き、フィルタのアクションをWebフィルタプロファイル > フィルタアクションタブで管理することが

できます。そこで、フィルタアクションを追加、変更、複製、削除することができます。ただし、Web

フィルタリング> ポリシタブでフィルタアクションの追 加 /編 集 ウィザードを起動することで、フィルタア

クションを作成、変更、割り当ることができます。

9.1.1 Webフィルタリングの変 更

9.2リリースの時点で、Sophos UTMには、Webフィルタリングポリシの作成および管理のための新し

い簡素化されたインタフェースが含まれています。インタフェースはかなり変更されていますが、機

能は変わっていません。既存の設定はすべて保存され、システムに変更がなければ、まったく同

様に動作します。

以前は、複雑なWebポリシにWebフィルタリングプロファイルの作成が関与していました。これらが、

フィルタアクションタブで作成されるフィルタアクションを構成し、フィルタ割 当 てタブでのフィルタ割

当てを通じてユーザやグループに割り当てられ、 プロキシプロファイルタブで設定されていました。

274 UTM 9 WebAdmin

9 Webプロテクション 9.1 Webフィルタリング

現在は、デフォルトの構成や詳細なフィルタリングプロファイルを含めて、Webフィルタリング> ポリ

シタブでWebフィルタリングポリシのあらゆる側面を設定できます。

少し時間を取って、新しいインタフェースに習熟してから、以下の概要を読んでください。以

前のリリースとは異なりますが、複雑なWebポリシが簡単に作成、管理できるはずです。

9.1.1.1 重 要 な変 更 点 l

In 9.1では、Webプロテクション> Webフィルタリングに位置していた、グローバルオプションを

含む複数のタブがありました。これらのタブは、Webプロテクション> フィルタリングオプション

へと移動されました。 l

9.1では、プロキシプロファイルにはフィルタ割当てがあり、条件に基づき異なるフィルタアク

ションを選択できました。これらはポリシを有するフィルタプロファイルと呼ばれるようにな

り、プロファイルの2番目のタブ上の表に示されます。 l

9.1では、デフォルトプロファイルは単一フィルタ割当て(デフォルト割当て)しかサポートして

いませんでした。これからは、デフォルトプロファイルで複数のポリシを持つことができます。 l

9.1では、各プロファイルにフォールバックアクションがありました。これは基本ポリシと呼ば

れるようになりましたが、機能は同じです。基本ポリシには、他のポリシが一致しない場合

に使用されるフィルタアクションが含まれています。 l

9.1では、デフォルトプロファイル上の複数のタブを使用してフィルタアクションを作成してい

ましたが、追加を行うとスクロール域が非常に縦長になっていました。今後すべてのフィル

タアクションの作成は、複数のタブによる対話型処理、

フィルタアクションウィザードで行われ

ます。

9.1.1.2 一 般 的 なタスク

以下は、9.1インタフェースとの対比を含めて、9.2およびそれ以降で一般的なタスクを実行する方

法の簡単な概要です。

UTM 9 WebAdmin 275

9.1 Webフィルタリング 9 Webプロテクション

実 行 方 法 :

9.1

Webフィルタリングのさまざまな

タブを設定する:

9.2

デフォルトポリシを

編集しますか? l l

Webフィルタリング> ウイ

ルス対 策 /マルウェア

Webフィルタリング> ポリシ

Webフィルタリング>

URLフィルタリング l

Webフィルタリング>

プロキシプロファイ

ルを作成または編

集しますか?

Webフィルタリングプロファイル >

プロキシプロファイル

Webフィルタリング> Webフィルタリング

プロファイル

プロキシプロファイ

ルにフィルタ割当て

を割当てますか?

1. Webフィルタリングプロ

ファイル > フィルタアク

ションで、フィルタアク

ションを作成

2. Webフィルタリングプロ

ファイル > フィルタ割 り当

てで、フィルタ割り当て

を作成

1. Webフィルタリングプロファイル >

フィルタプロファイルで、フィルタプ

ロファイルの名前をクリックする

か、緑の「+」アイコンをクリックし

てプロファイルを作成

2. ポリシタブで、緑の「+」アイコンを

クリックしてポリシを追加。

3. Webフィルタリングプロ

ファイル > プロキシプロ

ファイルでプロキシプロ

ファイルを編集または

追加

3. フィルタアクションを選択するか、

緑の「+」アイコンをクリックして1

つ作成する。

Webサイトをデフォ

ルトフィルタアクショ

ン内のブラックリス

トに追加しますか?

Webフィルタリングプロファイル >

フィルタ割 り当 て

Webフィルタリング> ポリシで、ポリシの

作成または編集の際に、 フィルタアク

ションの横にある緑の「+」アイコンをク

リックします。

276 UTM 9 WebAdmin

9 Webプロテクション 9.1 Webフィルタリング

実 行 方 法 :

9.1

自分のフィルタ割り

当てに新しいフィル

タアクションを作成

しますか?

Webフィルタリング> URLフィル

タリングで、ブロックする追 加

URL/サイトの横にある緑の

「+」アイコンをクリックします。

9.2

1. Webフィルタリング> ポリシ

2. デフォルトコンテンツフィルタアク

ションを選択します

3. Webサイトタブで、これらのWeb

サイトをブロックの横にある緑の

「+」アイコンをクリックします。

詳細設定を変更し

ますか?

信頼されるHTTPS

CAを管理します

か?

Webフィルタリング> 詳 細

Webフィルタリング> HTTPS

CA

フィルタオプション> その他

フィルタリングオプション> HTTPS CA

9.1.1.3 移 行

バージョン9.2にアップグレードすると、以前の構成および設定は保存され、システムは引き続き同

様に動作します。ただし、インタフェースが大幅に変更されているので、必ずしもすべてが予想通り

ではないかもしれません。Webフィルタリングメニューアイテムには、許可ネットワークに対してポリ

シおよびアクションを適用すべき、すべての設定が含まれています。Webフィルタプロファイルメ

ニューアイテムには、対応する設定が含まれていますが、複数のプロファイルを作成できますので

異なる設定を異なるネットワークに適用可能です。すべてのグローバル設定は今後、 フィルタリン

グオプションメニューアイテムのタブ上に表示されます。

一部のオブジェクトの名前が変わりました。例えば、 プロキシプロファイルはフィルタプロファイル、フィ

ルタ割 当 てはポリシと呼ばれるようになりました。フォールバックアクションは今後基 本 ポリシと呼ば

れます。なぜなら、その他のポリシが一致しない場合に起こるポリシ/アクションだからです。すべ

ての ポリシがプロファイルの1つのタブ上に表示されるようになりましたので、これらのオブジェクト

間の関係がより明確になっています。 フィルタアクションは、アクションについて設定可能なすべて

のアイテムを含む、ポップアップタブ式のダイアログを使用して追加または変更できます。

9.1の限界の1つとして、デフォルトプロファイルにユーザグループを1つしか設定できなかったことが

挙げられます。これは、

デフォルトコンテンツフィルタプロファイル割 当 てと呼ばれるポリシに移行さ

れ、 デフォルトコンテンツフィルタアクションと呼ばれる移行フィルタアクションが付いています。その

他のフィルタ割当てを作成した場合、これらはプロファイル内に無効なポリシとして表示されるよう

になります。

UTM 9 WebAdmin 277

9.1 Webフィルタリング 9 Webプロテクション

9.1では、複数の割当てを持つためだけにプロファイルを作成する場合、これらのポリシを最初のメ

ニューオプションのデフォルトプロファイルで有効化して、設定を簡素化できます。 許 可 ネットワー

クが正しいことを確認し、その後、不必要となった追加プロファイルを削除します。

9.1.2 グローバル

Webプロテクション> Webフィルタリング> グローバルタブでは、Webフィルタのグローバル設定を実

行できます。

Web フィルタを設定するには、次の手順に従います。

1.

グローバルタブで、Webフィルタを有効にします。

トグルスイッチをクリックします。

トグルスイッチが緑色になり、 プライマリWebフィルタプロファイルエリアが編集可能になりま

す。

2. 許可するネットワークを選択します。

Webフィルタの使用を許可するネットワークを選択します。デフォルトで、Webフィルタはクラ

イアント要求をTCPポート8080でリスンし、許 可 ネットワークボックスにリストされたネット

ワーク内のすべてのクライアントに対して接続を許可します。

警 告 セキュリティリスクを招き、インターネットの悪用に道を開くので、決してネットワー

クオブジェクトで すべてを選択しないでください。

3. HTTPS(SSL)トラフィックのオプションを選択する。

SSLトラフィックのスキャンは次のオプションから選択: l

スキャンしない:このオプションは、透過モードのみで使用可能です。選択した場合、

HTTPSトラフィックはプロキシを経由せず、スキャンは実施されません。 l

URLフィルタリングのみ:このオプションは、URLカテゴリおよび評判チェックが実行さ

れますが、HTTPSトラフィックのコンテンツのスキャンは実施されません。 l

複 合 化 およびスキャン:このオプションを選択した場合、HTTPSトラフィックの複合化

および完全チェックが実行されます。

4. オペレーションのモードを選択します。

ユーザ認証が必要なオペレーションモードを選択する場合には、Webフィルタの使用を許可

するユーザとグループを選択する必要があります。次のオペレーションモードを使用できま

す。

278 UTM 9 WebAdmin

9 Webプロテクション 9.1 Webフィルタリング l

標 準 :標準モードでは、Webフィルタはデフォルトでクライアント要求をポート8080でリ

スンし、 送 信 元 ネットワークボックスにリストされたネットワーク内のすべてのクライア

ントに対して接続を許可します。このモードで使用する場合、クライアントはブラウザ

の設定でWebフィルタにHTTPプロキシを指定していることが必要です。

デフォルトの認 証 モードを選 択 します。 l

なし:認証をしない場合に選択します。 l

Active Directory SSO:このモードでは、コンピュータにプロキシのユーザと

して現在ログインしている(シングルサインオン)ユーザの認証が試行されま

す。現在ログインしているユーザがプロキシ使用許可を持つ有効なADユーザ

である場合、認証はユーザインタラクションなしで行われるはずです。

定 義 と

ユーザ > 認 証 サービス> サーバタブで、Active Directoryシングルサインオン

Active Directory Single Sign-On (SSO)が設定されていなければなりませ

ん。クライアントはNTLMまたはKerberosで認証可能です。 l

エージェント:SophosAuthentication Agent(SAA)を使用する場合に選択しま

す。Webフィルタを使用するためには、エージェントと認証を開始する必要があ

ります。エージェントは、ユーザポータルからダウンロードできます。

ユーザ

ポータル

をご覧ください。 l

Apple OpenDirectory SSO:定 義 とユーザ > 認 証 サービス> サーバタブで

LDAPを設定しており、Apple OpenDirectoryを使用している場合、これを選択し

ます。さらに、プロキシが正しく機能するようにするためには、Webプロテクショ

> フィルタリングオプション> その他 タブで、MAC OS Xシングルサインオン

Kerberos鍵ファイルをアップロードする必要があります。このモードで使用する

場合、クライアントはブラウザの設定でWebフィルタにHTTPプロキシを指定し

ていることが必要です。SafariブラウザはSSOをサポートしていません。 l

基 本 ユーザ認 証 :このモードでは、各クライアントはプロキシを使用する前に

このプロキシに対して自己認証する必要があります。サポートされる認証方式

について詳しくは、 定 義 とユーザ >

認 証 サービス

を参照してください。このモー

ドで使用する場合、クライアントはブラウザの設定でWebフィルタにHTTPプロ

キシを指定していることが必要です。 l

ブラウザ:選択すると、Webフィルタへの自己認証のためのログインダイアログ

がユーザのブラウザに表示されます。このモードでは、クライアント側のブラウ

ザ設定なしで、ユーザ名に基づく追跡、報告、およびサーフィンが可能になり

ます。さらに、そのダイアログウィンドウに追加で免責条項を表示することがで

きます。この場合、ユーザが先に進むためには、免責条項に同意する必要が

UTM 9 WebAdmin 279

9.1 Webフィルタリング 9 Webプロテクション

あります。免責条項について詳しくは、 マネジメント> カスタマイズ >

Webメッ

セージ の章を参照してください。

l

eDirectory SSO:定 義 とユーザ > 認 証 サービス> サーバタブでeDirectory

設定した場合、これを選択します。

eDirectoryのシングルサインオン(SSO)モードの場合、Webフィルタはアクセス

先のIPアドレスと資格情報を最大15分間キャッシュします。Apple OpenDirectory

SSOの場合、キャッシュできるのはグループ情報のみです。これは、認証サーバへ

の負荷を軽減するために行われます。逆に言うと、ユーザ、グループ、またはアク

セスしているユーザのログインステータスの変更がWebフィルタによって反映される

まで、最大15分かかります。

ユーザ認証が必要な認証モードを選択した場合は、 認 証 失 敗 のアクセスをブロック

を選択し、認証を失敗したユーザのアクセスを拒否します。 l

透 過 モード:透過モードでは、ポート80(SSLを使用している場合はポート443)でクラ

イアントブラウザアプリケーションが行うすべての接続はインターセプトされ、クライア

ント側の設定なしでWebフィルタにリダイレクトされます。クライアントがWebフィルタ

サーバを意識することは全くありません。このモードのメリットは、多くのインストール

については、その他の管理やクライアント側の設定が必要ないということです。しか

し、処理可能なのはHTTP要求のみという短所があります。そのため、透過モードを

選択すると、クライアントのプロキシ設定は無効になります。

透過モードでは、WebフィルタはHTTP要求からNTLM認証ヘッダを削除しま

す。さらに、WebフィルタはこのモードではFTP要求を処理できません。クライアント

がこのようなサービスにアクセスする必要がある場合は、ファイアウォールでポート

(21)を開く必要があります。一部のWebサーバは、ポート80以外のポート経由でス

トリーミング動画や音声などのデータを送信します。これらの要求は、Webフィルタ

が透過モードで機能しているときは検知されません。このようなトラフィックにも対

応したい場合には、他のモードを使用するか、これらを許可する明確なファイア

ウォールルールを入力する必要があります。 l

なし:認証をしない場合に選択します。 l

Active Directory SSO:このモードでは、コンピュータにプロキシのユーザと

して現在ログインしている(シングルサインオン)ユーザの認証が試行されま

す。現在ログインしているユーザがプロキシ使用許可を持つ有効なADユーザ

280 UTM 9 WebAdmin

9 Webプロテクション 9.1 Webフィルタリング

である場合、認証はユーザインタラクションなしで行われるはずです。 定 義 と

ユーザ > 認 証 サービス> サーバタブでActive Directoryシングルサインオン

SSO を設定する必要があります。クライアントは、NTLM(またはMacの場合

はKerberos)を使用して認証を行えます。一部の環境については、エンドポイ

ントの追加設定が必要です。透過モードでSSOに関する問題がある場合、

Sophos Knowledgebase Article 120791 をご覧ください。

Active Directoryユーザグループを定義する場合、LDAP文字列の代わ

りにプレーンなActive Directoryのグループまたはユーザの名前を手動で入

力することで、Active Directoryグループボックスに必要なエントリを追加する

ことを強く推奨いたします。例:LDAP文字列CN=ads_ group1,CN=Users,DC=example,DC=comの代わりに、単に名前ads_ group1を入力します。

Kerberosを使用している場合は、ユーザを入力することをWebフィルタが

許可していないので、単にグループをActive Directoryグループボックスに追

加するだけです。 l

エージェント:SophosAuthentication Agent(SAA)を使用する場合に選択しま

す。Webフィルタを使用するためには、エージェントと認証を開始する必要があ

ります。 l

ブラウザ:選択すると、Webフィルタへの自己認証のためのログインダイアログ

がユーザのブラウザに表示されます。このモードでは、クライアント側のブラウ

ザ設定なしで、ユーザ名に基づく追跡、報告、およびサーフィンが可能になり

ます。さらに、そのダイアログウィンドウに追加で免責条項を表示することがで

きます。この場合、ユーザが先に進むためには、免責条項に同意する必要が

あります。免責条項について詳しくは、 マネジメント> カスタマイズ >

Webメッ

セージ の章を参照してください。

l

フル透 過 (オプション):クライアントの送信元IPをゲートウェイのIPに置き換えず、そ

のまま維持する場合は、選択します。これは、クライアントがパブリックIPアドレスを

使用しており、Webフィルタによって隠すべきではない場合に便利です。このオプショ

ンはブリッジモードでの実行中においてのみ利用可能です。

フル透 過 で利用可能な認証モードは、透 過 と同じです。上記をご覧ください。

認証の使用を設定する場合、 認 証 失 敗 のアクセスをブロックするオプションがあります。AD

SSOを使用中で認証失敗のアクセスをブロックしない場合、SSOの認証失敗により、ユーザ

UTM 9 WebAdmin 281

9.1 Webフィルタリング 9 Webプロテクション

プロンプトなしで未認証のアクセスが許可されてしまいます。ブラウザ認証を使用中で認証

失敗のアクセスをブロックしない場合、ログインページに追加の ゲストログインリンクが現

れ、未認証のアクセスが許可されます。

5. デバイス固有の認証を有効にする。

特定のデバイスの認証モードを設定するには、 デバイス固 有 の認 証 を有 効 にするチェック

ボックスを選択します。有効になると、緑の「+」アイコンをクリックして、デバイスのタイプや

関連する認証モードを追加することができます。

6.

適 用 をクリックします。

設定が保存されます。

重 要 SSL スキャニングを透過モードと組み合わせて有効にすると、一部の SSL 接続 (SSL

VPN トンネルなど) が失敗します。SSL VPN接続を有効にするには、対応するターゲットホストを

透 過 モードスキップリストに追加します(Webプロテクション> フィルタリングオプション>

その他

を参

照)。さらに、自己署名証明書でホストにアクセスするには、 証 明 書 信 頼 性 チェックオプションを

選択して、これらのホストの除外を作成する必要があります。これにより、プロキシで証明書の

チェックが行われません。

ライブログ

Webフィルタリングライブログは、Web要求に関する情報を提供します。 ライブログを開 くボタンをク

リックすると、新しいウィンドウでWebフィルタリングライブログが開きます。

9.1.3 HTTPS

Webプロテクション> Webフィルタリング> HTTPSタブで、WebフィルタリングによるHTTPSトラフィッ

クの処理方法を設定できます。 l

URLフィルタリングのみ:このオプションを選択すると、カテゴリのドメイン名、タグ、サイトがホ

ワイトリスト/ブラックリストに載っているかどうかに基づき、フィルタリングされます。 l

復 号 化 してスキャン:URLフィルタリングを実行し、フルスキャンのHTTPS復号化も実行する

には、このオプションを選択します。 l

以 下 を復 号 化 してスキャン:URLフィルタリングを実行して、選択したカテゴリまたはタグ付

きサイトを復号化しスキャンするには、このオプションを選択します。 l

これらのタグ付 けされたWebサイトをスキャンする:このボックスを使用して、どのタグ

付きサイトを復号化しスキャンするかを選択します。既存のタグを選択するには、フォ

ルダアイコンを選択します。または「+」アイコンをクリックして、新規タグを追加しま

す。既存のタグを追加するには、タグをを選択して これらのタグ付 けされたWebサイト

282 UTM 9 WebAdmin

9 Webプロテクション 9.1 Webフィルタリング

をスキャンするリストボックスへとドラッグします。 l

これらの分 類 されたWebサイトをスキャンする:このリストボックスを利用して、どの

Webサイトカテゴリを復号化しスキャンするかを選択します。カテゴリをリストから削除

するには、カテゴリの横のゴミ箱アイコンをクリックします。利用可能なカテゴリをリス

トするには、フォルダアイコンを選択します。カテゴリを追加するには、カテゴリを選択

して これらの分 類 されたWebサイトをスキャンするリストボックスへとドラッグします。 l

透 過 モードでHTTPSトラフィックをプロキシしない:すべてのHTTPSトラフィックのWebフィル

タリングを無効化するには、このオプションを選択します。このオプションは、透過モードでの

み使用します。選択すると、WebフィルタはHTTPSトラフィックをプロキシしません。UTMを通

じてHTTPSトラフィックを許可するにはファイアウォールルールを作成する必要があります。

9.1.4 ポリシ

Webプロテクション> Webフィルタリング> ポリシタブを使用して、Webフィルタリングポリシの割り当

てを作成、管理します。ポリシは特定のユーザ、グループまたは期間に異なるフィルタリングアク

ションを適用するために使用されます。これらのポリシは

グローバルタブにある許 可 ネットワークに

適用されます。ユーザと時間に一致する最初のポリシが適用され、他に一致するものがない場合

基本ポリシが適用されます。すべてのプロファイルに、最後に適用される基本ポリシがあり、無効

にはできません。

新しいポリシを作成するには、以下の手順に従います。

1. 右上のプラス(+)アイコンをクリックします。

ポリシの追 加 ダイアログボックスが表示されます。

2. 次の設定を行います。

名 前 :このポリシを説明する名前を入力します。

ユーザ/グループ:このポリシを適用させるユーザまたはユーザグループを選択します。ま

た、新しいユーザまたはグループの作成もできます。ユーザを追加する方法は、 定 義 とユー

> ユーザとグループ> ユーザページで説明しています。

時 刻 イベント:ポリシは、選択した期間の間有効になります。ポリシを常に有効にしておくに

は、Alwaysを選択します。また、緑色の「+」アイコンをクリックして、新しい時刻イベントを作

成することもできます。期間定義は、 定 義 とユーザ > 期 間 定 義 タブで管理します。

フィルタアクション:既存のフィルタアクションを選択します。これにより、ポリシに適用させる

Webプロテクションのタイプが定義されます。また緑色の「+」アイコンをクリックし、

フィルタアク

ションウィザードを使用して新規フィルタアクションを作成することもできます。フィルタアク

ションも、Webフィルタプロファイル > フィルタアクションタブで管理できます。

UTM 9 WebAdmin 283

9.1 Webフィルタリング 9 Webプロテクション

コメント(オプション):説明などの情報を追加します。

詳 細 設 定 : l

例 外 のため認 証 を省 略 したリクエストにポリシを適 用 する: フィルタリングオプション>

除 外 タブで、例えば、認証を使用できない自動アップロードでの認証を省略するため

の例外を作成できます。このポリシを認証を省略したWebリクエストに適用する場合

は、このチェックボックスを選択します。

3.

