Date: 2016.06.26
Home / UTM Firewall. / おうちでUTM F/W - Sophos XG Firewallポリシーオブジェクト設定編
仕事が多忙すぎて若干ブログを放置になっていました。

まずはファイアウォールとしてポリシーを作るのに必要なオブジェクト作成のまとめ。
ポリシー作成時にオブジェクトを新規作成する事も可能です。


IPホスト設定

まずはアドレスオブジェクト作成。
なお、だいたいのファイアウォール製品はゾーンにオブジェクトを割り当ててると思いますが、Sophos XG Firewallにはそういった概念はないので分かりやすいようにオブジェクト名にゾーン名も付けておくと分かりやすいかと思います。

1.左メニューから システム(立方体アイコン) > ホストとサービス > IPホスト と選択します。
2.IPホストリストが表示されるので右上の「追加」を選択します。
Sophos XG Firewall Home Edition IPホスト
3.IPホストの追加画面になりますので各項目を設定します。
Sophos XG Firewall Home Edition IPホストの追加
パラメータ名説明
名前任意のオブジェクト名を入力。
IP ファミリーIPv4、IPv6の選択。
種類アドレスの種類を選択。
 IP:32ビットアドレス。
 ネットワーク:サブネットマスクでのIPレンジ指定。
 IP の範囲:任意の範囲のアドレスを指定。
 IP リスト:任意の32ビットアドレスをリスト化する。後述のグループでもいい気はする。
IP アドレス(IP)32ビットアドレスを指定。
IP アドレス(ネットワーク)IPレンジ開始アドレスを入力。
サブネット(ネットワーク)サブネットマスクをプルダウンから選択。
IP アドレス(IP の範囲)開始IPアドレスと終了IPアドレスをそれぞれ指定。
IP アドレスのリスト(IP リスト)リストに含めるIPアドレスを羅列する。
IP ホストグループ後述するIPホストグループに所属させる場合に指定。ここから新規作成も可。

4.設定できたら左下の「保存」を選択します。

IPホストグループ設定

こちらも分かりやすいようにオブジェクト名にゾーン名も付けておくと分かりやすいかと思います。

1.左メニューから システム(立方体アイコン) > ホストとサービス > IPホストグループ と選択します。
2.IPホストグループリストが表示されるのでIPホストと同じように右上の「追加」を選択します。
3.IPホストグループの追加画面になりますので各項目を設定します。
Sophos XG Firewall Home Edition IPホストグループの追加
パラメータ名説明
名前任意のグループ名を入力。
説明任意でディスクリプションを入力。
IP ファミリーIPv4、IPv6の選択。
ホストの選択「新規項目の追加」から所属させるIPホストを選択。

4.設定できたら左下の「保存」を選択します。

サービス設定

デフォルトで定義されているサービスポート以外が必要な場合や独自のプロトコルセットが必要な場合に作成します。
なぜかサービスはここからグループ所属はできません。

1.左メニューから システム(立方体アイコン) > ホストとサービス > サービス と選択します。
2.サービスリストが表示されるのでIPホストと同じように右上の「追加」を選択します。
3.サービスの追加画面になりますので各項目を設定します。
Sophos XG Firewall Home Edition サービスの追加
パラメータ名説明
名前任意のサービス名を入力。
種類サービスのプロトコル種類を指定。同一プロトコル種類であれば「+」で複数指定可能。
 TCP/UDP:TCP、UDPのポートを作成する。
 IP:IANAで定義されているIPプロトコル番号での指定。
 ICMP:ICMPの詳細な種類を指定。
 ICMPv6:ICMPv6の詳細な種類を指定。
プロトコル(TCP/UDP)TCPもしくはUDPを指定。
送信元ポート(TCP/UDP)送信元ポートを入力。「x:y」で範囲指定可能。TCPの場合は基本「1:65535」
宛先ポート(TCP/UDP)宛先ポートを入力。
プロトコル番号(IP)IPプロトコル番号を指定。
ICMP の種類(ICMP)ICMP形式を指定。
ICMP コード(ICMP)対応するICMPコードを指定。
ICMPv6 の種類(ICMPv6)ICMPv6形式を指定。
ICMPv6 コード(ICMPv6)対応するICMPv6コードを指定。

4.設定できたら左下の「保存」を選択します。

サービスグループ設定

異なるプロトコルをグルーピングしておきたい時等に使用します。
同一プロトコルであればサービスオブジェクト内で1つにしておく事もできるので使い方は好みかなと。

1.左メニューから システム(立方体アイコン) > ホストとサービス > サービスグループ と選択します。
2.サービスグループリストが表示されるのでIPホストと同じように右上の「追加」を選択します。
3.サービスグループの追加画面になりますので各項目を設定します。
Sophos XG Firewall Home Edition サービスグループの追加
パラメータ名説明
名前任意のグループ名を入力。
説明任意でディスクリプションを入力。
サービスを選択してください「新規項目の追加」から所属させるサービスを選択。

4.設定できたら左下の「保存」を選択します。

基本的に使用するオブジェクトは以上です。
その他、MACアドレスベースでの「MAC ホスト」、FQDNベースでの「FQDN ホスト」、国での「国別ホスト」も作成可能です。
国別ホストってどのタイミング使うのか。危険と思われる国全体へのアクセス制限したい時ぐらい?
サポートがないので確認しようがないですが、FQDNホストは他社製品と同じ使用であれば文字列評価ではなく名前解決したDBを内部で持っててそれで評価するはずです。
その場合、負荷分散でラウンドロビンしてたり、マルチホーミングしてたりのホストに対して名前解決しておいたグローバルアドレスと変わっていた場合に、キャッシュが更新されていないと接続できないといった場合があるので使い方は気をつけた方がいいかと。
次はポリシー作成です。

【関連記事】
おうちでUTM F/W - Sophos XG Firewallダウンロード編
おうちでUTM F/W - Sophos XG Firewall仮想マシン作成編
おうちでUTM F/W - Sophos XG Firewall初期ネットワーク設定編
おうちでUTM F/W - Sophos XG Firewall初期セットアップ編
おうちでUTM F/W - Sophos XG Firewallファームウェアップデート編
おうちでUTM F/W - Sophos XG Firewallシステム基本設定編
おうちでUTM F/W - Sophos XG Firewallファイアウォールルール設定編
おうちでUTM F/W - Sophos XG Firewall 特定URLのスキャン除外設定編
おうちでUTM F/W - Sophos XG Firewall SFOS v16 メジャーアップデート編
おうちでUTM F/W - Sophos XG Firewall HA(冗長化)設定編


Secret

TrackBackURL
→https://000dandelion000.blog.fc2.com/tb.php/113-8b70a0b3