Date: 2016.08.09
Home / UTM Firewall. / おうちでUTM F/W - Sophos XG Firewallファイアウォールルール設定編
またまた放置してたSophos XG Firewall。
一通り設定できちゃうと触る事も減るのでいけませんね。

ようやくセキュリティポリシー作成編です。


ポリシー設定

1.左メニューから ポリシー(チェックマークアイコン) を選択します。
2.ポリシーリストが表示されるので右上の「ファイアウォールルールの追加」を選択します。
Sophos XG Firewall Home Edition ポリシー

3.ルールの種類を選択します。基本的には「ユーザー/ネットワークのルール」でOK。
  「業務アプリケーションのルール」はサーバ向けで予め定義されたアプリケーションを選んで設定できるよう。
Sophos XG Firewall Home Edition ファイアウォールルールの追加

4.「このルールについて」欄を設定。
パラメータ名説明
ルールの位置ポリシーの挿入位置の指定。Bottomは最下位、Topは最上位に挿入。
ポリシー評価は上から順に評価されるます。位置の変更は後述。
ルール名任意のルール名。
説明ルールについて等、必要に応じてコメントを入力。

5.「ID」欄を設定。
パラメータ名説明
ユーザー ID に基づきルールを照合ユーザでのポリシー評価のON/OFF。うちでは使ってません。
ユーザーやグループONの場合、対象ユーザもしくはユーザグループを選択します。
データ利用通信量の計算からこのユーザーアクティビティを除外ユーザ単位で通信量の計算をしたい場合にONにするようです。

Sophos XG Firewall Home Edition セキュリティポリシー追加01

6.「送信元」欄を設定。
パラメータ名説明
ゾーンSourceゾーンを選択します。
ネットワークアドレスやアドレスグループオブジェクトからSourceアドレスを選択します。
サービス規定/独自のサービスやサービスグループから対象のものを選択します。
スケジュール一定期間等、限定的にポリシーを有効にする場合に使用します。常時の場合はデフォルトの「All The Time」

7.「宛先」欄を設定。
パラメータ名説明
ゾーンDestinationゾーンを選択します。
ネットワークアドレスやアドレスグループオブジェクトからDestinationアドレスを選択します。

Sophos XG Firewall Home Edition セキュリティポリシー追加02

8.「処理」欄を設定。
パラメータ名説明
処理ポリシーに合致した際のアクションを指定します。

9.「ルーティング」欄を設定。処理が「破棄する」or「拒否する」の場合は項目は非表示。
パラメータ名説明
送信元アドレスの書き換え (仮)NATの有効/無効を選択します。
送信用アドレスの使用前項がONの場合にNATポリシーを選択します。デフォルトの「MASQ」はインターフェースNATになります。
新規ポリシーはこの画面か、オブジェクト > ポリシー > ネットワークアドレス変換 から作成します。
プライマリゲートウェイ
バックアップゲートウェイ
複数インターネット回線を用意してマルチホーミングが使える場合に正/副の指定をします。
DSCP マーキングQoSを使う場合に「Differentiated Services Code Point(DSCP)」を指定します。

10.「マルウェアのスキャン」欄を設定。処理が「破棄する」or「拒否する」の場合は項目は非表示。
パラメータ名説明
FTP のスキャンFTPアクセス時のマルウェアスキャン有効/無効を選択します。
HTTP のスキャンHTTPアクセス時のマルウェアスキャン有効/無効を選択します。
HTTPS の暗号化解除/スキャンHTTPSアクセス時にファイアウォールで復号化してのマルウェアスキャン有効/無効を選択します。