保 存 をクリックします。

新しいポリシが ポリシリストに表示されます。

4. ポリシを有効にします。

新規ポリシは、デフォルトで無効になっています(トグルスイッチは灰色)。ポリシを有効に

するには、トグルスイッチをクリックします。これでポリシが有効になります(トグルスイッチ

は緑)。 l

ポリシを変更するには、その名前をクリックします。 l

ポリシが実行される順番を変更するには、右側にある上下矢印をクリックして、リストでポリ

シの位置を上下させます。 l

フィルタのアクションを変更するには、フィルタのアクション名をクリックして、 フィルタアクショ

ンの編 集 ウィザードを表示させるか、Webフィルタプロファイル > フィルタアクションタブに切り

替えます。

9.1.4.1 フィルタアクションウィザード

追 加 /編 集 フィルタアクションウィザードは、Webポリシで使用するフィルタアクションの作成や編集

のために使用します。このウィザードは、 ポリシの追 加 またはポリシの編 集 ダイアログから起動す

るか、Webフィルタリング> ポリシタブで既存のフィルタアクションの名前をクリックして起動します。

引き続き、フィルタのアクションをWebフィルタプロファイル > フィルタアクションタブで管理することが

できます。そこで、フィルタアクションを追加、変更、複製、削除することができます。ただし、Web

フィルタリング> ポリシタブでフィルタアクションの追 加 /編 集 ウィザードを起動することで、フィルタア

クションを作成、変更、割り当ることができます。

9.1.4.2 カテゴリ

特定の種類のWebサイトへのアクセスをコントロールするデフォルトの設定を行います。

名 前 :このフィルタアクションを説明する名前を入力してください。

284 UTM 9 WebAdmin

9 Webプロテクション 9.1 Webフィルタリング

許 可 /ブロック:選択したWebサイトカテゴリを許可するかブロックするかを決定します。次のオプショ

ンを使用できます。 l

以 下 で指 定 したコンテンツ以 外 はすべて許 可 。 l

以 下 で指 定 したコンテンツ以 外 はすべてブロック。

以 下 で指 定 したコンテンツ以 外 はすべて許 可 を選択すると、すべてのカテゴリグループが許 可 に

デフォルト設定され、 警 告 、ブロックまたは割 当 てのいずれかに変更可能です。カテゴリグループ

の一部としてここに表示されていないカテゴリがある場合、それらも許可されます。Webサイトが複

数カテゴリのメンバであり、いずれかのカテゴリがブロックされている場合、そのWebサイトはブロッ

クされます。

以 下 で指 定 したコンテンツ以 外 はすべてブロックを選択すると、すべてのカテゴリグループがブロッ

クにデフォルト設定され、警 告 または許 可 のいずれかに変更可能です。カテゴリグループの一部

としてここに表示されていないカテゴリがある場合、それらもブロックされます。Webサイトが複数カ

テゴリのメンバであり、いずれかのカテゴリが許可されている場合、そのWebサイトは許可されま

す。

割 当 てに設定されているすべてのサイトカテゴリが、利用可能な割当て時間に対してカウ

ントされます。利用可能な割当て時間は午前0時にリセットされます。または、Webプロテクション

> ポリシヘルプデスク> 割 当 てステータスページで手動でリセットできます。利用可能な割当て時

間は、 フィルタアクションウィザードの追 加 オプションページで設定できます。

スパイウェアの伝 染 及 び通 信 をブロック:このオプションを選択すると、スパイウェアカテゴリをブ

ロックします。 すべてのコンテンツをブロックしている場合、これは常に選択されています。

高度な脅威検出により、追加のマルウェア通信を検出およびブロック可能です。これは、

ネットワークプロテクション> 高 度 な脅 威 防 御 > グローバルで設定できます。

カテゴリ:カテゴリごとに、Webサイトを訪問するユーザを許可するか、ブロックするか、ユーザが利

用可能な割当て時間に対してカウントするかを設定できます。 警 告 または割 当 てを選択した場

合、該当カテゴリのサイトをブラウズするユーザにはまず警告ページが表示されますが、ユーザの

選択でサイトへ進むことができます。

デフォルトで18の「フィルタカテゴリ」へとグループ化されている、107のカテゴリがあります。

これらは、Webプロテクション> フィルタリングオプション> URLフィルタリングカテゴリで設定可能で

す。 フィルタアクションウィザードに、設定済みのすべてのフィルタカテゴリが表示されます。

未 分 類 のWebサイト:未分類のWebサイトは許 可 、警 告 、またはブロックされるべきです。

UTM 9 WebAdmin 285

9.1 Webフィルタリング 9 Webプロテクション

評 判 に基 づきWebサイトをブロック: Webサイトは信 頼 済 み、ニュートラル、未 確 認 、疑 わしい、ま

たは「悪意のある」に分類できますが、「悪意のある」はリストされていません。未分類のWebサイト

を 未 確 認 と呼びます。使用しているネットワークからのアクセスを許可するために、Webサイトがど

の評判を必要とするか選択できます。選択したしきい値を下回るWebサイトはブロックされます。こ

のオプションは、ページの最初のオプションを

許 可 に設定した場合に限り使用できます。Webサイ

トの評判について詳しくは、 http://www.trustedsource.org

を参照してください。

次 へをクリックして次の設定ページに進み、保 存 をクリックして設定を保存するか、キャンセルをク

リックしてすべての変更を破棄し、設定ダイアログを閉じます。

9.1.4.3 Webサイト

ブロックするWebサイト:#特定の URL や Web サイト、または特定のドメインにある複数の Web

ページを、そのカテゴリに関わらずブロックするには、ここに入力します。その結果、ここで定義した

Web サイトが、許可するカテゴリに属している場合でも、ブロックすることができます。

1. 「+」アイコンをクリックして、ホワイトリスト/ ブラックリストオブジェクトの追 加 ダイアログウィン

ドウを開 きます。

2. 次の設定を行います。 l

名 前 :ホワイトリスト/ブラックリストオブジェクトを説明する名前を入力します。 l

次 を基 にURLと照 合 :ドメイン1つまたは複数のドメイン名を入力します。サブドメイ

ンを含 めるにチェックを入れると、サブドメインも照合するようになります(example.com

が、www.example.comおよびmail.example.comにも一致)。 サブドメインを含 めるを選択

しない場合、ドメイン名そのもののみが照合されます。 l

次 を基 にURLと照 合 :正 規 表 現 。 URL全体に対して照合させるのに使用する正規

表現を入力します。

以 下 のドメインに合 致 した場 合 のみ適 用 するにチェックを入れる

と、正規表現適用前に照合させなければならないドメインのリストを指定できます。

パスに対して照合させる必要がある場合、正規表現の使用が役に立ちます。

クロスリファレンス Webフィルタでの正規表現の使用に関する詳細情報は、

SophosKnowledgebase を参照してください。

エントリは正しい正規表現でなければなりません。例えば、*.example.comは

有効ではありません。ドメイン名を照合させようと試みている場合、「.*」はパス内で

拡張する可能性があるため、使わないでください。例えば、正規表現 http://.*example\.comは、http://www.google.com/search?www.example.comにも照

合されます。

286 UTM 9 WebAdmin

9 Webプロテクション 9.1 Webフィルタリング l

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

許 可 するWebサイト:特定のURLまたはWebサイト、あるいは特定のドメインのウェブページのサ

ブセットを、カテゴリを問わず許可したい場合には、ここで指定します。これにより、ここで指定され

たWebサイトを、たとえブロックされるカテゴリに属していても許可することができるという効果があ

ります。

1. 「+」アイコンをクリックして、正 規 表 現 オブジェクトの追 加 ダイアログウィンドウを開 きます。

2. 次の設定を行います。 l

名 前 :ホワイトリスト/ブラックリストオブジェクトを説明する名前を入力します。 l

次 を基 にURLと照 合 :ドメイン1つまたは複数のドメイン名を入力します。サブドメイ

ンを含 めるにチェックを入れると、サブドメインも照合するようになります(example.com

が、www.example.comおよびmail.example.comにも一致)。 サブドメインを含 めるを選択

しない場合、ドメイン名そのもののみが照合されます。 l

次 を基 にURLと照 合 :正 規 表 現 。 URL全体に対して照合させるのに使用する正規

表現を入力します。 以 下 のドメインに合 致 した場 合 のみ適 用 するにチェックを入れる

と、正規表現適用前に照合させなければならないドメインのリストを指定できます。

パスに対して照合させる必要がある場合、正規表現の使用が役に立ちます。

クロスリファレンス Webフィルタでの正規表現の使用に関する詳細情報は、

SophosKnowledgebase を参照してください。

エントリは正しい正規表現でなければなりません。例えば、*.example.comは

有効ではありません。ドメイン名を照合させようと試みている場合、「.*」はパス内で

拡張する可能性があるため、使わないでください。例えば、正規表現 http://.*example\.comは、http://www.google.com/search?www.example.comにも照

合されます。 l

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

Webサイトリストでタグ付 けされたコントロールサイト:関連するタグがあるサイトについて、許可す

るか、ブロックするか、警告するか、利用可能な割当て時間に対してカウントするかを、制御できま

す。

UTM 9 WebAdmin 287

9.1 Webフィルタリング 9 Webプロテクション

1. プラスアイコンをクリックして、新 規 タグを追 加 します。または、フォルダアイコンをクリックして、

既 存 のタグを選 択 します。

2. 各 タグについて、許 可 、警 告 、ブロック、または割 当 てを選 択 します。

3.

保 存 をクリックします。

9.1.4.4 ダウンロード

どのファイルタイプおよびMIMEタイプをブロックまたは警告するか設定します。

警 告 するファイル拡 張 子 :ユーザが 警 告 するファイル拡 張 子 リスト内の拡張子を持つファイルの

ダウンロードを試みると、まず警告ページが表示されます。ファイル拡張子を追加するには、 警 告

するファイル拡 張 子 ボックスの「+」アイコンをクリックし、警告する拡張子(exeなど)を入力します。

ファイル拡張子に、先行するドットは含めないでください。

ブロックするファイル拡 張 子 :ユーザが ブロックするファイル拡 張 子 リスト内の拡張子を持つファイル

のダウンロードを試みると、その試行はブロックされます。ファイル拡張子を追加するには、

ブロック

するファイル拡 張 子 ボックスの「+」アイコンをクリックし、ブロックする拡張子(exeなど)を入力しま

す。ファイル拡張子に、先行するドットは含めないでください。

アーカイブ内のファイル(例、zipファイル)は、ブロックするファイルタイプ、ブロックする拡張

子、ブロックするMIMEタイプではスキャンされません。こうしたアーカイブ内のファイルからネット

ワークを保護するには、zip、rar、などのアーカイブファイルタイプのブロックを検討してください。

警 告 するMIMEタイプ:ユーザが警 告 するMIMEタイプリスト内に記載のMIMEタイプのファイルの

ダウンロードを試みると、まず警告ページが表示されます。MIMEタイプを追加するには 警 告 する

MIMEタイプボックスの「+」アイコンをクリックし、MIMEタイプを入力します。警 告 するMIMEタイプリ

ストでワイルドカード(*)が使えます。例、audio/*。

ブロックするMIMEタイプ:ユーザがブロックするMIMEタイプリスト内に記載のMIMEタイプのファイル

のダウンロードを試みると、その試行はブロックされます。MIMEタイプを追加するには ブロックする

MIMEタイプボックスの「+」アイコンをクリックし、MIMEタイプを入力します。ブロックするMIMEタイプ

リストでワイルドカード(*)が使えます。例、audio/*。

ダウンロードのブロック制 限 :このオプションを指定すると、指定されたサイズ(MB単位)を超える

ファイルのダウンロードを禁止します。

次 へをクリックして次の設定ページに進み、保 存 をクリックして設定を保存するか、キャンセルをク

リックしてすべての変更を破棄し、設定ダイアログを閉じます。

288 UTM 9 WebAdmin

9 Webプロテクション 9.1 Webフィルタリング

9.1.4.5 ウイルス対 策

フィルタアクション> ウイルス対 策 ページで、ウイルス対策用のWebフィルタ設定およびアクティブコ

ンテンツの削除を設定可能です。

ウイルス対 策

ウイルス対 策 スキャンを使 用 :このオプションを選択すると、受信および送信のWebトラフィックでウ

イルスをスキャンします。Sophos UTMは、さまざまなウイルス対策エンジンを備えています。 l

シングルスキャン: デフォルト設定。

システム設 定 >

スキャン設 定

タブに定義されたエンジン

を使用して最高レベルのパフォーマンスを実現します。 l

デュアルスキャン:各トラフィックに対し、異なるウイルススキャナを使用してスキャンを2回行

うことにより、検知率を最大限に高めます。デュアルスキャンは、ベーシックガードサブスク

リプションでは使用できません。 l

望 ましくないアプリケーション PUA をブロックする:PUAとは、悪意はないが、ビジネス環境

に不適切な場合があるプログラムです。この機能を利用できるのは、Sophosアンチ・ウィル

ス・エンジンを使用するときだけです。特定のPUAを許可するには、ブロックが有効であれ

ば、Webフィルタリング> フィルタリングオプション> 望 ましくないアプリケーションで例外を追加

します。

次 のサイズより大 きいファイルはスキャンしない: ウイルス対策エンジンでスキャンする最大ファイ

ルサイズを指定します。このサイズを超えるファイルはスキャン対象外となります。

ヒント最大スキャンサイズより大きいファイルがダウンロードされることを防ぐには、ダウンロード

ページで ダウンロードのファイルサイズ制 限 の値を設定します。

アクティブコンテンツ除 去

アクティブコンテンツ削 除 エリアでは、Webページに埋め込まれたオブジェクトなど特定のWebコンテ

ンツが自動的に削除されるように設定することができます。以下の設定が可能です。 l

JavaScriptの無 効 化 : この機能はHTMLページ内のすべての<SCRIPT>タグを無効にする

ため、結果としてHTMLページに埋め込まれた機能やインクルードされた機能が無効になり

ます。 l

埋 め込 みオブジェクトの削 除 ActiveX/Java/Flash : この機能はすべての<OBJECT>タグ

をHTMLページから削除し、ActiveX、Flash、Javaなどの動的コンテンツを受信HTTPトラフィッ

クから除去します。

UTM 9 WebAdmin 289

9.1 Webフィルタリング 9 Webプロテクション

次 へをクリックして次の設定ページに進み、保 存 をクリックして設定を保存するか、キャンセルをク

リックしてすべての変更を破棄し、設定ダイアログを閉じます。

9.1.4.6 追 加 オプション

Webサイトプロテクション機 能 を強 制 する

セーフサーチ:一部の検索プロバイダには、検索結果からアダルトコンテンツを除外するように設

計されたセーフサーチ機能があります。Google、Bing、Yahooでセーフサーチの使用を強制すること

ができます。有効にすると、プロバイダのセーフサーチが強制され、Webフィルタのユーザがオフに

したり、バイパスしたりすることはできません。この機能を設定するには、強制させたいセーフサー

チを持つプロバイダを選択します。

YouTube for Schools:これを有効にすると、ユーザが再生できるYouTube動画は、YouTube

EDUサブセクションのYouTube動画かユーザの学校のアカウントでアップロードされているYouTube

動画に制限されます。これが機能するためには、YouTube for Schools プログラムに登録して、ス

クール ID を取得し、それを以下に入力する必要があります。

Sophos UTMでは、トップレベルドメインのyoutube.comとytimg.comに加え、一般的な動

画がブロックされないことを確認する必要があります。YouTube for Schoolsを有効にした場合、

スクールID またはYouTubeから提供されたコードを入力する必要があります。

Google Appsの許 可 ドメインを強 制 する:Google Appsは、GoogleアカウントがGoogle Appsドメイ

ンのメンバでない限り、ユーザが特定のサービスからアクセスをすることをブロックできます。これ

をオンにするとこの機能が強制され、Webフィルタユーザがこれをオフにしたり、バイパスしたりする

ことはできません。この機能を設定するには、Google Appsの許 可 ドメインを強 制 するを選択しま

す。次に、 ドメインボックスの上部で、「+」アイコンまたはアクションアイコンをクリックして、Google

Appsドメインを追加またはインポートします。

割 当 て

割 当 てに含 まれるすべてのカテゴリやタグに許 可 される時 間 分 オプションの時間を入力または

変更します。

割 当 てに設定されているすべてのサイトカテゴリおよびタグは、利用可能な割当て時間に

対してカウントされます。利用可能な割当て時間は午前0時にリセットされます。または、Web

ロテクション> ポリシヘルプデスク> 割 当 てステータスページで手動でリセット可能です。

290 UTM 9 WebAdmin

9 Webプロテクション 9.1 Webフィルタリング

ネットワーク設 定

親プロキシを、グローバルかプロファイルに基づいてかの両方で設定できます(Webプロテクション

> フィルタリングオプション> 親 プロキシを参照)。

注 - 親プロキシを有効化した場合は、SSLスキャニングを有効にした状態での透過モード での

HTTPS要求は

行えません。

親プロキシを設定するには、次の手順に従います。

1. 親プロキシリストの上部にあるプラス(+)アイコンをクリックします。

親 プロキシの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :親プロキシを説明する名前を入力します。

コメント(オプション):説明などの情報を追加します。

プロキシを使 用 するホスト:親プロキシを使用するホストをこのボックスに追加します

(例:*.wikipedia.org)。ここではパターンマッチを使用できます。ただし、正規表現は使

用できません。ボックスを空にすると、

保 存 をクリックするとアスタリスク (*) が自動的に追

加され、すべてのホストに該当します。従って、このようなプロキシ定義は、一致するプロキ

シが存在しない場合のフォールバックプロキシとみなされます。

親 プロキシ:親プロキシのネットワーク定義を選択または追加します。

ポート:親プロキシ接続のデフォルトポートは8080です。親プロキシで別のポートを使用する

場合、ここで変更できます。

プロキシ認 証 が必 要 :親プロキシが認証を必要とする場合は、チェックボックスにチェックを

入れ、表示されるテキストボックスにユーザー名とパスワードを入力します。

3.

保 存 をクリックします。

新しい親プロキシが 親 プロキシリストおよびWebプロテクション> フィルタリングオプション>

プロキシページに表示されます。

親プロキシを編集または削除するには、プロキシの名前をクリックします。

アクティビティ記 録

どのアクティビティを記録するかを選択できます。 l

アクセスしたページのログ:この機能は、UTMを通じてアクセスされたすべてのページに関す

る情報を記録します。

UTM 9 WebAdmin 291

9.2 Webフィルタプロファイル 9 Webプロテクション l

ブロックしたページのログ:この機能は、アクセスがブロックされたページに関する情報を記

録します。

保 存 をクリックして設定を保存するか、キャンセルをクリックしてすべての変更を破棄して、設定ダ

イアログを閉じます。

9.2 Webフィルタプロファイル

フィルタプロファイルを使用すると、複数のコンテンツフィルタリングポリシを作成し、ネットワーク内

のさまざまなアドレスに別々のポリシを適用することができます。社内の各ネットワークに同じポリ

シを適用する場合、Webプロテクション> Webフィルタリングでこれを行えます。さらに、各フィルタプ

ロファイルには独自のユーザ認証方式を設定できます。

複数のフィルタプロファイルを利用して、異なるネットワークの認証およびWebコンテンツを制御でき

ます。例えば、AD SSOを使用する会社のコンピュータ向けポリシを設定できますし、異なる認証方

式およびゲストワイヤレスネットワークのポリシを用意することもできます。

9.2.1 フィルタプロファイル

複数のネットワークに異なるポリシまたは認証モードを適用する場合、複数のフィルタプロファイル

を作成可能です。例えば、有線ネットワークでAD搭載の会社のコンピュータのみが認められてい

る場合、したがって明示プロキシおよびAD SSOによる標準モードを使用することになります。ワイ

ヤレスネットワークには、従業員がAD資格情報入力するブラウザログインポータルや、アクセスを

制限するゲストログイン機能があるかもしれません。

プロファイルは、Webフィルタプロファイル > フィルタプロファイルタブで作成できます。Web要求が行

われると、UTMはソースIPを閲覧して、一致する 許 可 ネットワークとオペレーションモードを持つ最

初のプロファイルを適用します。 デフォルトのWebフィルタプロファイルは、Webプロテクション> Web

フィルタリングページで設定されます。ここにリストされているのは、当該フィルタプロファイルが最

後に一致するプロファイルであることを示すためです。プロファイルが選択されると、UTMはそのプ

ロファイルにしたがって認証およびポリシを実行します。

フィルタプロファイルを作成するには:

1. 右上のプラス(+)アイコンをクリックします。

プロファイルの追 加 ウィザードが開きます。

2. 名 前 とコメントを入 力 します。

3. 許可するネットワークを選択します。

292 UTM 9 WebAdmin

9 Webプロテクション 9.2 Webフィルタプロファイル

Webフィルタの使用を許可するネットワークを選択します。デフォルトで、Webフィルタはクラ

イアント要求をTCPポート8080でリスンし、許 可 ネットワークボックスにリストされたネット

ワーク内のすべてのクライアントに対して接続を許可します。

4. 許可されるエンドポイントグループを選択します。

エンドポイントWebコントロールが有効であれば、Webフィルタの使用を許可するエンドポイン

トグループを選択します

5. HTTPS(SSL)トラフィックのオプションを選択する。

SSLトラフィックのスキャンは次のオプションから選択: l

スキャンしない:このオプションは、透過モードのみで使用可能です。選択した場合、

HTTPSトラフィックはプロキシを経由せず、スキャンは実施されません。 l

URLフィルタリングのみ:このオプションは、URLカテゴリおよび評判チェックが実行さ

れますが、HTTPSトラフィックのコンテンツのスキャンは実施されません。 l

複 合 化 およびスキャン:このオプションを選択した場合、HTTPSトラフィックの複合化

および完全チェックが実行されます。

6. オペレーションのモードを選択します。

ユーザ認証が必要なオペレーションモードを選択する場合には、Webフィルタの使用を許可

するユーザとグループを選択する必要があります。次のオペレーションモードを使用できま

す。 l

標 準 :標準モードでは、Webフィルタはデフォルトでクライアント要求をポート8080でリ

スンし、 送 信 元 ネットワークボックスにリストされたネットワーク内のすべてのクライア

ントに対して接続を許可します。このモードで使用する場合、クライアントはブラウザ

の設定でWebフィルタにHTTPプロキシを指定していることが必要です。

デフォルトの認 証 モードを選 択 します。 l

なし:認証をしない場合に選択します。 l

Active Directory SSO:このモードでは、コンピュータにプロキシのユーザと

して現在ログインしている(シングルサインオン)ユーザの認証が試行されま

す。現在ログインしているユーザがプロキシ使用許可を持つ有効なADユーザ

である場合、認証はユーザインタラクションなしで行われるはずです。 定 義 と

ユーザ > 認 証 サービス> サーバタブで、Active Directoryシングルサインオン

Active Directory Single Sign-On (SSO)が設定されていなければなりませ

ん。クライアントはNTLMまたはKerberosで認証可能です。

UTM 9 WebAdmin 293

9.2 Webフィルタプロファイル 9 Webプロテクション l

エージェント:SophosAuthentication Agent(SAA)を使用する場合に選択しま

す。Webフィルタを使用するためには、エージェントと認証を開始する必要があ

ります。エージェントは、ユーザポータルからダウンロードできます。 ユーザ

ポータル をご覧ください。

l

Apple OpenDirectory SSO:定 義 とユーザ > 認 証 サービス> サーバタブで

LDAPを設定しており、Apple OpenDirectoryを使用している場合、これを選択し

ます。さらに、プロキシが正しく機能するようにするためには、Webプロテクショ

> フィルタリングオプション> その他 タブで、MAC OS Xシングルサインオン

Kerberos鍵ファイルをアップロードする必要があります。このモードで使用する

場合、クライアントはブラウザの設定でWebフィルタにHTTPプロキシを指定し

ていることが必要です。SafariブラウザはSSOをサポートしていません。 l

基 本 ユーザ認 証 :このモードでは、各クライアントはプロキシを使用する前に

このプロキシに対して自己認証する必要があります。サポートされる認証方式

について詳しくは、 定 義 とユーザ >

認 証 サービス を参照してください。このモー

ドで使用する場合、クライアントはブラウザの設定でWebフィルタにHTTPプロ

キシを指定していることが必要です。 l

ブラウザ:選択すると、Webフィルタへの自己認証のためのログインダイアログ

がユーザのブラウザに表示されます。このモードでは、クライアント側のブラウ

ザ設定なしで、ユーザ名に基づく追跡、報告、およびサーフィンが可能になり

ます。さらに、そのダイアログウィンドウに追加で免責条項を表示することがで

きます。この場合、ユーザが先に進むためには、免責条項に同意する必要が

あります。免責条項について詳しくは、 マネジメント> カスタマイズ >

Webメッ

セージ の章を参照してください。

l

eDirectory SSO:定 義 とユーザ > 認 証 サービス> サーバタブでeDirectory

設定した場合、これを選択します。

eDirectoryのシングルサインオン(SSO)モードの場合、Webフィルタはアクセス

先のIPアドレスと資格情報を最大15分間キャッシュします。Apple OpenDirectory

SSOの場合、キャッシュできるのはグループ情報のみです。これは、認証サーバへ

の負荷を軽減するために行われます。逆に言うと、ユーザ、グループ、またはアク

セスしているユーザのログインステータスの変更がWebフィルタによって反映される

まで、最大15分かかります。

ユーザ認証が必要な認証モードを選択した場合は、

認 証 失 敗 のアクセスをブロック

を選択し、認証を失敗したユーザのアクセスを拒否します。

294 UTM 9 WebAdmin

9 Webプロテクション 9.2 Webフィルタプロファイル l

透 過 モード:透過モードでは、ポート80(SSLを使用している場合はポート443)でクラ

イアントブラウザアプリケーションが行うすべての接続はインターセプトされ、クライア

ント側の設定なしでWebフィルタにリダイレクトされます。クライアントがWebフィルタ

サーバを意識することは全くありません。このモードのメリットは、多くのインストール

については、その他の管理やクライアント側の設定が必要ないということです。しか

し、処理可能なのはHTTP要求のみという短所があります。そのため、透過モードを

選択すると、クライアントのプロキシ設定は無効になります。

透過モードでは、WebフィルタはHTTP要求からNTLM認証ヘッダを削除しま

す。さらに、WebフィルタはこのモードではFTP要求を処理できません。クライアント

がこのようなサービスにアクセスする必要がある場合は、ファイアウォールでポート

(21)を開く必要があります。一部のWebサーバは、ポート80以外のポート経由でス

トリーミング動画や音声などのデータを送信します。これらの要求は、Webフィルタ

が透過モードで機能しているときは検知されません。このようなトラフィックにも対

応したい場合には、他のモードを使用するか、これらを許可する明確なファイア

ウォールルールを入力する必要があります。 l

なし:認証をしない場合に選択します。 l

Active Directory SSO:このモードでは、コンピュータにプロキシのユーザと

して現在ログインしている(シングルサインオン)ユーザの認証が試行されま

す。現在ログインしているユーザがプロキシ使用許可を持つ有効なADユーザ

である場合、認証はユーザインタラクションなしで行われるはずです。 定 義 と

ユーザ > 認 証 サービス> サーバタブでActive Directoryシングルサインオン

SSO を設定する必要があります。クライアントは、NTLM(またはMacの場合

はKerberos)を使用して認証を行えます。一部の環境については、エンドポイ

ントの追加設定が必要です。透過モードでSSOに関する問題がある場合、

Sophos Knowledgebase Article 120791 をご覧ください。

Active Directoryユーザグループを定義する場合、LDAP文字列の代わ

りにプレーンなActive Directoryのグループまたはユーザの名前を手動で入

力することで、Active Directoryグループボックスに必要なエントリを追加する

ことを強く推奨いたします。例:LDAP文字列CN=ads_ group1,CN=Users,DC=example,DC=comの代わりに、単に名前ads_ group1を入力します。

UTM 9 WebAdmin 295

9.2 Webフィルタプロファイル 9 Webプロテクション

296

Kerberosを使用している場合は、ユーザを入力することをWebフィルタが

許可していないので、単にグループをActive Directoryグループボックスに追

加するだけです。 l

エージェント:SophosAuthentication Agent(SAA)を使用する場合に選択しま

す。Webフィルタを使用するためには、エージェントと認証を開始する必要があ

ります。 l

ブラウザ:選択すると、Webフィルタへの自己認証のためのログインダイアログ

がユーザのブラウザに表示されます。このモードでは、クライアント側のブラウ

ザ設定なしで、ユーザ名に基づく追跡、報告、およびサーフィンが可能になり

ます。さらに、そのダイアログウィンドウに追加で免責条項を表示することがで

きます。この場合、ユーザが先に進むためには、免責条項に同意する必要が

あります。免責条項について詳しくは、 マネジメント> カスタマイズ >

Webメッ

セージ の章を参照してください。

l

フル透 過 (オプション):クライアントの送信元IPをゲートウェイのIPに置き換えず、そ

のまま維持する場合は、選択します。これは、クライアントがパブリックIPアドレスを

使用しており、Webフィルタによって隠すべきではない場合に便利です。このオプショ

ンはブリッジモードでの実行中においてのみ利用可能です。

フル透 過 で利用可能な認証モードは、透 過 と同じです。上記をご覧ください。

認証の使用を設定する場合、 認 証 失 敗 のアクセスをブロックするオプションがあります。AD

SSOを使用中で認証失敗のアクセスをブロックしない場合、SSOの認証失敗により、ユーザ

プロンプトなしで未認証のアクセスが許可されてしまいます。ブラウザ認証を使用中で認証

失敗のアクセスをブロックしない場合、ログインページに追加の

ゲストログインリンクが現

れ、未認証のアクセスが許可されます。

7. デバイス固有の認証を有効にする。

特定のデバイスの認証モードを設定するには、 デバイス固 有 の認 証 を有 効 にするチェック

ボックスを選択します。有効になると、緑の「+」アイコンをクリックして、デバイスのタイプや

関連する認証モードを追加することができます。

8. 次 へをクリックするか、ウィザードの上 部 からポリシを選 択 します。

9. レビューして、フィルタプロファイルのポリシを作成します。

新しいポリシを作成するには、以下の手順に従います。

1. 右上のプラス(+)アイコンをクリックします。

ポリシの追 加 ダイアログボックスが表示されます。

UTM 9 WebAdmin

9 Webプロテクション 9.2 Webフィルタプロファイル

2. 次の設定を行います。

名 前 :このポリシを説明する名前を入力します。

ユーザ/グループ:このポリシを適用させるユーザまたはユーザグループを選択しま

す。また、新しいユーザまたはグループの作成もできます。ユーザを追加する方法

は、 定 義 とユーザ > ユーザとグループ> ユーザページで説明しています。

時 刻 イベント:ポリシは、選択した期間の間有効になります。ポリシを常に有効にし

ておくには、Alwaysを選択します。また、緑色の「+」アイコンをクリックして、新しい時

刻イベントを作成することもできます。期間定義は、 定 義 とユーザ > 期 間 定 義 タブで

管理します。

フィルタアクション:既存のフィルタアクションを選択します。これにより、ポリシに適用

させるWebプロテクションのタイプが定義されます。また緑色の「+」アイコンをクリック

し、 フィルタアクションウィザードを使用して新規フィルタアクションを作成することもで

きます。フィルタアクションも、Webフィルタプロファイル > フィルタアクションタブで管理

できます。

コメント(オプション):説明などの情報を追加します。

詳 細 設 定 : l

例 外 のため認 証 を省 略 したリクエストにポリシを適 用 する: フィルタリングオプ

ション> 除 外 タブで、例えば、認証を使用できない自動アップロードでの認証

を省略するための例外を作成できます。このポリシを認証を省略したWebリク

エストに適用する場合は、このチェックボックスを選択します。

3.

保 存 をクリックします。

新しいポリシが ポリシリストに表示されます。

4. ポリシを有効にします。

新規ポリシは、デフォルトで無効になっています(トグルスイッチは灰色)。ポリシを有

効にするには、トグルスイッチをクリックします。これでポリシが有効になります(トグ

ルスイッチは緑)。

10.

保 存 をクリックします。

新しいプロファイルが フィルタプロファイルリストに表示されます。

重 要 SSL スキャニングを透過モードと組み合わせて有効にすると、一部の SSL 接続 (SSL

VPN トンネルなど) が失敗します。SSL VPN接続を有効にするには、対応するターゲットホストを

透 過 モードスキップリストに追加します(Webプロテクション> フィルタリングオプション>

その他

を参

照)。さらに、自己署名証明書でホストにアクセスするには、 証 明 書 信 頼 性 チェックオプションを

UTM 9 WebAdmin 297

9.2 Webフィルタプロファイル 9 Webプロテクション

選択して、これらのホストの除外を作成する必要があります。これにより、プロキシで証明書の

チェックが行われません。

フィルタプロファイルを編集または削除するには、リストでプロファイルの名前をクリックします。

9.2.2 フィルタアクション

Webフィルタリングプロファイル > フィルタアクションタブでは、一連のWebプロテクション構成設定を作

成および編集できます。この設定を使用して、さまざまなタイプやレベルの保護をカスタマイズする

ことが可能です。フィルタアクションは、さまざまなユーザやユーザグループに割り当てることがで

き、Webアクセスをコントロールするための柔軟な手法となります。

新 規 フィルタアクションボタンをクリックし、新しいフィルタアクションを作成、または対応する編 集 ボ

タンをクリックし、既存のフィルタアクションを編集することができます。どちらのアクションに対して

もフィルタアクションウィザードが起動します。詳しくは、Webプロテクション> ポリシ >

フィルタアク

ションウィザード

を参照してください。

フィルタアクションページで、既存のフィルタアクションのリストの検索、複製、削除または閲覧を行

うこともできます。

9.2.3 親 プロキシ

一部のネットワークトポロジーでは、アップストリームのWebプロキシサーバが必要です。Webプロ

テクション> Webフィルタプロファイル > 親 プロキシページで、親プロキシを設定できます。

親プロキシを設定するには、次の手順に従います。

1.

新 規 親 プロキシをクリックします。

親 プロキシの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :この親プロキシを説明する名前を入力してください。

コメント(オプション):説明などの情報を追加します。

プロキシを使 用 するホスト:親プロキシを使用するホストをこのボックスに追加します

(例:*.wikipedia.org)。ここではパターンマッチを使用できます。ただし、正規表現は使

用できません。ボックスを空にすると、 保 存 をクリックするとアスタリスク (*) が自動的に追

298 UTM 9 WebAdmin

9 Webプロテクション 9.3 フィルタリングオプション

加され、すべてのホストに該当します。従って、このようなプロキシ定義は、一致するプロキ

シが存在しない場合のフォールバックプロキシとみなされます。

親 プロキシ:親プロキシのネットワーク定義を選択または追加します。

ポート:親プロキシ接続のデフォルトポートは8080です。親プロキシで別のポートを使用する

場合、ここで変更できます。

プロキシ認 証 が必 要 :親プロキシが認証を必要とする場合は、チェックボックスにチェックを

入れ、表示されるテキストボックスにユーザー名とパスワードを入力します。

3.

保 存 をクリックします。

新しい親プロキシが 親 プロキシリストに表示されます。

これで、このプロキシをフィルタアクションで使用することも、グローバルに使用することもできます。

親プロキシを編集または削除するには、対応するボタンをクリックします。

9.3 フィルタリングオプション

Webプロテクション> フィルタリングオプションページで、Webフィルタリングのさまざまなオプションを

設定できます。このページからアクセスできるタブで、フィルタリングの除外、フィルタリングをバイ

パスできるユーザ、フィルタリングのカテゴリ、HTTPS証明書や認証局、さらに多くのさまざまなオ

プションを設定できます。

9.3.1 除 外

Webプロテクション> フィルタリングオプション> 除 外 タブでは、クライアントネットワーク、ユーザ/グ

ループ、ドメインのホワイトリストを定義できます。これらのリストに含まれるすべてのエントリを、特

定のWebプロテクションサービスの対象外にすることができます。

除外ルールを作成するには、次の手順に従います。

1.

除 外 タブで、新 規 除 外 リストをクリックします。

除 外 リストを追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :この除外ルールを説明する名前を入力してください。

コメント(オプション):説明などの情報を追加します。

スキップするチェック:スキップするセキュリティチェックを選択します。

UTM 9 WebAdmin 299

9.3 フィルタリングオプション 9 Webプロテクション l

認 証 :Webフィルタを 認 証 モードで実行している場合、送信元ホスト/ネットワークま

たはターゲットドメインの認証をスキップできます。 l

キャッシング:選 択すると、特定のドメインまたは送信元ホスト/ネットワークのキャッ

シングが無効になります。 l

ダウンロードサイズでブロック:選択すると、ダウンロードのサイズに従ってコンテンツ

のブロックを無効にします。 l

ウイルス対 策 :選択すると、ウイルスやトロイの木馬などの好ましくないコンテンツが

メッセージに含まれていないかチェックするウイルススキャンが無効になります。 l

拡 張 子 ブロック:選択すると、ファイル拡張子フィルタが無効になります。このフィルタ

は、拡張子に基づいて特定タイプのファイルが含まれるコンテンツをブロックするため

に使用します。 l

MIMEタイプブロック: 選択すると、MIMEタイプフィルタが無効になります。このフィル

タは、特定のMIMEタイプのコンテンツをブロックするために使用します。 l

URLフィルタ:選択すると、URLフィルタが無効になります。このフィルタは、特定の種

類のWebサイトへのアクセスをコントロールします。 l

コンテンツ削 除 : 選択すると、(マルチメディアファイルなどの)埋め込みオブジェクト

やJavaScriptといったWebページ内の特殊コンテンツの削除がバイパスされます。 l

SSLスキャン: 選択すると、要求内のWebページに対するSSLスキャンがスキップされ

ます。これは、オンラインバンキングのWebサイトや、SSLインターセプションがうまく機

能しないWebサイトなどで有用です。技術的な理由から、このオプションは透過Web

フィルタモードでは機能しません。 透過モードでは、代わりに 透 過 モードスキップリス

トを使用してください( フィルタオプション> その他 タブを参照)。 標準モードでは、クラ

イアントが何を送信するのかに応じて、宛先ホストまたはIPアドレスのみに基づいて

除外を行うことができます。URL全体ではなくカテゴリに基づく除外では、ホスト名の

みが分類されます。 l

証 明 書 信 頼 性 チェック:選択すると、HTTPSサーバ証明書の信頼性チェックがス

キップされます。Webフィルタが認証ありの透過モードで機能している場合、ユーザ/

グループの照合に基づく証明書の信頼性チェックをスキップすることは技術的に不

可能です( ユーザ/グループからの全 リクエストに適 用 )。 l

証 明 書 日 付 チェック:選択すると、HTTPS証明書の日付が有効であるかどうかの

チェックがスキップされます。

アクティビティをログすべきではない人がいる場合には、次の2つのオプションが便利です。

300 UTM 9 WebAdmin

9 Webプロテクション 9.3 フィルタリングオプション l

アクセスしたページ:選択すると、アクセスしたページのログが記録されなくなります。

これらのページ要求は、レポートからも除外されます。 l

ブロックしたページ:選択すると、ブロックされたページのログが記録されなくなりま

す。これらのページ要求は、レポートからも除外されます。

一部のソフトウェアアップデートおよび類似のダウンロードは、進行状況ページが表示され

ると中断される場合があります。ソフトウェアアップデートで問題がある場合、またはあるダ

ウンロードがいつまでも完了しない場合は、以下のオプションを選択します。 l

ダウンロード/検 索 の進 行 状 況 ページを表 示 しない:これを選択すると、ダウンロード

およびスキャンの進行状況ページが無効となります。

対 象 :セキュリティチェックをスキップする条件を少なくとも1つ選択します。条件の前にあるド

ロップダウンリストでAndまたはOrを選択して、複数の条件を論理的に組み合わせることが

できます。次の条件を設定できます。 l

送 信 元 ホスト/ネットワークで除 外 :選択して、この除外ルールのセキュリティチェック

から除外する送信元ホスト/ネットワークを追加します。条件を選択すると、 ホスト/

ネットワークボックスが開くので、各ホストまたはネットワークを入力します。 l

送 信 元 エンドポイントグループで除 外 :選択して、この除外ルールのセキュリティ

チェックから除外するコンピュータグループを追加します( エンドポイントプロテクション

> コンピュータ管 理 グループ管 理 タブを参照)。条件を選択すると送 信 元 エンドポイ

ントグループボックスが開くので、各グループを入力します。 l

これらのURLと照 合 :選択して、この除外ルールのセキュリティチェックから除外する

ターゲットドメインを追加します。条件を選択すると ターゲットドメインボックスが開くの

で、各ドメインを追加します。ここでは、正規表現を使用することができます。

例:^https?://[^.]*\.domain.comは、ドメインのすべてのサブドメインへの

HTTP(S)接続と一致します。

クロスリファレンス Webフィルタでの正規表現の使用に関する詳細情報は、

SophosKnowledgebase を参照してください。

SSLスキャニングを有効にして透 過 モードを使用している場合、ターゲットドメ

インをIPアドレスで入力する必要があります。IPアドレスを入力しないと、除外は技

術的な理由で失敗します。 l

送 信 元 ユーザ/グループ:選択して、この除外ルールのセキュリティチェックから除外

するユーザまたはユーザグループを追加します。条件を選択すると ユーザー/グルー

UTM 9 WebAdmin 301

9.3 フィルタリングオプション 9 Webプロテクション

プボックスが開くので、各ユーザーまたはグループを入力します。また、標準モードで

は認証が存在しないため、特定のユーザ/グループの照合は機能しません。 l

宛 先 Webサイトカテゴリ:選択すると、特定のカテゴリに対するセキュリティチェックが

スキップされます。条件を選択するとリストが開くので、カテゴリを選択します。 l

送 信 元 ユーザエージェント:これを選択すると、ユーザエージェント文字列によるウリ

クエストのセキュリティチェックが省略されます。正規表現を使用することができま

す。

3.