Sophos XG Firewall Home Edition セキュリティポリシー追加03

11.「ユーザーアプリケーションのポリシー」欄を設定。処理が「破棄する」or「拒否する」の場合は項目は非表示。
パラメータ名説明
アプリケーション コントロールアプリケーションベースでのフィルタポリシーを割り当てます。
あくまで送信元、サービス、宛先の評価が先に行われるのでポリシーの切り方には注意が必要。
新規ポリシーはこの画面か、オブジェクト > ポリシー > アプリケーション フィルタ から作成します。
アプリケーションベースでのトラフィックシェーピングを適用する場合はトラフィックシェーピングポリシーの適用にチェックする。
Web フィルタ特定カテゴリを禁止したい場合等にフィルタポリシーを割り当てます。
こちらもポリシーの切り方には注意が必要。
新規ポリシーはこの画面か、オブジェクト > ポリシー > Web フィルタ から作成します。
Webカテゴリベースでのトラフィックシェーピングを適用する場合はトラフィックシェーピングポリシーの適用にチェックする。
IPS (侵入防御システム)IPS(侵入防御システム)のポリシーを割り当てます。
デフォルトで各ゾーン間のポリシーが作られてるのでとりあえずそちらを使用すればいいかなと。
新規ポリシーはこの画面か、オブジェクト > ポリシー > IPS (侵入防御システム) から作成します。
トラフィックシェーピング ポリシートラフィックシェーピング(通信量制御)を行う場合にポリシーを割り当てます。
ユーザーID制御が有効の場合はユーザーのポリシーが自動的に適用されます。
新規ポリシーはこの画面か、オブジェクト > ポリシー > トラフィックシェーピング から作成します。

12.「トラフィックをログ」欄を設定。
パラメータ名説明
ファイアウォールトラフィックのログトラフィックログ出力の有効/無効を指定します。

13.「セキュリティハートビート」欄を設定。処理が「破棄する」or「拒否する」の場合は項目は非表示。
パラメータ名説明
セキュリティハートビートの有効化セキュリティハートビートを参照しての正常性評価の有効/無効を指定します。
セキュリティハートビートはクラウド型エンドポイント(クライアント)セキュリティ製品との連携機能。
許可する最小ハートビートセキュリティハートビートで正常と判定するステータス。
「緑」、「黄色」、「制限なし」を選択します。
正常性条件を満たさない場合は通信が許可されない。

Sophos XG Firewall Home Edition セキュリティポリシー追加04
14.全て設定できたら「保存」を選択して有効にします。

ポリシー操作

作成済のポリシーを選択すると、右側に以下のような表示が並びます。
Sophos XG Firewall Home Edition セキュリティポリシー操作

項目説明
ON/OFF選んだポリシーの有効/無効を切り替えます。
編集(ペンアイコン)選んだポリシーを編集します。
ファイアウォールルールの追加(プラスアイコン)選んだポリシーの上もしくは下にポリシーを新規作成で追加します。
移動(矢印アイコン)選んだポリシーの移動モードに切り替えます。選択後、ドラッグ&ドロップで場所を移動します。
削除(ゴミ箱アイコン)選んだポリシーを削除します。

この辺りまでできれば基本的なファイアウォールとして使用できます。
細々としたところはまだ手探り状態なのでまた追々。

【関連記事】
おうちでUTM F/W - Sophos XG Firewallダウンロード編
おうちでUTM F/W - Sophos XG Firewall仮想マシン作成編
おうちでUTM F/W - Sophos XG Firewall初期ネットワーク設定編
おうちでUTM F/W - Sophos XG Firewall初期セットアップ編
おうちでUTM F/W - Sophos XG Firewallファームウェアップデート編
おうちでUTM F/W - Sophos XG Firewallシステム基本設定編
おうちでUTM F/W - Sophos XG Firewallポリシーオブジェクト設定編
おうちでUTM F/W - Sophos XG Firewall 特定URLのスキャン除外設定編
おうちでUTM F/W - Sophos XG Firewall SFOS v16 メジャーアップデート編
おうちでUTM F/W - Sophos XG Firewall HA(冗長化)設定編
おうちでUTM F/W - Sophos XG Firewall HA構成でのファームウェアアップデート編


Secret

TrackBackURL
→https://000dandelion000.blog.fc2.com/tb.php/131-9bd3a0eb