保 存 をクリックします。

新しい除外ルールが 除 外 リストに表示されます。

除外ルールを編集または削除するには、対応するボタンをクリックします。

9.3.2 Webサイト

Webプロテクション> フィルタリングオプション> Webサイトタブでは、デフォルトのカテゴリや評判を

上書きしたいサイトのリストを管理できます。または、タグをサイトに関連付けできます。

ローカルサイトリストにエントリを追加するには:

1. サイトを追 加 ボタンをクリックします。

2. 上書きしたいサイトまたはタグを入力します。

ローカルサイトを追 加 ダイアログのテキストボックスで、URL、ドメイン、IPアドレス、CIDR範

囲を入力できます。

3. オプションとして、 サブドメインを含 めるチェックボックスを選択します。

このチェックボックスを選択すると、上書きがすべてのサブドメインに適用されます。たとえ

ば、example.comを追加して、 サブドメインを含 めるチェックボックスを選択すると、 mail.example.comも上書き対象に含まれます。

4. 上書きする

カテゴリまたは評 判 を選択します。

カテゴリ、評 判 、あるいは両方を上書きできます。ローカルサイトリストで定義したサイトは、こ

うした上書きの値を使用するフィルタアクションで処理されます。

5. サイトに関連付ける

タグを選択します。

プラスアイコンをクリックして、新しいタグを作成します。または、フォルダアイコンをクリックし

て既存のタグを選択します。タグ付けされたサイトは、タグを参照するフィルタアクションを作

成して制御可能です。

6. オプションとして、コメントを追 加 します。

302 UTM 9 WebAdmin

9 Webプロテクション 9.3 フィルタリングオプション

サイトのリストが大きい場合、タブの上部にある 次 へや前 へのアイコンを使用してページ単位で移

動したり、検索テキストボックスを使ってアイテムを検索したりすることができます。エントリを削除

するには、エントリの横にある削除アイコンをクリックするか、複数のアイテムを選択して、リストの

上部にある 削 除 アイコンをクリックします。

9.3.3 バイパスユーザ

Webプロテクション> フィルタリングオプション> バイパスユーザタブでは、ブロックページのバイパス

が許可されるユーザを指定できます。

既存のグループまたはユーザを追加するには:

1.

ブロックのバイパスが許 可 されるユーザ/グループの横にあるフォルダアイコンをクリックしま

す。

左のナビゲーションペインに、既存のユーザおよびグループのリストが表示されます。

2. ユーザまたはグループを選択して、 ブロックのバイパスが許 可 されるユーザ/グループボックス

にドラッグします。

これで、アイテムは バイパスユーザタブにリストされます。

新しいユーザを追加するには:

1.

ブロックのバイパスが許 可 されるユーザ/グループの横にある緑色の「+」アイコンをクリックし

ます。

ユーザの追 加 ダイアログウィンドウが表示されます。

2.

ユーザの追 加 ダイアログウィンドウにユーザー情報を入力します。

ユーザを追加する方法は、

定 義 とユーザ > ユーザとグループ> ユーザページで説明していま

す。

3.

適 用 をクリックします。

設定が保存されます。

9.3.4 望 ましくないアプリケーション

Webプロテクション> フィルタリングオプション> PUAタブで、承認された望ましくないアプリケーション

(PUA)のリストを管理できます。UTMは、ビジネス環境に望ましくないアプリケーションを識別し、そ

れらをブロックすることができます。ブロックが有効になっている際に特定のPUAを許可するには、

ブロックページまたはログで報告されたとしてその名を追加します。

ローカルサイトリストにエントリを追加するには:

UTM 9 WebAdmin 303

9.3 フィルタリングオプション 9 Webプロテクション

1. 承 認 済 みPUAリストの「+」アイコンをクリックします。

2. PUA定義を入力します。

PUA定義を検索するには、 ログとレポート> Webプロテクション> Web使 用 状 況 レポートと

移動して、 利 用 可 能 なレポートドロップダウンからPUA Downloaderを選択します。

3.

適 用 をクリックします。

緑色の「+」アイコンの横にある 開 くアクションメニューアイコンをクリックすると、PUAのテキストリスト

のインポートやアウトポートおよび 承 認 済 みPUAリストのクリアなどができます。

9.3.5 カテゴリ

Webプロテクション> フィルタリングオプション> カテゴリタブでは、Webサイトカテゴリのカテゴリグ

ループへのマッピングをカスタマイズできます。これは フィルタリングアクションタブまたはWebサイト

フィルタリングページで選択できます。Sophos UTMは、異なるWebサイトカテゴリを識別し、アクセス

をブロックすることができます。高度なURL分類方法により、疑わしいWebサイトの識別における精

度と完全性が保証されます。データベースに含まれていないWebページをユーザが要求すると、

URLがWebクローラに送信され、自動的に分類されます。

Webサイトが正しく分類されていないと思われる場合は、次の URLレポートフォーム を使用し

て新しいカテゴリをご提案いただけます。

Webサイトカテゴリをカテゴリグループに割り当てるには、次の手順に従ってください。

1. 編集するカテゴリグループで 編 集 をクリックします。

フィルタカテゴリの編 集 ダイアログボックスが開きます。

2. サブカテゴリを選択します。

グループに追加(またはグループから削除)するサブカテゴリのチェックボックスにチェックを

入れます(またはチェックを外します)。

3.

保 存 をクリックします。

指定した設定でグループが更新されます。

あるいは、新しいフィルタカテゴリを作成することもできます。次の手順で実行します。

1. ページ上部にある 新 規 フィルタカテゴリボタンをクリックします。

フィルタカテゴリの追 加 ダイアログボックスが開きます。

2. 名前を入力します。

新しいフィルタカテゴリを説明する名前を入力してください。

304 UTM 9 WebAdmin

9 Webプロテクション 9.3 フィルタリングオプション

3. サブカテゴリを選択します。

グループに追加するサブカテゴリのチェックボックスを選択します。

4.

保 存 をクリックします。

指定した設定でグループが更新されます。

カテゴリを編集または削除するには、対応するボタンをクリックします。

9.3.6 HTTP/S CA

Webプロテクション> Webフィルタリング> HTTPS CAタブでは、HTTPS接続の署名および検証CA

(認証局)を管理できます。

署 名

CA

このエリアでは、署名CA証明書のアップロード、署名CA証明書の再生成、または既存の署名CA

証明書のダウンロードが可能です。デフォルトで署名CA証明書は、セットアップ中に提供された情

報に基づいて作成されます。つまり、 セットアップ後に何らかの変更が行われた場合を除き、 マネ

ジメント> システム設 定 >

組 織 タブの情報と整合性があります。

新しい署名CA証明書をアップロードするには、次の手順に従ってください。

1.

アップロードボタンをクリックします。

PKCS#12証 明 書 ファイルのアップロードダイアログウィンドウが開きます。

2. アップロードする証明書までブラウズします。

ファイルボックスの横にあるフォルダアイコンをクリックし、ファイルのアップロードダイアログ

ボックスが開いたら 参 照 をクリックしてアップロードする証明書を選択し、アップロード開 始

をクリックします。

パスワードで保護されているPKCS#12形式の証明書のみをアップロードできます。

3. パスワードを入力します。

該当フィールドにパスワードをもう一度入力し、 保 存 をクリックします。

新しい署名CA証明書がインストールされます。

署名CA証明書を再生成するには、次の手順に従ってください。

1.

再 生 成 ボタンをクリックします。

新 規 署 名 CAの作 成 ダイアログボックスが開きます。

2. 情報を変更します。

必要に応じて所定の情報を変更し、 保 存 をクリックします。

UTM 9 WebAdmin 305

9.3 フィルタリングオプション 9 Webプロテクション

新しい署名CA証明書が生成されます。これに基づき、 署 名 CAエリア内の署名CA情報が

変化します。

署名CA証明書をダウンロードするには、次の手順に従ってください。

1.

ダウンロードボタンをクリックします。

証 明 書 ファイルのダウンロードダイアログウィンドウが開きます。

2. ダウンロードするファイル形式を選択します。

2種類の形式から選択できます。 l

PKCS#12:この形式は暗号化されるため、エクスポートパスワードを入力してくださ

い。 l

PEM:暗号化されない形式です。

3.

ダウンロードをクリックします。

ファイルがダウンロードされます。

カスタムCAで署名された証明書を内部Webサーバに対して使用する場合、信頼される認証局とし

てこのCA証明書をWebAdminにアップロードすることをお勧めします。これを行わないと、Webフィル

タが、信頼できないサーバ証明書が検知されたというエラーメッセージをユーザに表示します。

クライアントPCへのプロキシCA証明書の提供を円滑化するために、ユーザは自分で http://passthrough.fw-notify.net/cacert.pem

から証明書をダウンロードし、ブラウザにインストール

することができます。Webサイト要求はプロキシで直接受信され、処理されます。そのため、まず

Webセキュリティ> グローバルタブでWebフィルタを有効にする必要があります。

プロキシのオペレーションモードが透 過 モードではない場合、ユーザのブラウザでプロキシ

を有効にする必要があります。有効にしないと、証明書ダウンロード用のリンクがアクセス不可

になります。

あるいは、ユーザポータルが有効であれば、ユーザはプロキシCA証明書をユーザポータルの

HTTPSプロキシタブからダウンロードできます。

HTTPSでの問 題 を回 避 する

HTTPSの使用中、Windows UpdateやWindows DefenderなどのWindowsシステムプログラムは接続を

確立できません。これは、これらのプログラムがシステムユーザ権限で実行されるためです。この

ユーザはデフォルトで、プロキシCAを信頼しないことになっています。そのため、システムユーザ用

にHTTPSプロキシCA証明書をインポートする必要があります。以下の手順に従ってください。

306 UTM 9 WebAdmin

9 Webプロテクション 9.3 フィルタリングオプション

1. Windowsで、Microsoft管 理 コンソール mmc を開 きます。

2.

ファイルメニューをクリックし、スナップインの追 加 と削 除 をクリックします。

スナップインの追 加 と削 除 ダイアログウィンドウが開きます。

3. ウィンドウの一番下にある 追 加 をクリックします。

スタンドアロンスナップインの追 加 ダイアログウィンドウが開きます。

4. リストから 証 明 書 を選択し、追 加 をクリックします。

ウィザードが表示されます。

5. コンピュータアカウントを選 択 し、次 へをクリックします。

6.

ローカル コンピュータが選択されていることを確認し、完 了 、次に閉 じるをクリックします。

最初のダイアログウィンドウに

証 明 書 ローカル コンピュータ が追加されています。

7. OKをクリックします。

ダイアログウィンドウが閉じて、コンソールルートに

証 明 書 ローカル コンピュータ が追加さ

れています。

8. 左側の コンソール ルートウィンドウで証 明 書 > 信 頼 されたルート証 明 機 関 を開き、証 明

書 を右クリックして、コンテキストメニューのすべてのタスク> インポートを選択します。

インポートダイアログウィザードが開きます。

9.

次 へをクリックします。

次のウィザードステップが表示されます。

10. 以前にダウンロードしたHTTPSプロキシCA証明書までブラウズし、 開 く>>次 へをクリックしま

す。

次のウィザードステップが表示されます。

11.

証 明 書 をすべて次 のストアに配 置 するが選択されていることを確認し、次 へおよび閉 じるを

クリックします。

インポートの成功がウィザードから報告されます。

12. ウィザードのメッセージを確認します。

信頼される証明書の中に、プロキシCA証明書が表示されるようになりました。

13. 変更を保存します。

ファイルメニューをクリックし、保 存 をクリックして、コンソールルートでの変更を保存します。

インポート後、CAはシステム全体で受け入れられるようになり、HTTPSプロキシに起因する接続問

題は発生しなくなります。

UTM 9 WebAdmin 307

9.3 フィルタリングオプション 9 Webプロテクション

検 証

CA

このエリアでは検証CAを管理できます。検証CAとは、最初に信頼する認証局です。つまり、これ

らのCAによって署名された有効な証明書を提示するWebサイトは、 HTTPプロキシによって信頼で

きると見なされます。

ローカル検 証 CA:下のCAリストに追加して検証CAをアップロードできます。次の手順で実行しま

す。

1.

ローカルCAのアップロードフィールドの横のフォルダアイコンをクリックします。

ファイルのアップロードダイアログウィンドウが開きます。

2. アップロードする証明書を選択します。

参 照 をクリックして、アップロードするCA証明書を選択します。PEMの証明書の拡張子の

みがサポートされています。

3. 証明書をアップロードします。

アップロード開 始 をクリックして、選択したCA証明書をアップロードします。

証明書はインストールされ、 ローカル検 証 CAエリアに表示されます。

グローバル検 証 CA:ここに表示される検証CAのリストは、Mozilla Firefoxにあらかじめインストール

された検証CAと同じです。ただし、リストに含まれるいずれか(あるいは全部)の検証CAを「信頼で

きない」場合は、これらを無効にすることができます。CAの証明書を無効にするには、トグルスイッ

チをクリックします。トグルスイッチがグレーになり、HTTPSプロキシはこのCAによって署名された

Webサイトを受け入れなくなります。

ヒントCA の指紋を表示するには、青色の情報アイコンをクリックしてください。

CAが不明または無効である場合、HTTPSプロキシはクライアントに対して「ブロックされたコンテン

ツ」のエラーページを表示します。However, you can create an exception for such pages: either via the

Create Exception link on the error page of the Web Filter or via the Web Protection > Filtering

Options > Exceptions tab.

Webフィルタのエラーページで除 外 の作 成 リンクをクリックすると、ログインダイアログウィン

ドウが表示されます。admin権限のあるユーザのみが除外を作成できます。

308 UTM 9 WebAdmin

9 Webプロテクション 9.3 フィルタリングオプション

9.3.7 その他

Webプロテクション> フィルタリングオプション> その他 タブには、キャッシングやポートの設定など、

Webフィルタの各種設定オプションが用意されています。

その他 の設 定

Webフィルタリングポート:ここで、Webフィルタがクライアントのリクエストに対して使用するポート番

号を定義できます。デフォルトは8080です。

これが適用されるのは、プロキシを透過モードで操作していない場合のみです。

HTTPループバックの検 出 :このオプションはデフォルトで有効になっています。HTTPループバック

の検出の無効化は、UTMがオリジナルの宛先でありポートが80であるDNATルールがある場合に

のみ行ってください。

MIMEブロックによるHTTPボディの検 査 :HTTPヘッダのみならず、HTTPボディも、ブロック対象

MIMEタイプに対してチェックされます。この機能をオンにすると、パフォーマンスが低下する可能性

があります。

スキャンできないファイル、暗 号 化 されたファイルのブロック:スキャンできないファイルをブロックする

には、このオプションを選択します。スキャンできない理由はいくつかありますが、ファイルが暗号

化されているか、破損している可能性があります。

許 可 されるターゲットサービス: 許 可 されるターゲットサービスボックスでは、Webフィルタのアクセス

が許可されるターゲットサービスを選択できます。デフォルト設定は、HTTP(ポート80)、HTTPS

(ポート443)、FTP(ポート21)、LDAP(ポート389)、LDAP-SSL(ポート636)、Webフィルタ(ポート

8080)、

UTMSpam Release(ポート3840~ 4840)、および UTMWebAdmin(ポート4444)などの

ターゲットサービス(ポート)で構成されています。これらは、通常は安全に接続でき、ブラウザで一

般に使用されています。

デフォルトの文 字 コード: このオプションは、 ダウンロードマネージャウィンドウでプロキシがファイル

名をどのように表示するかに影響を与えます。外国語の文字セットでエンコードされているURL(お

よびURLで参照されるファイル名)は、サーバが別の文字セットを送信する場合を除き、ここで指定

されている文字セットからUTF-8に変換されます。ダブルバイト文字セットを使用する国または地

域では、このオプションを当該国または地域の「ネイティブ」文字セットに設定する必要がありま

す。

検 索 ドメイン:ここで、最初のDNSルックアップで結果が返されなかった("NXDOMAIN")場合に検

索される追加のドメインを追加することができます。最初のDNSルックアップの次に、2番目のDNS

UTM 9 WebAdmin 309

9.3 フィルタリングオプション 9 Webプロテクション

要求が開始され、ここで指定したドメインをオリジナルのホスト名に追加します。例:ユーザがアド

レスwiki.intranet.example.comとしてhttp://wikiと入力します。 ただし、URLは、ドメイン検 索

フィールドにintranet.example.comと入力していなければ解決できません。

認 証 タイムアウト:この設定で、ブラウザ認証モードでログイン後にユーザがブラウズ可能な時間

の長さ(秒単位)を設定することができます。ユーザがログアウトタブを開いている場合、タブを閉

じ、さらに認証タイムアウトまで、ユーザは再認証せずにブラウズを継続することができます。

またこの設定で、

オーバーライドのブロックまたは警 告 手 順 が継続する時間の長さ(秒単位)を設

定することができます。

認 証 レルム: 認証レルムとは、プロキシが 基 本 ユーザ認 証 モードで機能しているときに、ブラウザ

が認証要求とともに表示する送信元の名前です。認証レルムは、 RFC 2617 に基づいて保護ス

ペースを定義します。ここでは任意の文字列を指定できます。

透 過 モードスキップリスト

このオプションは、Webフィルタを透過モードで実行している場合のみ有用です。 透 過 モード時 にス

キップするホスト/ネットボックスにリストされているホストとネットワークは、HTTPトラフィックの透過

的インターセプションの対象とはなりません。ボックスは、送信元ホスト/ネットワーク用に1つ、宛

先ホスト/ネットワーク用に1つあります。これらのホストとネットワークに対して、HTTPトラフィックを

(プロキシなしで)許可するには、 リスト内 のホスト/ネットワークのHTTPトラフィックを許 可 チェック

ボックスにチェックを入れます。このチェックボックスにチェックを入れない場合は、ここでリストされ

ているホストとネットワークに特定のファイアウォールルールを定義する必要があります。

プロキシ自 動 設 定

プロキシの自動設定とは、ブラウザにフェッチされるプロキシ自動設定ファイル(PACファイル)を一

元的に提供するための機能です。ブラウザはこれを受けて、PACファイルに記述された詳細に

従ってプロキシ設定を構成します。

PAC ファイルの名前は wpad.dat、MIME タイプは application/x-ns-proxy-autoconfig

で、UTM から提供されるものです。このファイルには、たとえば次のように、テキストボックスに入

力した情報が含まれています。 function FindProxyForURL(url, host)

{ return "PROXY proxy.example.com:8080; DIRECT"; }

上の関数は、すべてのページ要求をポート8080上のproxy.example.comというサーバのプロキ

シにリダイレクトするようブラウザに指示しています。プロキシに到達できなければ、インターネット

への直接接続が確立されます。

310 UTM 9 WebAdmin

9 Webプロテクション 9.3 フィルタリングオプション

ホスト名は、${asg_hostname} という変数としても指定できます。これは、Sophos UTM Manager

を使用して、同じ PAC ファイルを複数の Sophos UTM アプライアンスにインストールする場合など

に便利です。変数には、該当する UTM のホスト名が挿入されます。上記の例にある変数を使用

すると、次のようになります。 function FindProxyForURL(url, host)

{ return "PROXY ${asg_hostname}:8080; DIRECT"; }

ネットワークでPACファイルを提供するには、次の方法があります。 l

ブラウザ設定経由で提供する: プロキシ自 動 設 定 の有 効 化 オプションを選択すると、UTM

Web フィルタ経由でPACファイルを使用できるようになります。このとき、次のようなURLを使

用します。http://IP-of-UTM:8080/wpad.dat。このファイルを使用するには、プロキシ

を使用するブラウザの自動プロキシ構成設定にこのURLを入力します。 l

DHCP経由で提供する:DHCPサーバがクライアントのIPアドレスと併せてPACファイルの

URLを受け渡すようにすることもできます。これには、DHCPサーバの設定でHTTPプロキシ

自 動 設 定 の有 効 化 オプションを選択します(ネットワークサービス>

DHCP

の章を参照して

ください)。これにより、ブラウザがPACファイルを自動的に取得し、それに従って設定を構

成します。

DHCP経由での提供は、マイクロソフトのInternet Exploreのみで機能します。その他

すべてのブラウザでは、PACファイルを手動で提供する必要があります。

URL分 類 親 プロキシ

直接インターネットアクセスがない場合、URL分類ルックアップにプロキシサーバを入力します。こ

のオプションは、エンドポイントプロテクションが有効になっている場合、またはローカルルックアッ

プを行っている場合のみ使用可能です。ローカルルックアップでは、このオプションはUTMへの分

類更新のダウンロードに使用されるプロキシを設定します。

Webキャッシング

キャッシングの有 効 化 :このオプションが有効になっている場合、Webフィルタはオンディスクオブ

ジェクトキャッシュを保持して、アクセス頻度が高いWebページへの要求を高速化します。 l

SSLコンテンツのキャッシュ:このオプションを有効にすると、SSL暗号化されたデータは、暗

号化されていない状態でディスクに保存されます。 l

Cookieを含 むコンテンツをキャッシュ:Cookieは、一般に認証目的で使用されます。このオ

プションを有効にすると、Cookieが含まれるHTTP応答もキャッシュされます。複数のユーザ

が同じページを要求している場合、あるユーザのCookieが含まれるキャッシュページが他の

UTM 9 WebAdmin 311

9.3 フィルタリングオプション 9 Webプロテクション

ユーザに提供される可能性があるため、この設定は重大です。

重 要 SSLまたはCookieコンテンツ(あるいはその両方)をキャッシュすると、SuperAdmin

権限を持つすべてのユーザがコンテンツを閲覧できるため、セキュリティ上の重要な問題

です。 l

Sophosエンドポイント用 アップデートの強 制 キャッシュ:有効にすると、エンドポイントから

のSophos自動アップデート(SAU)要求に関連する特定のデータがキャッシュされます。エン

ドポイントプロテクションを使用する場合、機能を有効にすることを推奨いたします。無効に

すると、このタイプのデータはキャッシュされません。これは、多数のエンドポイントがイン

ターネットにある更新サーバから同時にデータをダウンロードしようとする際のアップリンク

飽和につながります。

キャッシュをクリア: キャッシュをクリアをクリックすると、キャッシュされたすべてのページを削除でき

ます。

ストリーミング設 定

ストリーミングコンテンツに対 するコンテンツスキャンのバイパス:このオプションを選択すると、一般

的な音声・動画ストリーミングコンテンツがコンテンツスキャンの対象外となります。このオプションを

無効にすると、大部分のメディアストリームは事実上無効になります。これは、このようなストリー

ムを合理的な時間内でスキャンすることができないためです。そのため、このオプションは選択す

ることを推奨します。

Apple OpenDirectoryのシングルサインオン

認証方式としてApple OpenDirectory SSOを使用している場合、認証が適切に機能するために

は、MAC OS XシングルサインオンKerberos鍵ファイルをアップロードする必要があります。この鍵

ファイルを生成し、フォルダアイコンをクリックしてアップロードします。鍵ファイルの生成方法につ

いて詳しくは、Kerberosのマニュアルを参照してください。

エンドユーザページの証 明 書

UTMは、ユーザ通知の提供、ブラウザ認証の実行、その他のユーザインタラクションの安全性確

保のためにHTTPSを使用します。デフォルトでは、UTMはこれらのHTTPS接続に対し、自動的生

成証明書を使用します。このオプションにより、エンドユーザに表示されるHTTPSページ用にカスタ

ム証明書を使用することができます。これらのHTTPS接続に対し、独自のカスタム証明書を使用

するには、まず初めに リモートアクセス> 証 明 書 管 理 > 証 明 書 でカスタム証明書をアップロード

し、次に選択し、ここで設定を更新します。

312 UTM 9 WebAdmin

9 Webプロテクション 9.4 ポリシヘルプデスク

指定のホスト名 は使用している証明書に対するベースドメインとなります。次に、UTMはパ

ススルーをプリペンドします。または、そのドメインに対してパススルー6 .をプリペンドします。ドメイ

ンにおける任意のホストにプリペンドするため、証明書は、一般名、サブジェクトの別名、または

として最も一般的なワイルドカード証明書として パススルー(およびパススルー6)に対し有効であ

る必要があります。さらに、特定のIPアドレスに対し パススルーおよびパススルー6のDNSを設定

しなければなりません。UTMをDNSサーバとして使用する場合、これは自動的に行われます。代

替DNSサーバを使用している場合、そこでこれらのエントリを作成する必要があります。

9.4 ポリシヘルプデスク

Webプロテクション> ポリシヘルプデスクページで、既存のポリシに対してURLをテストし、ユーザの

割当てステータス評価またはリセットできます。 ポリシテストタブを使用してURLをテストでき、割 当

てステータスタブを使用してユーザの現在の割当てステータスを見ることができます。

9.4.1 ポリシテスト

Webプロテクション> ポリシヘルプデスク> ポリシテストページを使用して、既存のWebフィルタプロ

ファイルに対してURLをテストすることができます。現在のポリシに対してURLをテストするには、次

の手順に従います。

1. テストしたいURLを入 力 します。

2. 送信元IPアドレスを設定します。

送信元ネットワークが異なると、Webフィルタプロファイルも異なります。ネットワークが複数

のプロファイルに含まれている場合、優先順位の最も高いプロファイルがポリシテスト使用

されます。

3. オプションで、テストを要求しているユーザを入力します。

ユーザは、異なるWebフィルタプロファイルに属することがあります。

4. オプションで、要求の時刻を入力します。

Webフィルタプロファイルは、指定時刻に基づくルールを持つように設定できます。

5. テストをクリックします。

テストパラメータの結果が、 ポリシテスト結 果 ボックスに表示されます。

UTM 9 WebAdmin 313

9.5 アプリケーション コントロール 9 Webプロテクション

Webフィルタプロファイルに対してURLをテストする場合、Webプロテクション> ポリシテスト

ページはコンテンツをダウンロードしたり、マルウェア、MIMEタイプ、ファイル拡張子をチェックした

りすることはありません。実際のフィルタリングの動作は、そのURLがホストしているコンテンツに

よって異なります。

テストが適切に機能するには、定 義 とユーザ > 認 証 サービス> サーバページで正しい認証

サーバを追加する必要があります。

9.4.2 割 当 てステータス

Webプロテクション> ポリシヘルプデスク> 割 当 てステータスページを利用して、ユーザに残っている

割当て分数をレビューできます。また、時間切れのユーザの割当てをリセットできます。

ユーザまたは一連のユーザの割当てをレビューするには:

1.

割 当 てステータスタブで、レビューするユーザを特定します。

ある程度割当て時間を使っているユーザがリストされます。検索テキストボックスを使用し

て、特定のユーザを検索します。または、フィルタアクションを行って結果を絞り込みます。

特定のユーザの割当ての残り時間が示されます。

2. ユーザを選択して、割当て時間をリセットします。

リセットするユーザの横のチェックボックスを選択します。または、最上部のチェックボックス

をクリックして、現在表示されているすべてのユーザを選択します。

3.

リセットをクリックします。

選択したユーザの割当て時間がリセットされ、フルの割当て時間が与えられます。通常、

全ユーザの割当て時間は午前0時にリセットされます。

9.5 アプリケーションコントロール

UTMのアプリケーション制御機能を使用すると、トラフィックの種類に基づいてネットワークトラ

フィックをシェーピングおよびブロックすることができます。UTMのWebフィルタリング機能 ( Webフィル

タリング

の章を参照) と違い、アプリケーション制御分類エンジンを使用すると、ネットワークトラ

フィックを、プロトコルや URL 単位ではなく、よりきめ細かい基準で識別することができます。これ

は、Webトラフィックに関して特に便利です。Webサイトへのトラフィックは、通常ポート80 でHTTPプ

ロトコルを使用するか、ポート443 でHTTPSプロトコルを使用しています。特定のWebサイト

(facebook.comなど)へのトラフィックをブロックしたい場合、WebサイトのURL(Webフィルタリング)に

314 UTM 9 WebAdmin

9 Webプロテクション 9.5 アプリケーション コントロール

基づいてブロックすることができます。あるいは、ネットワークトラフィック分類を利用して、あらゆる

URLから独立してfacebookトラフィックをブロックすることができます。

UTMの分類エンジンは、ネットワークトラフィックの分類にレイヤ7パケット検査を使用します。

アプリケーションコントロールは2つの方法で使用できます。最初のステップでは、 ネットワーク可 視

化 ページでアプリケーション制御全般を有効にする必要があります。これにより、アプリケーション

が一定の範囲で「可視化」されます。これをこのまま(または、特定の時間だけ)残し、ユーザに使

用されているアプリケーション(フローモニタ、ロギング、レポーティングなど)を確認することができ

ます。2 番目のステップでは、特定のアプリケーションをブロックし、他のアプリケーションは許可す

ることができます。これには、 アプリケーション制 御 ルールページで作成するルールを使用します。

さらに、トラフィックシェーピングを使用して、定義したアプリケーションのトラフィックに特権を与え

ることができます。この設定は、SophosのQoS機能で行います。

9.5.1 ネットワーク可 視 化

Webプロテクション> アプリケーション制 御 > ネットワーク可 視 化 ページでは、アプリケーション制御

を有効または無効にすることができます。

アプリケーションコントロールを有効化すると、すべてのネットワークトラフィックが、その分類に応じ

て分類またはロギングされます。現在のネットワークトラフィックは、フローモニタに、タイプに関す

る詳細な情報と共に表示されます( フローモニタの章を参照)。たとえば、HTTPトラフィックに関する

情報は、もとのアプリケーション(「twitter」、「facebook」など)までドリルダウンされます。フローモニ

タを開くには、 フローモニタセクションで目的のインタフェースを選択し、フローモニタを開 くボタンをク

リックします。

ログとレポートでは、ネットワークトラフィックとその分類に関する幅広い情報と、これらのアプリ

ケーションを使用するクライアントとサーバの情報が表示されます。ログとレポートについて詳しく

は、 ログとレポートの章で、ログファイルの閲 覧 セクションを参照するか (ログ)、ネットワーク使 用 率 >

帯 域 使 用 状 況 セクションおよびWeb プロテクション> アプリケーション制 御 セクションを参照してく

ださい (レポート)。

9.5.2 アプリケーションコントロール ルール

Webプロテクション> アプリケーション制 御 > アプリケーション制 御 ルールページでは、ネットワーク

に対してトラフィックをブロックするか、または明示的に許可するアプリケーションを定義するネット

ワークトラフィック分類に基づいて、ルールを作成することができます。

デフォルトでは、アプリケーションコントロールを有効にするとすべてのネットワークトラフィックが許

可されます。

UTM 9 WebAdmin 315

9.5 アプリケーション コントロール 9 Webプロテクション

アプリケーションコントロールルールの作成は、このページでもフローモニタでも可能です。フロー

モニタの方が使いやすいですが、ルールを作成できるのは、ネットワークで現在モニタリングされ

ているトラフィックに対してのみです。

アプリケーションコントロールルールを作成するには、以下の手順に従います。

1.

アプリケーションコントロールルールタブで、新 規 ルールをクリックします。

ルールの追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 (オプション):ルールの名前を入力します。フィールドを空のままにすると、システムが

ルールの名前を生成します。

グループ: グループオプションを使用すると、ルールを論理的にグループ化できます。 リスト

の上部にあるドロップダウンリストを使用すると、ルールをグループ別にフィルタできます。グ

ループ化は表示用のみで、ルールの一致には関係ありません。新しいグループを作成する

には、<< 新 規 グループ>>エントリを選択し、グループを説明する名前を名 前 に入力しま

す。

優 先 順 位 :ルールの優先順位を定義する位置番号。番号が小さいほど優先順位が高くな

ります。ルールは昇順に照合されます。あるルールが一致すると、それ以降、それより大き

い番号のルールは評価されません。

アクション:トラフィックをブロックするか許可するかを選択します。

制 御 基 準 :アプリケーションタイプに基づいてトラフィック制御するか、分類に基づくダイナ

ミックフィルタによって制御するかを選択します。 l

アプリケーション:トラフィックは、アプリケーションに基づいてコントロールされます。 制

御 するアプリケーションボックスでアプリケーションを1つ以上選択します。 l

ダイナミックフィルタ:トラフィックは、カテゴリに基づいて制御されます。

制 御 するカテ

ゴリボックスで分類を1つ以上選択します。

制 御 するアプリケーション/カテゴリ:フォルダアイコンをクリックして、アプリケーション/カテゴ

リを選択します。ダイアログウィンドウが開きます。これについては、次のセクションで詳しく

説明します。

一部のアプリケーションはブロックすることができません。これは、Sophos UTMの適

切なオペレーションのために必要です。このようなアプリケーションは、 アプリケーション選

択 ダイアログウィンドウのアプリケーションテーブルでチェックボックスがオフになっていま

す。たとえば、WebAdminTeredoSixXs (IPv6 トラフィック用)、Portal (ユーザーポータル

316 UTM 9 WebAdmin

9 Webプロテクション 9.5 アプリケーション コントロール

のトラフィック用) などが該当します。ダイナミックフィルタを使用すると、これらのアプリ

ケーションのブロックも自動的に制限されます。

生 産 性 ( ダイナミックフィルタのみ):選択した生産性スコアが反映されます。

リスク( ダイナミックフィルタのみ):選択したリスクスコアが反映されます。

対 象 ネットワーク:このルールによってネットワークトラフィックをコントロールするネットワー

クまたはホストを選択するか、このボックスに追加します。これは、送信元ホスト/ネットワー

クだけに適用されます。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネット

ワーク定 義 ページで説明しています。

ログ:このオプションはデフォルトでオンになっており、ルールと一致するトラフィックのロギン

グが有効になります。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しいルールが アプリケーション制 御 ルールリストに表示されます。

アプリケーションまたはカテゴリの選 択 ダイアログウィンドウ

アプリケーションコントロールルールを作成する際は、 管 理 するアプリケーション(カテゴリ) 1つ以

上 選 択 してくださいというダイアログウィンドウからアプリケーションまたはアプリケーションカテゴリ

を選択する必要があります。

ダイアログウィンドウの下部に表示されるテーブルには、選択可能なアプリケーションまたは定義

したカテゴリに属するアプリケーションが表示されます。デフォルトでは、すべてのアプリケーション

が表示されます。

ダイアログウィンドウの上部には、テーブルに表示されるアプリケーション数を制限するための3つ

の設定オプションがあります。 l

カテゴリ:アプリケーションはカテゴリ別にグループ分けされています。このリストには、利用

可能なすべてのカテゴリが表示されます。デフォルトでは、すべてのカテゴリが選択されて

います。つまり、下部に表示されるテーブルには、利用可能なすべてのアプリケーションが

表示されます。表示されるアプリケーションを特定のカテゴリに絞り込むには、クリックしてカ

テゴリリストを開き、1つ以上のカテゴリを選択します。 l

生 産 性 :アプリケーションは、生産性への影響(つまり生産性にこのアプリケーションが与

える影響の度合い)によっても分類されています。例:一般的なビジネスソフトウェアの

Salesforceのスコアは5です。つまり、これを使用することで生産性が向上します。一方、オン

UTM 9 WebAdmin 317

9.6 FTP 9 Webプロテクション

ラインゲームのFarmvilleのスコアは1で、これを使用すると生産性が低下します。ネットワー

クサービスDNSのスコアは3で、生産性への影響は中立的です。 l

リスク:アプリケーションは、使用時のリスク(マルウェア、ウイルス感染、攻撃)によっても分

類されています。数値が高いほど、リスクも高くなります。

ヒントそれぞれのアプリケーションには情報アイコンがあり、クリックすると各アプリケーション

の説明が表示されます。テーブルヘッダのフィルタフィールドを使用して、テーブル内を検索する

ことができます。

次に、 新 規 ルール作 成 ダイアログウィンドウで選択したコントロールのタイプに応じて、以下を行い

ます。 l

ダイナミックフィルタでコントロールする場合: カテゴリボックスでカテゴリを選択し、適 用 をク

リックして、選択したカテゴリをルールに適用します。 l

アプリケーションでコントロールする場合:テーブルで、アプリケーションの前のチェックボック

スをクリックし、コントロール対象のアプリケーションを選択します。 適 用 をクリックして、選択

したアプリケーションをルールに適用します。

適 用 をクリックするとダイアログウィンドウが閉じ、アプリケーションルールの設定の編集を続ける

ことができます。

9.5.3 詳 細

Webプロテクション> アプリケーション制 御 > 詳 細 ページでは、アプリケーション制御の詳細オプ

ションを設定できます。

アプリケーション制 御 スキップリスト

このボックスにリストされているホストとネットワークは、アプリケーションコントロールの監視対象と

はならないため、アプリケーションコントロールで管理することも、サービス品質のアプリケーション

セレクタで管理することもできません。これは、送信元および宛先ホスト/ネットワークの両方に適

用されます。

9.6 FTP

Webプロテクション> FTPタブでは、FTPプロキシを設定できます。FTP(ファイル転 送 プロトコル)と

は、インターネット上でファイルを交換するために広く使用されているプロトコルです。Sophos UTM

は、ネットワークを通過するすべてのFTPトラフィックの仲介役となるプロキシサービスを提供しま

318 UTM 9 WebAdmin

9 Webプロテクション 9.6 FTP

す。FTP プロキシには、FTP トラフィックのウイルススキャンや、FTP プロトコル経由で転送される

特定のファイルタイプのブロックといった便利な機能が用意されています。

FTPプロキシには、FTPトラフィックのウイルススキャンや、FTPプロトコル経由で転送される特定の

ファイルタイプのブロックといった便利な機能が用意されています。続いて、クライアントから見え

ない状態でプロキシが要求に代わって新しいネットワーク接続を開始します。このモードのメリット

は、その他の管理やクライアント側の設定が必要ないということです。

9.6.1 グローバル

Webプロテクション> FTP > グローバルタブでは、FTPプロキシの基本設定を構成できます。

FTPプロキシを設定するには、次の手順に従ってください。

1.

グローバルタブで、FTPプロキシを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、FTP設 定 エリアが編集可能になります。

2. 許可するネットワークを選択します。

FTPプロキシの使用を許可するネットワークを選択します。

3. オペレーションモードを選択します。

FTPプロキシのオペレーションモードを選択します。次のモードを使用できます。 l

透 過 :プロキシは、クライアントの要求をターゲットサーバに転送し、コンテンツをス

キャンします。クライアント側での設定は不要です。 l

非 透 過 :このモードを使用する場合、FTPクライアントを設定する必要があります。

ゲートウェイのIPアドレスとポート2121を使用します。 l

両 方 :このモードを使用すると、一部のクライアントには透過モードを、他のクライア

ントには非透過モードを使用することができます。非透過モードで機能させるFTPク

ライアントを、ゲートウェイのIPアドレスとポート2121でプロキシを使用するように設定

します。

4.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

FTPプロキシは、Active Directory認証を使用するFTPサーバとは通信できません。FTPクラ

イアントがこのようなFTPサーバに接続できるようにするには、このサーバをFTPプロキシのス

キップリストに追加します。スキップリストの設定は、 詳 細

タブで行います。

UTM 9 WebAdmin 319

9.6 FTP 9 Webプロテクション

9.6.2 ウイルス対 策

Webプロテクション> FTP > ウイルス対 策 タブには、ウイルス、ワーム、その他のマルウェアなどの

有害で危険なコンテンツを伝送するFTPトラフィックに対して講じることができるあらゆる対策が含

まれています。

ウイルス対 策 スキャンを使 用 :このオプションを選択すると、FTPトラフィックがスキャンされます。

Sophos UTMは、最高のセキュリティを実現するさまざまなウイルス対策エンジンを備えています。 l

シングルスキャン: デフォルト設定。

システム設 定 >

スキャン設 定

タブに定義されたエンジン

を使用して最高レベルのパフォーマンスを実現します。 l

デュアルスキャン:各トラフィックに対し、異なるウイルススキャナを使用してスキャンを2回行

うことにより、検知率を最大限に高めます。デュアルスキャンは、ベーシックガードサブスク

リプションでは使用できません。

最 大 スキャンサイズ:ウイルス対策エンジンでスキャンする最大ファイルサイズを指定します。この

サイズを超えるファイルはスキャン対象外となります。

設定を保存するには 適 用 をクリックします。

アーカイブ内のファイル(例、zipファイル)は、ブロックするファイルタイプ、ブロックする拡張

子、ブロックするMIMEタイプではスキャンされません。こうしたアーカイブ内のファイルからネット

ワークを保護するには、zip、rar、などのアーカイブファイルタイプのブロックを検討してください。

ファイル拡 張 子 フィルタ

この機能では、ファイルの拡張子(実行可能バイナリなど)に基づいて、 ブロック対 象 ファイル拡 張

子 ボックスにファイル拡張子がリストされているタイプのファイルを伝送するFTP転送をWebトラ

フィックからフィルタします。ファイル拡張子を追加したり、ブロック対象から外すファイル拡張子を

削除したりすることができます。ファイル拡張子を追加するには、 ブロックするファイル拡 張 子 ボック

スの「+」アイコンをクリックし、ブロックする拡張子(exeなど)を入力します(区切り記号のドットは不

要です。)。設定を保存するには 適 用 をクリックします。

9.6.3 除 外

FTP > 除 外 タブでは、FTPプロキシの提供する選択可能なセキュリティオプションから除外するホ

ワイトリストのホスト/ネットワークを定義することができます。

除外ルールを作成するには、次の手順に従います。

320 UTM 9 WebAdmin

9 Webプロテクション 9.6 FTP

1.

除 外 タブで、新 規 除 外 リストをクリックします。

除 外 リストを追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :この除外ルールを説明する名前を入力してください。

実 行 しないチェック:スキップするセキュリティチェックを選択します。 l

ウイルス対 策 チェック:選択すると、ウイルスやトロイの木馬などの好ましくないコンテ

ンツがトラフィックに含まれていないかチェックするウイルススキャンが無効になりま

す。 l

拡 張 子 ブロック:選択すると、ファイル拡張子フィルタが無効になります。このフィルタ

は、ファイル拡張子に基づいてファイル転送をブロックするために使用します。 l

許 可 サーバ:選択すると、 詳 細 タブで設定できる、許可サーバのチェックが無効にな

ります。選択すると、選択したクライアントのホスト/ネットワークはすべてのFTP サー

バにアクセスできるようになり、選択したサーバのホスト/ネットワークはすべてのク

ライアントが許可されます。

クライアントホスト/ネットワークで除 外 :このオプションを選択すると、クライアントホスト/ネット

ワークボックスが開きます。この除外ルールのセキュリティチェックから除外するクライアント

ホスト/ネットワークを選択します。

サーバホスト/ネットワークで除 外 :このオプションを選択すると、サーバホスト/ネットワーク

ボックスが開きます。この除外ルールのセキュリティチェックから除外するサーバホスト/

ネットワークを選択します。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しい除外ルールが 除 外 リストに表示されます。

除外ルールを編集または削除するには、対応するボタンをクリックします。

9.6.4 詳 細

FTP > 詳 細 タブでは、FTPプロキシの透過モードをスキップできるホストとネットワークを指定でき

ます。さらに、アクセスを許可するFTP サーバを定義できます。

FTPプロキシスキップリスト

ここにリストされるホストおよびネットワーク(FTP クライアントならびにFTP サーバ)は、FTPトラ

フィックの透過的インターセプションの対象から除外されます。ただし、これらのホストおよびネット

UTM 9 WebAdmin 321

9.6 FTP 9 Webプロテクション

ワークでFTPトラフィックを許可するには、 リスト内 のホスト/ネットワークのFTPトラフィックを許 可

チェックボックスにチェックを入れます。このチェックボックスにチェックを入れない場合は、ここでリ

ストされているホストとネットワークに特定のファイアウォールルールを定義する必要があります。

FTPプロキシは、Active Directory認証を使用するFTPサーバとは通信できません。FTPクラ

イアントがこのようなFTPサーバに接続できるようにするには、このサーバをFTPプロキシのス

キップリストに追加します。

FTPサーバ

ホスト/ネットワークからのアクセスを許可するFTPサーバまたはネットワークを選択または追加し

ます。一部のFTP クライアントやFTP サーバがこのリストをバイパスするように、 除 外 タブで除外を

作成できます。

322 UTM 9 WebAdmin

10 Eメールプロテクション

この章では、Sophos UTMの基本的なEメールプロテクション機能を設定する方法を説明します。

WebAdmin のEメールプロテクション統 計 ページには、メール送信者、メール受信者、スパム送信元

(国別)、検知数によるマルウェアのその日の上位 10件までに加え、同時接続の概要が表示され

ます。各セクションには 詳 細 リンクがあります。リンクをクリックするとWebAdminのそれぞれのレ

ポーティングセクションが表示され、そこでさらなる統計情報を参照できます。

この章には次のトピックが含まれます。 l

SMTP

l

SMTPプロファイル

l

POP3

l

暗号化

l

SPX暗号化

l

隔離レポート

l

メールマネージャ

10.1 SMTP

Eメールプロテクション> SMTPメニューでSMTPプロキシを設定できます。SMTP は簡 易 メール転

送 プロトコル の略で、メールをメールサーバーに転送するために使用されるプロトコルです。

Sophos UTMはSMTPのためのアプリケーションレベルのゲートウェイを装備しており、これを使用し

て内部メールサーバをリモートの攻撃から守り、さらに強力なウイルススキャンおよびメールフィル

タサービスを提供できます。

SMTP プロキシを正しく使用するには、有効なネームサーバー (DNS) を設定する必要があり

ます。

10.1.1 グローバル

Eメールプロテクション> SMTP > グローバルタブで、SMTP設 定 に対 してシンプルモードを使 用 する

かプロファイルモードを使用するかを決定できます。

10.1 SMTP 10 Eメールプロテクション

1. SMTPを有効にします。

トグルスイッチをクリックします。

トグルスイッチが緑色になり、 設 定 モードエリアが編集可能になります。

2. 設定モードを選択します。

シンプルモード: すべてのドメインが同じ設定を共有している場合はこのモードを使用しま

す。ただし、ドメイン名、メールアドレス、およびホストに基づいて除外ルールを定義すること

もできます。これは プロファイルモードと異なり機能的な制限はありません。

プロファイルモード:(ベーシックガードサブスクリプションでは使用できません。)このモード

では、個々のドメインあるいはドメイングループのアンチスパムやウイルス対策などのグ

ローバル設定を、SMTPプロファイルメニューでそれらのプロファイルを作成することで、上書

きまたは拡張できます。SMTPメニューで行った設定は、依然として指定のドメインに適用

され、プロファイルのデフォルトとなります。

プロファイルモードには、UTMのプロファイルモー

ドや動作の推奨設定について、いくつかの注意事項があります。

3.

適 用 をクリックします。

選択したモードが有効になります。

SPXグローバルテンプレート

SPX暗号化が有効な場合、このセクションを利用することができます。ドロップダウンリストから、グ

ローバルに使用されるSPXテンプレートを選択します。SMTPをシンプルモードで使用している場

合、このテンプレートはすべてのSMTPユーザに使用されます。SMTPをプロファイルモードで使用し

ている場合、このテンプレートは個別に選択されていないSPXテンプレートのすべてのSMTPプロ

ファイルに使用されます。

ライブログ

SMTPライブログは、SMTPプロキシのアクティビティをログし、すべての受信メールを表示します。ボ

タンをクリックして、新しいウィンドウでライブログを開きます。

10.1.2 ルーティング

ルーティングタブで、SMTPプロキシのドメインとルーティングターゲットを設定し、受信者の検証方

法を定義します。

SMTPプロキシのルーティングを設定するには、以下の手順に従います。

1. 内部ドメインを入力します。

メールのドメインを入力するには、

ドメインボックスの「+」アイコンをクリックします。

324 UTM 9 WebAdmin

10 Eメールプロテクション 10.1 SMTP

表示されたテキストボックスに、example.comの形式でドメインを入力し、適 用 をクリックし

ます。すべてのドメインがリストされるまでこのステップを繰り返します。また、ワイルドカード

を異なる方法で使用可能です。例:*.me.mycompany.de、*.mycompany.de、

*.me*.mycompany.*e、**.mycompany.*。「*」のみを使用することはできません。

プロファイルモード:グローバル設定を使用するドメインのみを入力します。他のすべてのドメ

インは、それぞれのプロファイルにリストします。

2. 内部サーバを指定します。

ルーティング方 式 ドロップダウンリストで、上記でリストしたドメイン宛てのメールの転送先ホ

ストを選択します。一般的なターゲットホストとしては、ローカルネットワーク上のMicrosoft

Exchange Serverが挙げられます。さまざまなサーバタイプから選択できます。 l

スタティックホストリスト: ホストリストボックスで、ターゲットルートのホスト定義を選択

します。基本的なフェイルオーバー用に複数のホスト定義を選択できます。最初の

ホストへの配信に失敗すると、メールは次のホストにルーティングされます。ただし、

ホストのスタティック(静的)な順序は、現在のバージョンのSophos UTMでは決定でき

ず、やや偶発的に決定されます。基本的な負荷分散機能をさらに効率よく達成でき

るようにホストグループへの配信をランダム化するには、DNS ホスト名 ルートタイプ

を使用し、複数の A レコードを持つホスト名を指定します (A レコードまたはアドレスレ

コードは、ホスト名を IP アドレスにマップします)。 l

DNSホスト名 :ターゲットルートの完 全 修 飾 ドメイン名 (FQDN)を指定します

(例:exchange.example.com)。複数のAレコードを持つDNS名を選択すると、各

サーバへのメールはランダムに配信されます。さらに、1台のサーバに障害が発生

すると、そのサーバ宛てのすべてのメールは残りのサーバに自動的にルーティング

されます。 l

MXレコード:MXレコードを使用して、お使いのドメインにメールをルーティングすること

もできます。このルートタイプを選択すると、Sophos UTMのメール転送エージェント

は、受信者のドメイン名(メールアドレスの「@」文字に続く部分)のMXレコードを要求

するDNSクエリを行います。ゲートウェイが上記で指定したドメインのプライマリMXで

はないことを確認する必要があります。なぜなら、自らにはメールを配信しないから

です。

3.

適 用 をクリックします。

設定が保存されます。

受 信 者 検 証

受 信 者 検 証 :ここでメール受信者を確認するかどうかと確認方法を指定できます。

UTM 9 WebAdmin 325

10.1 SMTP 10 Eメールプロテクション l

コールアウト使 用 :受信者検証の要求がサーバに送信されます。 l

Active Directory:受信者検証の要求がActive Directoryサーバに送信されます。Active

Directoryを使用するには、 定 義 とユーザ > 認 証 サービス>

サーバ で指定されたActive

Directoryサーバを備えていることが必要です。ベースDNを 代 替 ベースDNフィールドに入力

します。

Active Directory 受信者検証を使用すると、サーバーが応答しない場合にメッセージ

がバウンスされる場合があります。 l

オフ:受信者確認は完全にオフにできますが、推奨されません。なぜなら、オフにすると、ス

パムトラフィックが増大して、辞書攻撃の危険性が高まるからです。この結果、隔離場所が

迷惑メールで溢れてしまうことになります。

設定を保存するには 適 用 をクリックします。

10.1.3 ウイルス対 策

ウイルス対 策 タブには、ウイルス、ワーム、その他のマルウェアなどの有害で危険なコンテンツを

含むメールに対するさまざまな対策が含まれています。

送信メールは、リレータブのリレー (送 信 ) メッセージのスキャンが選択されている場合にス

キャンされます。

SMTPトランザクション中 のスキャン

SMTPトランザクション時 にマルウェアをリジェクトチェックボックスにチェックを入れることで、SMTP ト

ランザクション中にスキャンを行い、マルウェアが含まれている場合は拒否(リジェクト)することが

できます。

プロファイルモード:この設定はプロファイルごとには変更できません。1人以上の受信者がいるメッ

セージで、受信者の1人のプロファイルで ウイルス対 策 スキャンがオフになっている場合は、この機

能はスキップされます。したがって、以下の通常のウイルス対策設定を

ブラックホールあるいは隔

離 のいずれかの設定にしておくことをお勧めします。

設定を保存するには 適 用 をクリックします。

ウイルス対 策 スキャン

このオプションでは、ウイルス、トロイの木馬、疑わしいファイルタイプなどの不要なコンテンツがな

いかどうか、メールをスキャンします。悪意のあるコンテンツを含むメッセージはブロックされて、

326 UTM 9 WebAdmin

10 Eメールプロテクション 10.1 SMTP

メールの隔離場所に保存されます。ユーザは、Sophos

ユーザポータル

またはデイリーの

隔離レ

ポート

で、隔離されたメッセージを確認してリリースできます。ただし、悪意のあるコンテンツを含む

メッセージは、

メールマネージャ で管理者のみが隔離からリリースできます。

ウイルス対 策 :悪意あるコンテンツを含むメッセージの処理方法を設定できます。次の作業を実行

できます。 l

オフ:ウイルス対策スキャンを実行しません。 l

ブラックホール:メッセージは受信後、ただちに削除されます。送信メッセージは、意図しない

メールの紛失を回避するために、ブラックホール化されることがありません。代わりに、隔離

されます。 l

隔 離 :メッセージはブロックされ、メールの隔離場所に保存されます。隔離されたメッセージ

は、ユーザポータルまたはデイリーの隔離レポートで確認できます。悪意のあるコンテンツを

含むメッセージを隔離場所からリリースできるのは、管理者だけです。

Sophos UTMは、最高のセキュリティを実現するさまざまなウイルス対策エンジンを備えています。 l

シングルスキャン: デフォルト設定。

システム設 定 >

スキャン設 定

タブに定義されたエンジン

を使用して最高レベルのパフォーマンスを実現します。 l

デュアルスキャン:各トラフィックに対し、異なるウイルススキャナを使用してスキャンを2回行

うことにより、検知率を最大限に高めます。デュアルスキャンは、ベーシックガードサブスク

リプションでは使用できません。

スキャンできないコンテンツ、暗 号 化 されたコンテンツの隔 離 :このオプションを選択して、コンテンツ

をスキャンできなかったメールを隔離します。スキャンできないコンテンツは、暗号化されたもの、

破損したアーカイブ、またはサイズが大きすぎるコンテンツの他、スキャナの不具合などの技術的

な問題による場合があります。

設定を保存するには 適 用 をクリックします。

MIMEタイプフィルタ

MIMEタイプのフィルタはMIMEタイプのEメールコンテンツを読みます。さまざまなMIMEタイプをどう

取り扱うかを定義できます。 l

オーディオコンテンツを隔 離 :このチェックボックスにチェックを入れると、mp3あるいはwav

ファイルなどの音声コンテンツが隔離されます。 l

ビデオコンテンツを隔 離 :このチェックボックスにチェックを入れると、mpgあるいはmovファイ

ルなどの動画コンテンツが隔離されます。 l

実 行 形 式 コンテンツを隔 離 :このチェックボックスにチェックを入れると、exeファイルなどの

実行形式コンテンツが隔離されます。

UTM 9 WebAdmin 327

10.1 SMTP 10 Eメールプロテクション

隔 離 する他 のタイプ:上記以外のMIMEタイプを隔離するには、 隔 離 する他 のタイプボックスの「+」

アイコンをクリックし、MIMEタイプ(例:image/gif)を入力します。スラッシュ右側にワイルドカード

(*)を使用できます(例:application/*)。

ホワイトリスト化 するタイプ:このボックスを使用して一般的に信頼できるMIMEタイプを許可します。

MIMEタイプを追加するには ホワイトリストのコンテンツタイプボックスの「+」アイコンをクリックし、

MIMEタイプを入力します。設定を保存するには

適 用 をクリックします。

MIMEタイプ audio/* video/* application/x-dosexec application/x-msdownload application/exe application/x-exe application/dos-exe vms/exe application/x-winexe application/msdos-windows application/x-msdos-program

MIMEタイプのクラス

音 声 ファイル

動 画 ファイル

アプリケーション

表2: MIMEタイプフィルタで認識されるMIMEタイプ

ファイル拡 張 子 フィルタ

この機能は、ファイル拡張子に基づいて特定タイプのファイル(実行可能ファイルなど)を含むメー

ルを(警告付きで)フィルタリングし、隔離します。ファイル拡張子を追加するには、

ブロック対 象 ファ

イル拡 張 子 ボックスの「+」アイコンをクリックし、制限するファイル拡張子(例:exe、 jar(区切り文

字のドットなし))を入力します。設定を保存するには 適 用 をクリックします。

ウイルス対 策 チェックフッタ

各送信メールで、悪意あるコンテンツについてメールをスキャン済みであることをユーザに知らせる

特別なフッタを追加してカスタマイズできます。ただし、 リレータブのリレー 送 信 メッセージのス

キャンチェックボックスが選択されている場合にのみフッタが追加されます。さらに、ウイルス対策

チェックフッタは、メールが返信の場合追加されません。(つまり、 In-Reply-Toヘッダを持つもの)

328 UTM 9 WebAdmin

10 Eメールプロテクション 10.1 SMTP

またはメールのコンテンツタイプを判定できない場合は、メールに追加されません。 以 下 のテキス

トをフッタとして使 用 チェックマークを有効化して、フッタテキストを入力します。設定を保存するに

は 適 用 をクリックします。

メールクライアント (例: Microsoft Outlook または Mozilla Thunderbird) が署名済みまたは暗

号化済みのメッセージにフッタを追加すると、署名が破壊されて無効になります。デジタル署名

をクライアント側で作成する場合は、ウイルス対策チェックフッタオプションを無効にしてくださ

い。ただし、メール通信のプライバシーや認証を保ちながら、一般的なウイルス対策チェックフッ

タを使用する場合は、Sophos UTM の組み込み

メール暗号化

機能の使用を考慮してください。

ゲートウェイ上でのメール暗号化では、デジタル署名を作成する前にフッタがメッセージに付加さ

れるため、署名が損なわれることはありません。

10.1.4 スパム対 策

Sophos UTMを設定して、未承諾のスパムメールを検出したり、既知の(または疑わしい)スパム発

信者からのスパム送信を特定することができます。 スパム対 策 タブにある設定オプションを使用し

て、SMTPのセキュリティ機能を設定し、未承諾の宣伝用メールなどからネットワークを保護しま

す。

送信メールは、リレータブのリレー (送 信 ) メッセージのスキャンが選択されている場合にス

キャンされます。

このタブの機能の一部は、ベーシックガードサブスクリプションでは使用できません。

SMTPトランザクション中 のスパム検 知

SMTPトランザクション中にスパムを拒否することができます。SMTP上 でリジェクトオプションに、次

のいずれかの設定を選択します。 l

オフ:スパム検出は無効となり、スパムが原因でメールが拒否されることは一切ありませ

ん。 l

Confirmed Spam:確認されたスパムのみ拒否されます。 l

Spam:システムがスパムとみなす全てのメールが拒否されます。ニュースレターなどの

メールを、スパムの疑いがあるとみなして却下する場合もあるため、誤検出率が高くなる可

能性があります。

SMTPトランザクション中に拒否されないメールは、下の スパムフィルタセクションに従って処理され

ます。

UTM 9 WebAdmin 329

10.1 SMTP 10 Eメールプロテクション

プロファイルモード:この設定はプロファイルごとには変更できません。メッセージが複数の受信者

宛てであり、いずれかの受信者のプロファイルでスパムのスキャンが完全にオフになっている場

合、この機能は省略されます。つまり、通常のスパムスキャン設定をSpamまたはConfirmed

Spamのいずれかにしておくことをお勧めします。

RBLs (Realtime Blackhole Lists)

リアルタイムブラックホールリスト(RBL)とは、スパム行為に関連しているIPアドレスのリストをイン

ターネットサイトが公開する方式です。

推 奨 RBLを使 用 :このオプションを選択すると、メール転送エージェントは外部のデータベースに

対して既知のスパム送信者(いわゆる リアルタイムブラックホールリスト)を問い合わせます。あるサ

イトが、それらのリストの1つ以上に含まれていれば、このサイトからの送信メッセージを容易に拒

否することができます。このようなサービスの一部はインターネットで利用できます。この機能を使

用することにより、スパムを大幅に減らすことができます。

デフォルトで、以下のRBLに対して問い合わせます。 l

Commtouch IP Reputation(ctipd.org) l cbl.abuseat.org

Sophos UTM が問い合わせるRBLリストは、予告なしに変更される場合があります。Sophos

は、これらのデータベースの内容を保証しません。

Sophos UTMのスパム対策機能を強化するために、さらなるRBLサイトを追加して、スパム対策機

能を強化できます。追加するには、RBLゾーンの追 加 ボックスでプラスアイコンをクリックします。

表示されたテキストボックスにRBLゾーンを入力します。

設定を保存するには 適 用 をクリックします。

スパムフィルタ

Sophos UTMには、スパムの特徴があるメールをヒューリスティックでチェックする機能があります。

この機能は、SMTPエンベロープ情報と、ヒューリスティックテストおよび特性に関する内部データ

ベースを使用します。このスパムフィルタオプションでは、メッセージの内容とSMTPエンベロープ情

報に基づいてメッセージにスコアを付けます。スコアが高いほど、スパムの可能性が高いことを意

味します。

次の2つのオプションを使用して、ある一定のスパムスコアが付いたメッセージへの対応方法を指

定することができます。これにより、ゲートウェイはスパムの可能性があるメールを別個に扱うこと

ができるようになります。

330 UTM 9 WebAdmin

10 Eメールプロテクション 10.1 SMTP l

スパムアクション:ここでは、スパムの可能性があるとして分類されたメッセージに対する対

策を定義できます。ここでは、誤検出、つまり、ニュースレターなどが間違ってスパムに分類

され、ブラックホール化によってメールが紛失する可能性があることに注意してください。 l

確 実 性 の高 いスパムへのアクション:ここでは、確実性の高いスパムメッセージに対するア

クションを定義できます。

これら2種類のスパムに対する処理を、さまざまな対策から選択できます。 l

オフ:メッセージはスパムとしてマークされたり、フィルタされません。 l

警 告 :メッセージはフィルタされません。受信メッセージの場合は、その代わりに、スパムフ

ラグがメッセージヘッダに追加され、スパムマーカがメッセージの件名に追加されます。送

信メッセージは、アクションなしで送信されます。 l

隔 離 :メッセージはブロックされ、メールの隔離場所に保存されます。隔離されたメッセージ

は、ユーザポータルまたはデイリーの隔離レポートで確認できます。 l

ブラックホール:メッセージは受信後、ただちに削除されます。送信メッセージは、意図しない

メールの紛失を回避するために、ブラックホール化されることがありません。代わりに、隔離

されます。

スパムマーカ:このオプションで、スパムマーカを指定できます。スパムマーカとは、スパムメッセー

ジをすばやく簡単に識別できるように、メッセージの件名行に追加される文字列です。デフォルト

では、スパムメッセージを示すために *SPAM* という文字列が使用されます。

送 信 者 ブラックリスト

受信SMTPセッションのエンベロープ送信者は、このブラックリスト内のアドレスと照合されます。エ

ンベロープ送信者がブラックリストに含まれている場合、メッセージはSMTP上でリジェクトされま

す。SMTP上 でリジェクトフィールドの設定は、この機能から影響を受けることはありません。

ブラックリストに新しいアドレスパターンを追加するには、 ブラックリストアドレスパターンボックスでプ

ラスアイコンをクリックし、アドレス(の一部)を入力してから、 適 用 をクリックします。ワイルドカード

としてアスタリスク(*)を使用できます(例:*@abbeybnknational.com)。

ヒントエンドユーザは、ユーザポータルで独自のメールホワイトリストとブラックリストを作成す

ることができます。

表 現 フィルタ

表現フィルタは、SMTPプロキシを通過するメッセージに特定の表現が含まれていないか、コンテン

ツをスキャンし、 疑わしいメールはブロックされます。表現はPerl互 換 の正 規 表 現 で指定できま

す。たとえば、「online dating」などの簡単な文字列は、大文字と小文字を区別しないで解釈されま

す。設定を保存するには 適 用 をクリックします。

UTM 9 WebAdmin 331

10.1 SMTP 10 Eメールプロテクション

クロスリファレンス 表現フィルタでの正規表現の使用に関する詳細情報は、

SophosKnowledgebase を参照してください。

スパム対 策 詳 細 機 能

このエリアには、Sophos UTMのスパム対策機能を強化するその他のさまざまな詳細オプションが

まとめられています。

無 効 なHELO/RDNS不 可 のリジェクト:無効なHELOエントリを送信するホストやRDNSエントリが

不足しているホストを拒否するには、このオプションを選択します。このチェックからホストを除外す

るには、 除 外 タブを使用してください。

厳 密 なRDNSチェック:無効なRDNSレコードのホストからのメールを追加拒否するには、こ

のオプションを選択します。RDNSレコードは、検出されたホスト名が元のIPアドレスに解決

されない場合に無効になります。

グレイリスティング:グレイリスティングとは、基本的に、特定の期間にわたってメールを一時的に拒

否することです。一般に、グレイリスティングを使用しているメールサーバは、すべての受信メール

から3種類の情報を記録します。 l

送信者のアドレス l

メッセージ送信元のホストのIPアドレス l

受信者のアドレス l

メッセージ件名

このデータセットは、SMTPプロキシの内部データベースと照合してチェックされます。新しいデータ

セットが見つかった場合には、それを記述する特別なタイムスタンプとともにデータベースに記録

が作成されます。このデータセットにより、当該メールが5分間にわたって拒否されます。5分経つと

プロキシがデータセットを認識します。当該メッセージが再送信されると、このメッセージは許可さ

れます。データセットは、1週間以内に更新されなければ、1週間後に失効します。

グレイリスティングでは、ほとんどのスパムメッセージ送信者が「fire-and-forget」方式を使用してい

る点を利用しています。これは「メールを送りつけて、うまくいかなければ忘れる」という方式です。

つまり、RFC準拠のメールサーバと違い、スパムメール送信者は、一時的な失敗が発生したメー

ルを再送信しません。この機能では、次のことが前提となっています。つまり、一時的な失敗は

メール配信に関するRFC仕様に起因するため、正当なサーバは後でメールを再送信します。その

時点で宛先にメールが受け入れられます。

BATVを使 用 : BATVとは、メールアドレスの正当な使用と不正な使用を区別することを目指す

IETFのドラフトです。BATVは、簡単な共有鍵を追加してアドレス、時変情報、および任意のランダ

332 UTM 9 WebAdmin

10 Eメールプロテクション 10.1 SMTP

ムデータのハッシュを符号化することにより、送信メールのエンベロープ送信者に署名を施して、

メールが本当に送信者からのものであると証明する方法を提供します。これは主に、送信者自身

が送信したものではないバウンスメールを拒否するために使用されます。BATVを使用することに

より、受信するバウンスが本当に自分が送信したEメールに由来しており、スパム送信者が偽造し

たアドレスからのメールではないことを確認できるようになります。戻ってきたバウンスメールの

メールアドレスがBATVに従って署名されていない場合、SMTPプロキシはこのメッセージを受け付

けません。BATVによる署名は7日後に失効します。メールのエンベロープMAIL FROMアドレスの

ハッシュを符号化するために使用する鍵(別名BATVシークレット)を変更するには、Eメールプロテ

クション> SMTP > 詳 細 タブに進みます。

メール転送エージェントによっては、BATVによってエンベロープ送信者アドレスが変更され

たメッセージを拒否する場合があります。この場合、影響を受ける送信者、受信者、ドメインに対

して除外ルールを作成する必要があります。

チェックの実 施 :SPF(送信者ポリシフレームワーク:Sender Policy Framework)とは、ドメインの所

有者が送信メールサーバに関する情報を公開するためのフレームワークです。ドメインは公開レ

コードを使用して、さまざまなサービス(Web、メールなど)をこれらのサービスを実行するマシンに

送信します。すべてのドメインは、そのドメインへのメールをどのマシンが受信するのかを知らせる

MXレコードをメール関連のサービス用に公開しています。SPFでは、ドメインからある種の「リバー

スMXレコード」を公開することにより、そのドメインからのメールを送信しているマシンを広く一般に

伝えます。特定のドメインからメッセージを受信すると、受信者はそれらのレコードを確認して、正

当な送信者からのメールであることを確認します。

クロスリファレンス- 詳細は、 送信者ポリシフレームワーク Webサイトでご確認ください。

追加のスパム対策機能として、SMTPプロキシは、任意のアドレスへのメールを受信したときに、

バックエンドのメールサーバに対して受信者アドレスを暗黙でチェックしてからそのメールを受け

付けます。無効な受信者アドレスへのEメールは許可されません。この機能が動作するためには、

使用しているバックエンドメールサーバが、SMTPステージで不明受信者へのメールを拒否できな

ければなりません。原則的に、バックエンドサーバがメッセージを拒否すれば、SMTPプロキシもこ

のメッセージを拒否します。

ただし、受信者の確認は信頼される(許可される)ホストやリレーホストに対しては 行われません。

この理由は、ユーザエージェントによっては、SMTPトランザクションで受信者が拒否されると問題

が発生する場合があるためです。一般的なシナリオ(バックエンドメールサーバがSMTPトランザク

ションで不明な受信者を拒否する)では、Sophos UTMバウンスが生成されるのは次の場合に限ら

れます。

UTM 9 WebAdmin 333

10.1 SMTP 10 Eメールプロテクション l

信頼される送信元やリレー元が、配信不能な受信者にメッセージを送信した場合。 l

バックエンドメールサーバが停止しており、Sophos UTMが受信者を確認できなかった場

合。

ただし、Sophos UTMは、バックエンドメールサーバからの配信不能レポート(NDR)やバウンスの送

信を防止することはできません。さらにSophos UTMは、メールサーバからのスパムの可能性のあ

るコールアウト応答は24時間キャッシュし、可能性のないものは2時間キャッシュします。

10.1.5 データ保 護

SMTP > データ保 護 タブでは、データ保護機能により、機密データを含むファイル転送のモニタリン

グや制限を行うことにより、ワークステーションからの偶発的なデータ損失を軽減することができま

す。偶発的なデータ損失は、一般的に従業員の機密データの取り扱いミスが原因となります。例:

ユーザが家庭用のメール(SMTP)を経由して機密データを含むファイルを送信するなど。Data

Protectionは件名、メッセージ本文、および機密情報の添付などを含む送信メールをスキャンしま

す。結果に基づき、メールはSPX暗号化を使用して暗号化、またはメールの拒否もしくは送信する

ことができます。

Data Protectionを設定するには、次のセクションで設定を定義します。Sophosコンテンツコントロー

ルが選択されていないか、カスタムルールが定義されていない限り、この機能は無効です。

データ保 護 ポリシー

添 付 内 をスキャン:これを選択すると、機密データに対する添付やさらにはメッセージ本文もスキャ

ンされます。このスキャンはSAVIエンジンを使用して、現在のデータベースにより、非常にさまざま

なファイルタイプをスキャンします。

ルールの一 致 におけるアクション:ポリシがトリガされている場合、メールを取り扱う方法として選択

します。

ブラックホール:ポリシがトリガされているメールは送信されません。

SPX 暗 号 化 で送 信 : ポリシがトリガされているメールは自動的にSPX 暗号化されて送信

されます(Eメールプロテクション> SPX暗 号 化 タブを参照)。SMTPがシンプルモードで使用

される場合、SMTP > とグローバルタブで選択されたSPXテンプレートがSPX暗号化に使用さ

れます。SMTPがプロファイルモードで使用される場合、送信者のドメインがアサインされて

いるSMTPプロファイルに応じてSPXテンプレートが使用されます(SMTPプロファイルタブを参

照)。送信者のドメインが任意のプロファイルに割り当てられていない場合、SMTP > グロー

バルタブで選択されたデフォルトのテンプレートが使用されます。

許 可 :ポリシがトリガされているメールである場合でも送信されます。

334 UTM 9 WebAdmin

10 Eメールプロテクション 10.1 SMTP

合 致 時 の通 知 先 :以下の人物に通知するかどうか選択します。 l

メール送信者、 l

管理者、 l

その他、 l

または全員。

その他の隣にメールアドレスを入力する必要があります。 通知メールは、

管 理 > カスタマイ

> Eメールメッセージタブでカスタマイズできます。

設定を保存するには 適 用 をクリックします。

Sophosコンテンツコントロールリスト ルール

タイプ:ドロップダウンリストからエントリを選択し、表示されるルールに応じて数を減らします。

地 域 :ドロップダウンリストからエントリを選択し、表示されるルールに応じて数を減らします。

選 択 したルールのみ表 示 :有効にすると、選択したルールのみがリストに表示されます。

ルール:Data Protection機能に使用するルールを選択します。エントリの上へカーソルを移動させ

ると、ツールのヒントとともにルールに関する追加情報が表示されます。

設定を保存するには 適 用 をクリックします。

カスタムルール

カスタム表 現 :上記で選択したルールに加え、Data Protection機能で使用する表現を入力します。

正規表現を追加することができます。

クロスリファレンス ここでの正規表現の使用に関する詳細情報は、 SophosKnowledgebase を参照

してください。

設定を保存するには 適 用 をクリックします。

10.1.6 除 外

SMTP > 除 外 タブで、アンチスパム、ウイルス対策、またはその他のセキュリティチェックから除外

するホワイトリストのホスト、ネットワーク、送信者、および受信者を定義できます。

UTM 9 WebAdmin 335

10.1 SMTP 10 Eメールプロテクション

メールは多数の受信者に送信される場合がありますが、Sophos UTMはSMTPプロトコルの

インラインスキャニングを実装しているため、メール受信者のうち1人でも

受 信 者 ボックスにリス

トされていると、メールのスキャンはすべての受信者に対してスキップされます。

除外ルールを作成するには、次の手順に従います。

1.

除 外 タブで、新 規 除 外 リストをクリックします。

除 外 リストを追 加 ダイアログボックスが開きます。

2. 次の設定を行います。

名 前 :この除外ルールを説明する名前を入力してください。

実 行 しないチェック:スキップするセキュリティチェックを選択します。詳細は、Eメールプロテ

クション> SMTP >

ウイルス対 策

および スパム対 策

を参照してください データ保 護 。

送 信 元 ホスト/ネットワークで除 外 :この除外ルールで定義されたセキュリティチェックをス

キップする送信元ホスト/ネットワーク(メッセージが発信されたホストまたはネットワーク)を

選択または追加します。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネット

ワーク定 義 ページで説明しています。

ローカルメッセージはデフォルトでスキャンされないので、ローカルホストには除外を

作成する必要はありません。

このオプションを選択すると、 ホスト/ネットワークボックスが開きます。「+」アイコンまたはフォ

ルダアイコンをクリックして、ホストあるいはネットワークを追加できます。

または これらの送 信 者 アドレス:定義されたセキュリティチェックをスキップする送信者のE

メールアドレスを選択します。

このオプションを選択すると、 送 信 者 ボックスが開きます。完全で有効なメールアドレスを

入力するか(例:[email protected])、またはアスタリスクをワイルドカードとして使用して

特定ドメインのすべてのメールアドレスを指定できます(例:*@example.com)。

送信者アドレスは容易に偽造できるため、送 信 者 オプションを使用する際は注意が

必要です。

または これらの受 信 者 アドレス:定義されたセキュリティチェックをスキップする受信者のE

メールアドレスを選択します。

336 UTM 9 WebAdmin

10 Eメールプロテクション 10.1 SMTP

このオプションを選択すると、 受 信 者 ボックスが開きます。完全で有効なメールアドレスを

入力するか(例:[email protected])、またはアスタリスクをワイルドカードとして使用して

特定ドメインのすべてのメールアドレスを指定できます(例:*@example.com)。

コメント(オプション):説明などの情報を追加します。

3.

保 存 をクリックします。

新しい除外ルールが 除 外 リストに表示されます。

除外ルールを編集または削除するには、対応するボタンをクリックします。

10.1.7 リレー

SMTPプロキシはメールリレーとして使用できます。メールリレーは、特定のユーザ、ユーザグルー

プ、あるいはホストがそれを介してローカル以外のドメインにメールをリレー(送信)できるように設

定されたSMTPサーバです。

このタブの機能の一部は、ベーシックガードサブスクリプションでは使用できません。

アップストリームホストリスト

アップストリームのホストは、メールをお客様のISPあるいは外部MXに転送するホストです。スタ

ティックなアップストリームのホストからメールを受信する場合は、ここにホストを入力する必要があ

ります。ホストを入力しないと、スパム保護が正常に機能しなくなります。

アップストリームホストを追加するには、「+」アイコンまたはフォルダアイコンをクリックして、 ネット

ワークオブジェクトリストからドラッグ&ドロップします。定義を追加する方法は、定 義 とユーザ >

ネットワーク定 義 > ネットワーク定 義 ページで説明しています。アップストリームホストのみを許可

する場合は、 アップストリーム/リレーホストのみ許 可 チェックボックスにチェックを入れます。これに

より、SMTPアクセスは、定義されたアップストリームホストに制限されます。アップストリームホスト

は、リレー特権の取得を認証できます。設定を保存するには 適 用 をクリックします。

認 証 リレー

SMTPクライアントは、リレー特権の取得を認証できます。 認 証 によるリレーの許 可 チェックボック

スにチェックを入れて、この機能を使用できるようにするユーザおよびユーザグループを指定しま

す。ユーザを追加する方法は、 定 義 とユーザ > ユーザとグループ> ユーザページで説明していま

す。設定を保存するには

適 用 をクリックします。

UTM 9 WebAdmin 337

10.1 SMTP 10 Eメールプロテクション

アップストリーム/リレーホストのみ許 可 チェックボックスにチェックが入っている場合、認 証 リ

レーは送信ホストがアップストリーム/リレーホストとして設定されている場合にのみ機能します。

ホストベースリレー

メールリレーも、ホストベースに対応できます。お使いのローカルメールサーバあるいはメールクラ

イアントがSMTPプロキシをメールリレーとして使用する必要がある場合は、リレーを介してメールを

送信できるようにするネットワークやホストを

許 可 ホスト/ネットワークボックスに追加する必要があ

ります。リストされたネットワークやホストは、どのアドレスにもメッセージを送信できます。定義を

追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明しています。

警 告 許 可 ホスト/ネットワークボックスでは、絶対にすべてを選択しないでください。これを選択

すると、オープンリレーになり、インターネット上の誰もがSMTPプロキシ経由でメッセージを送信

できるようになります。スパム送信者はこれをすぐに見つけ、大量のメールトラフィックを送信しま

す。最悪の場合は、お客様がサードパーティのスパマーブラックリストに載ることになってしまい

ます。ほとんどの設定では、お客様のネットワークのメールサーバだけを、メールのリレーを許可

される唯一のホストとすべきです。

設定を保存するには 適 用 をクリックします。

ホスト

/ネットワークのブラックリスト

ここで、SMTPプロキシでブロックするホストおよびネットワークを定義できます。設定を保存するに

適 用 をクリックします。

リレー

(送 信 )メッセージ

このオプションを有効にすると、認証されたリレーあるいはホストベースのリレーで送信されるメッ

セージについて、悪意あるコンテンツの有無がスキャンされます。送信メールが大量にある場合、

このオプションをオフにすると、パフォーマンスが向上します。設定を保存するには 適 用 をクリック

します。

送信メッセージには、グローバルなウイルス対策およびアンチスパム設定も適用されます。ただ

し、これらの設定を問わず、感染メッセージやスパムメッセージはブラックホール化ではなく常に隔

離されます。これにより、意図しないメールの紛失が回避されます。

338 UTM 9 WebAdmin

10 Eメールプロテクション 10.1 SMTP

10.1.8 詳 細

SMTP > 詳 細 タブでは、スマートホストの設定や透過モードスキップリストなどのSMTPプロキシの

追加セキュリティオプションを設定できます。

ヘッダ変 更

UTMを通過するEメールのSMTPヘッダコンテンツは、 ヘッダ変 更 で変更および/または削除できま

す。

ヘッダを追加/削除するには:

1. 「+」アイコンをクリックします。

ヘッダ変 更 ルールの追 加 ダイアログが開きます。

2. 要 求 のオペレーション選 択 します。

3. 変 更 /削 除 するヘッダ名 を入 力 します。

1~255のASCII文字を使用できます。

4. ヘッダを追 加 する場 合 、新 しいヘッダが持 つべき値 を入 力 します。

0~255文字を使用できます。

5. 必 要 に応 じてコメントを追 加 します。

6.

保 存 をクリックします。

7.

適 用 をクリックします。

設定が保存されます。

ヘッダルールを編集または削除するには、当該ルールの横のアイコンをクリックします。

透 過 モード

SMTPの透過モードを有効にするには、チェックボックスにチェックを入れ、 適 用 をクリックします。

透 過 モード時 にスキップするホスト/ネットボックスにリストされているホストとネットワークは、SMTP

トラフィックの透過的インターセプションの対象とはなりません。ただし、これらのホストおよびネット

ワークでSMTPトラフィックを許可するには、 リスト内 のホスト/ネットワークのSMTPトラフィックを許

可 チェックボックスにチェックを入れます。このチェックボックスにチェックを入れない場合は、ここ

でリストされているホストとネットワークに特定のファイアウォールルールを定義する必要がありま

す。設定を保存するには

適 用 をクリックします。

UTM 9 WebAdmin 339

10.1 SMTP 10 Eメールプロテクション

TLS設 定

TLS証 明 書 :ドロップダウンリストから証明書を選択します。この証明書は、TLS証明書は、サイト

VPN > 証 明 書 管 理 > 証 明 書 タブで作成またはアップロードできます。暗号化についてそれを

サポートしているすべてのリモートホストとネゴシエートするために使用されます。

TLSネゴシエーション必 須 のホスト/ネット:ここに、メール通信のTLS暗号化が常に必要なホストま

たはネットを追加または選択します。これにより、UTMは、これらのホスト/ネットで何らかの理由で

TLS暗号化を使用できない場合に、メールを抑制します。つまり、TLSが使用可能になるまで、メッ

セージはメールキューに保留されます。一定の期間にわたってTLSを使用できない場合は、送信

の試行が停止され、メールを送信できなかったという通知がユーザに送信されます。

TLSネゴシエーション必 須 の送 信 ドメイン:特定のドメインに対して受信メールのTLS暗号化を強

制するには、ここにドメインを入力します。これらのドメインからTLSなしで送信されたメールは、即

時に拒否されます。

TLSネゴシエーションをスキップするホスト/ネット:特定のホストやネットワークでTLS暗号化に関す

る問題が発生した場合は、それをボックスに入力し、適切なTLS証明書をドロップダウンメニュー

から選択します。それによって、UTMは、このホストまたはネットワークに対するTLSネゴシエーショ

ンをスキップします。設定を保存するには 適 用 をクリックします。

DomainKeys Identified Mail (DKIM)

DKIMは発信メッセージに暗号によって署名する方法です。DKIM署名を使用するには、RSA鍵と対

応する鍵セレクタを各フィールドに入力し、メールに署名するドメインをDKIMドメインボックスに追

加します。設定を保存するには 適 用 をクリックします。

機 密 性 表 明 フッタ

各送信メールについて、メールに機密情報や部外秘の情報が含まれていることなどをユーザーに

知らせる、機密フッタを追加してカスタマイズできます。さらに、機密フッタは、メールが返信の場

In-Reply-Toヘッダを持つもの)またはメールのコンテンツタイプを判定できない場合は、メール

に追加されません。

メールクライアント (例: Microsoft Outlook または Mozilla Thunderbird) が署名済みまたは暗

号化済みのメッセージにフッタを追加すると、署名が破壊されて無効になります。デジタル署名

をクライアント側で作成する場合は、ウイルス対策チェックフッタオプションを無効にしてくださ

い。ただし、メール通信のプライバシーや認証を保ちながら、一般的なウイルス対策チェックフッ

タを使用する場合は、Sophos UTM の組み込み メール暗号化

機能の使用を考慮してください。

340 UTM 9 WebAdmin

10 Eメールプロテクション 10.1 SMTP

メール暗号化では、デジタル署名を作成する前にフッタがメッセージに付加されるため、署名が

損なわれることはありません。

詳 細 設 定

ここで、SMTPホスト名やポストマスタアドレスなどを設定できます。

SMTPホスト名 :SMTPホスト名を設定すると、プロキシは、HELOおよびSMTPバナーメッセージで

指定された名前を使用します。デフォルトでは、通常システムのホスト名が選択されています。

Postmasterアドレス:送信されたメッセージの転送先となるUTMのポストマスタのメールアドレス

[email protected][192.168.16.8]の形で指定します。この場合、IPリテラルアドレスが、UTMの

IPアドレスの1つになります。そのようなメッセージを受け入れることがRFC要件となっています。

BATVシークレット:ここで、SMTPプロキシが使用する、自動的に生成されたBATVシークレットを

変更できます。BATVシークレットはメールのエンベロープのMailFromアドレスへの署名に使用さ

れる共有鍵で、無効なバウンスアドレスの検出を可能にします。複数のMXをドメインに使用してい

る場合は、BATVシークレットをすべてのシステムで同じものに変更できます。

最 大 メッセージサイズ: プロキシが受け付ける最大メッセージサイズ。この設定は送受信両方の

メールに適用されます。バックエンドサーバにメッセージサイズの制限がある場合は、ここではそ

の制限値以下に設定する必要があります。

最 大 コネクション数 : プロキシが許可する最大同時接続数。デフォルトは20です。

最 大 コネクション数 /ホスト:プロキシが許可する1ホスト当たりの最大コネクション数。デフォルトは

10です。

最 大 メール数 /コネクション:プロキシが許可するコネクションあたりの最大メール数。バッファサイ

ズはバッファに保持されるログの行数です。

最 大 受 信 者 /メール:プロキシが許可するメールあたりの最大受信者数。デフォルトは100です。

フッタモード: ここでメールへのフッタの追加方法を定義できます。MIMEパートを指定すると、追加

のMIMEパートとしてフッタを追加します。既存のパートエンコーディングは変更されないので、元の

文字コードが保持されます。別の方式である インラインでは、フッタがメール本体から区切り記号-

-で分離されます。このモードでは、フッタでUnicode(UTF-8)変換を使用するかどうかを選択できま

す。Unicode変換を行うと、フッタで元の文字コードを保持するようにメッセージがアップグレードされ

ます。

UTM 9 WebAdmin 341

10.2 SMTPプロファイル 10 Eメールプロテクション

スマートホスト設 定

スマートホストはメールリレーサーバの一種で、SMTPサーバが受信者のサーバに直接メールを

ルーティングするのではなく、アップストリームのメールサーバにルーティングできるようにします。

多くの場合このスマートホストは、送信者がスマートホストを通してメールを送信する権限を持つこ

とを確認するために、送信者の認証を必要とします。

スマートホストを使 用 :メールの送信にスマートホストを使用する場合は、このチェックボックスに

チェックを入れます。このオプションを選択すると、プロキシ自体がメールを配信することはなくな

り、すべてをスマートホストに送信するようになります。 l

スマートホスト:スマートホストオブジェクトを選択または追加します。定義を追加する方法

は、 定 義 とユーザ > ネットワーク定 義 > ネットワーク定 義 ページで説明しています。 l

スマートホストポート:スマートホスト接続のデフォルトポートは25です。必要に応じて、ポー

トを変更できます。 l

スマートホスト認 証 が必 要 :スマートホストが認証を必要とする場合は、チェックボックスに

チェックを入れます。 プレーンとログイン認証タイプの両方がサポートされています。それぞ

れのフィールドにユーザ名とパスワードを入力します。

10.2 SMTPプロファイル

Sophos UTMのSMTPプロキシで、別のSMTPプロファイルを作成し、それを異なるドメインに関連付

けることができます。このようにして、Eメールプロテクション>

SMTP

で設定されたデフォルトのプロ

ファイル以外のプロファイルを使用する特定のドメインを指定できます。機能の順序はタブによっ

て構造化され、SMTPトランザクション時に各ステップが互いにどのように処理されるかを決定しま

す。

SMTPプロファイルを作成するには、以下の手順に従います。

1. SMTPプロファイルモードを有効にします。

Eメールプロテクション> SMTP > グローバルタブで、プロファイルモードを選択して適 用 をク

リックします。

Eメールプロテクション> SMTPプロファイルメニューのSMTPプロファイル作成が有効になりま

す。

2. SMTP プロファイルタブで、新 規 プロファイルをクリックします。

ダイアログボックスが開きます。

3. プロファイルを説 明 する名 前 を入 力 してください。

342 UTM 9 WebAdmin

10 Eメールプロテクション 10.2 SMTPプロファイル

4. 1つ以上のドメインを追加します。

1つ以上のドメインを ドメインボックスに追加します。

このプロファイルの設定が、それらのドメインに適用されます。

5. 次の設定を行います。

使用する機能にのみ設定します。以下の各機能に対して、ここで定義する個々の設定を使

用するか、またはEメールプロテクション>

SMTP

で定義するグローバル設定を使用するかを

決定できます。デフォルトでは、グローバル設定オプションが選択されています。各機能の

個々の設定について以下に説明します。

ここで設定されたドメイン名が送信者アドレスに含まれる暗号化されたメールは、

Sophos UTMのメール暗号化/復号化エンジンを使用しても復号化できません。したがっ

て、外部メールドメインのプロファイルは含めないようにしてください。

ここで定義できるすべての設定は、Eメールプロテクション> SMTPでもグローバルに設定で

きます。したがって、ここでは、設定の一覧とグローバル設定との相違点のみを、対応する

グローバル設定へのクロスリファレンスとともに示します。設定の詳細は、グローバル設定

でご覧ください。

以下の設定を行うことができます。 l

ルーティング:

ルーティングタブで、SMTPプロキシのドメインとルーティングターゲットを

設定し、受信者の検証方法を定義します。 l

スタティックホストリスト l

DNSホスト名 l

MXレコード

詳細は、Eメールプロテクション> SMTP >

ルーティング

を参照してください。 l

受 信 者 検 証

受 信 者 検 証 :ここでメール受信者を確認するかどうかと確認方法を指定できます。 l

コールアウト使 用 :受信者検証の要求がサーバに送信されます。 l

Active Directory:受信者検証の要求がActive Directoryサーバに送信され

ます。Active Directoryを使用するには、 定 義 とユーザ > 認 証 サービス>

サーバ

で指定されたActive Directoryサーバを備えていることが必要です。ベースDN

代 替 ベースDNフィールドに入力します。

UTM 9 WebAdmin 343

10.2 SMTPプロファイル 10 Eメールプロテクション

Active Directory 受信者検証を使用すると、サーバーが応答しない場

合にメッセージがバウンスされる場合があります。 l

オフ:受信者確認は完全にオフにできますが、推奨されません。なぜなら、オ

フにすると、スパムトラフィックが増大して、辞書攻撃の危険性が高まるから

です。この結果、隔離場所が迷惑メールで溢れてしまうことになります。

詳細は、Eメールプロテクション> SMTP >

ルーティング

を参照してください。 l

Sophos UTM RBLs:ここでスパムにリンクしたIPアドレスをブロックできます。 l

推奨RBLを使用

詳細は、Eメールプロテクション> SMTP >

スパム対 策 を参照してください。

l

追 加 RBL:さらなるRBLサイトを追加して、Sophos UTMのスパム対策機能を強化で

きます。詳細は、Eメールプロテクション> SMTP >

スパム対 策

を参照してください。3

番目のオプションとして、ここで個別の設定にグローバル設定を追加できます。 l

BATV/RDNS/HELO/SPF/グレーリスト化 :このタブでは、Sophos UTMのアンチスパ

ム機能を強化するために、次のような他のさまざまな高度なオプションを使用できま

す。 l

無効なHELO/RDNS不可のリジェクト l

グレイリスティングを使用 l

BATVを使用 l

SPFチェックの実施

詳細は、Eメールプロテクション> SMTP >

スパム対 策 を参照してください。

l

ウイルス対 策 スキャン: 悪意あるコンテンツを含むメッセージの処理方法を設定でき

ます。次の作業を実行できます。 l

オフ l

隔離 l

ブラックホール

以下のアンチウイルススキャンオプションから選択できます。 l

シングルスキャン: デフォルト設定。

システム設 定 >

スキャン設 定

タブに定義さ

れたエンジンを使用して最高レベルのパフォーマンスを実現します。

344 UTM 9 WebAdmin

10 Eメールプロテクション 10.2 SMTPプロファイル l

デュアルスキャン:各トラフィックに対し、異なるウイルススキャナを使用してス

キャンを2回行うことにより、検知率を最大限に高めます。デュアルスキャン

は、ベーシックガードサブスクリプションでは使用できません。

スキャンできないコンテンツ、暗 号 化 されたコンテンツの隔 離 :このオプションを選択し

て、コンテンツをスキャンできなかったメールを隔離します。スキャンできないコンテン

ツは、暗号化されたもの、破損したアーカイブ、またはサイズが大きすぎるコンテンツ

の他、スキャナの不具合などの技術的な問題による場合があります。

詳細は、Eメールプロテクション> SMTP >

ウイルス対 策 を参照してください。

l

スパム対 策 スキャン:ここで迷 惑 な宣 伝 メールの取り扱いを決めます。スパムおよび

スパムと確認されたメールに対して以下の対策を選択できます。 l

オフ l

警告 l

隔離 l

ブラックホール

詳細は、Eメールプロテクション> SMTP >

スパム対 策

を参照してください。 l

送 信 者 ブラックリスト:受信SMTPセッションのエンベロープ送信者は、このブラックリ

スト内のアドレスと照合されます。エンベロープ送信者がブラックリストに含まれてい

る場合、メッセージはブラックホール化されます。詳細は、Eメールプロテクション>

SMTP >

スパム対 策

を参照してください。3番目のオプションとして、ここで個別の設

定にグローバル設定を追加できます。 l

MIME音 声 /動 画 /実 行 可 能 ファイルのブロック: MIMEタイプのフィルタはMIMEタイプ

のEメールコンテンツを読みます。どのタイプのコンテンツを隔離するかを選択できま

す。 l

オーディオコンテンツ l

ビデオコンテンツ l

実行形式コンテンツ

詳細は、Eメールプロテクション> SMTP >

ウイルス対 策 を参照してください。

l

MIMEタイプブラックリスト:ここで、その他のMIMEタイプを隔離場所(検疫)に追加で

きます。詳細は、Eメールプロテクション> SMTP >

ウイルス対 策

を参照してください。3

番目のオプションとして、ここで個別の設定にグローバル設定を追加できます。

UTM 9 WebAdmin 345

10.2 SMTPプロファイル 10 Eメールプロテクション l

MIMEタイプホワイトリスト:ここで隔離しないMIMEタイプを追加できます。詳細は、E

メールプロテクション> SMTP >

ウイルス対 策 を参照してください。3番目のオプションと

して、ここで個別の設定にグローバル設定を追加できます。 l

ブロック対 象 ファイル拡 張 子 : ファイル拡 張 子 フィルタを使用して、ファイル拡張子に

基づいて、特定のファイルタイプ(例:実行可能ファイル)を含むメールを(警告付き

で)隔離できます。詳細は、Eメールプロテクション> SMTP >

ウイルス対 策

を参照して

ください。3番目のオプションとして、ここで個別の設定にグローバル設定を追加でき

ます。 l

ブロック対 象 表 現 : 表現フィルタは、SMTPプロキシを通過するメッセージに特定の

表現が含まれていないか、コンテンツをスキャンし、 疑わしいメールはブロックされま

す。疑わしいメールはブロックされます。詳細は、Eメールプロテクション> SMTP >

パム対 策 を参照してください。3番目のオプションとして、ここで個別の設定にグロー

バル設定を追加できます。 l

機 密 性 表 明 フッタ:各送信メールについて、メールに機密情報や部外秘の情報が

含まれていることなどをユーザーに知らせる、機密フッタを追加してカスタマイズでき

ます。さらに、機密フッタは、メールが返信の場合 In-Reply-Toヘッダを持つもの)ま

たはメールのコンテンツタイプを判定できない場合は、メールに追加されません。送

信者ドメインに応じて、フッタが追加されます。フッタを使用するには、チェックボック

スにチェックを入れ、フッタのテキストを入力します。 l

SPX テンプレートの選 択 :SPX テンプレートはSPX の暗号化に使用されます。暗号

化されたメールを受信者に送信する方法を定義します。詳細は、Eメールプロテクショ

> SPX暗 号 化 >

SPXテンプレート

を参照してください。 l

データ保 護 設 定 : ここでスキャンリストへの添付の追加、通知の設定、および

SophosLabs コンテンツコントロールリストから項目を選択することができます。

詳細は、SMTP >

データ保 護 を参照してください。

6.

適 用 をクリックします。

設定が保存されます。新しいプロファイルがSMTPプロファイルリストに表示されます。

トピックにグローバル設 定 の使 用 を選択して適 用 をクリックすると、機能のアイコンがグ

ローバル設定のアイコンに変わります。これにより、どの機能に対してグローバル設定または

個々の設定が適用されているかが簡単にわかります。

プロファイルの無効化、名前変更、または削除を行う場合は、プロファイルドロップダウンリスト下

にある上段の該当するボタンをクリックします。

346 UTM 9 WebAdmin

10 Eメールプロテクション 10.3 POP3

10.3 POP3

Eメールプロテクション> POP3メニューでは、受信メールのPOP3プロキシを設定できます。Post

Office Protocol 3 (POP3) はアプリケーション層インターネット標準プロトコルで、リモートメールサー

バーからのメールの取り出しを可能にします。POP3 プロキシは透過的に機能します。つまりポー

ト 110 または 995 (TLS による暗号化) で内部ネットワークから受信するすべての POP3 要求は、

クライアントには認識されずにプロキシを通して傍受され、リダイレクトされます。このモードのメ

リットは、その他の管理やクライアント側の設定が必要ないということです。

場合によっては、メールクライアントの設定でサーバータイムアウト設定を長くすることが必

要です。通常のデフォルトである約 1分以内の設定では、特に大きなメールをフェッチするときに

は短すぎます。

POP3 プロトコルには、どのメールがすでに取り出されたかをサーバー側で追跡する機能はありま

せん。一般的には、メールクライアントがメールを取り出した後、サーバー上でそれを削除します。

ただし、クライアントがメールを削除しないように設定されている場合、サーバー側の削除は行わ

れず、どのメールがすでにフェッチされたかをクライアントが追跡します。

10.3.1 グローバル

Eメールプロテクション> POP3 > グローバルタブでは、POP3 プロキシの基本設定を構成できます。

POP3プロキシを設定するには、以下の手順に従います。

1. POP3プロキシを有効にします。

トグルスイッチをクリックします。

トグルスイッチがアンバー色になり、POP3設 定 エリアが編集可能になります。

2. 許可するネットワークを選択します。

プロキシPOP3トラフィックに許可するネットワークを追加または選択します。通常は、これは

内部ネットワークです。定義を追加する方法は、 定 義 とユーザ > ネットワーク定 義 > ネット

ワーク定 義 ページで説明しています。

警 告 セキュリティリスクを招き、インターネットの悪用に道を開くので、決してネットワー

クオブジェクトで

すべてを選択しないでください。

UTM 9 WebAdmin 347

10.3 POP3 10 Eメールプロテクション

3.

適 用 をクリックします。

設定が保存されます。

トグルスイッチが緑色に変わります。

設 定 をキャンセルするには、アンバー色 のトグルスイッチをクリックします。

ライブログ

POP3ライブログは、POP3プロキシのアクティビティをログし、すべての受信メールを表示します。ボ

タンをクリックして、新しいウィンドウでライブログを開きます。

10.3.2 ウイルス対 策

ウイルス対 策 タブには、ウイルス、ワーム、その他のマル