サイトアイコン サイド7 実験室 (Side 7 Laboratory)

WatchGuard Firebox 簡単ポリシー設定

WatchGuard Fireboxは、統合脅威管理(UTMUnified Threat Management)の中でも設定が非常に簡単です。
通信を許可するポリシーと、拒否する不許可ポリシーを設定するだけです。
購入直後の初期設定でもある程度のセキュリティは保てますが、有能なUTM製品を購入したからにはぜひ活用して行きましょう。
この簡単ポリシー設定に記載する基礎が分かれば、もっと高度な設定にもチャレンジ出来ます。

■前提条件
WSM(WatchGuard System Manager)をインストールしていること
 Firebox管理用のパソコンに、WSMがインストールして下さい。
 インストール手順はこちら「01-中古のWatchGuard Fireboxを使う (WSM編)
・Fireboxの初期設定が終わっていること
 IPアドレスの設定など初期設定が実施して下さい。
 初期設定手順はこちら
 「02-中古のWatchGuard Fireboxを使う (初期化編)」、
 「03-中古のWatchGuard Fireboxを使う (初期設定編)」、
 「04-中古のWatchGuard Fireboxを使う (Activation編)
・インターネット接続設定が終わっていること
 利用環境によっては、Fireboxを直接インターネットに繋いで利用する場合もあると思います。
 その場合は、光インターネット用の設定ですが「05-中古のWatchGuard Fireboxを使う (PPPoE接続編)」を見て、Fireboxをインターネットに接続して下さい。

簡単ポリシー設定を開始します

■メニュー
1)Policy Managerの起動
2)ポリシーの削除
3)ポリシーの無効化
4)ポリシーの有効化
5)ポリシーの追加
6)ポリシーの適用順序変更
7)ポリシーの保存

1)Policy Managerの起動

Fireboxにポリシーの設定をするための専用ソフトウェアを起動します。

1.WSMを起動し、「デバイスに接続」をクリックします。

2.「IP Address or Name」、「User Name」、「Passphrase」を入力し、【Login】をクリックします。

IP Address or Name: FireboxのIPアドレス、またはFireboxの名前を入力する
User Name:     セットアップ時に設定したユーザー名 (当サイトの設定例:status)
Passphrase:     上記ユーザーのパスワード (当サイトの設定例:readonly)

3.「Policy Manager」をクリックして起動します。

4.「Policy Manager」が起動します。

2)ポリシーの削除

作成済みのポリシーを削除します。 ポリシーは削除すると復旧は出来ないため、必要になったら再作成して下さい。 または「<font id=”PDisable”>無効化<font>」しておくことをオススメいたします。

1.「FTP-Proxy」ポリシーを右クリックし、コンテキストメニューの「削除」を選択します。
 =>初期設定では使わない、またはライセンスが無いために使えない機能があるのですべて削除します。

2.確認ダイアログの【はい】をクリックします。

3.以下のポリシーも同様に削除します。

削除ポリシーの一覧
ポリシー名 説明
FTP-Proxy Application ControlやGateway AntiVirusのライセンスが無いため、機能しないので削除。
HTTP-Proxy 同上
HTTPS-Proxy 同上

3)ポリシーの無効化

ポリシーの無効化は、一時的にポリシーを適用したくない場合に利用する手順です。

1.「Outgoing」ポリシーを右クリックし、コンテキストメニューの「ポリシーを無効にする」を選択します。

 =>この「Outgoing」ポリシーは、「Any-Trusted」、「Any-Optional」から「Any-External」へすべての「TCP」、「UDP」通信を許可しています。
要約すると、「内側からインターネットへの通信はすべて通す」ポリシーになりますので、セキュリティ的に良くありません。
まずは「無効」に設定しますので、オリジナルのポリシー作成にチャレンジして下さい。
難しいと感じたり、無効にしたらインターネットに出れなくなったりして対処出来なくなったら、このポリシーを「有効」にして下さい。

2.無効化したポリシーは、「アクション」に以下のマークが表示します。

4)ポリシーの有効化

ポリシーの有効化は、一時的に無効にしたポリシーを有効化する手順です。

1.「Outgoing」ポリシーを右クリックし、コンテキストメニューの「ポリシーを有効にする」を選択します。

2.有効化したポリシーは、「アクション」に以下のマークが表示します。

5)ポリシーの追加

ポリシーの追加は、Fireboxを使うために一番大切な手順です。 ここでは基本設定だけ記載します。
別の記事としてもう少し詳しい手順をご紹介します。

1.「Policy Manager」の「+」(Add Policy)マークをクリックします。

2.「パケットフィルター」の「+」マークをクリックしてパケットフィルターの一覧を表示します。

 =>緑の枠で囲った部分は、機能キー(有料のサブスクリプションライセンス)を購入した時にだけ利用できる機能です。 よって、当サイトでは設定致しません。

3.パケットフィルターの一覧から、「HTTP」を選択し、【ポリシーを追加する】をクリックします。

4.「名前」に区別し易い名前を入力します(このままでも良い)。 「送信元」に表示している「Any-Trusted」を選択し、【削除】をクリックします。

=>ポリシーを作成する時に誤って意図しない許可/拒否を与えないように「送信元」、「送信先」に表示している通信経路はすべて削除することを心がけて下さい。
その後、必要に応じて通信経路に許可/拒否の設定を追加して下さい。

5.「送信先」に表示している「Any-External」を選択し、【削除】をクリックします。

6.「送信元」の【追加】をクリックします。

7.追加したい通信経路を選択し、【追加】をクリックします。
 =>その他の通信経路については別の記事でご紹介します。

例:ブリッジネットワーク名を追加する
「Home Network」は、「03-中古のWatchGuard Fireboxを使う (初期設定編)」で作成した、内部ブリッジネットワーク名です。
この名前はブリッジネットワーク作成時に好きな名前で登録します。
ブリッジネットワークとは、Fireboxの複数ポートを束ねて1つのネットワークを作成する機能です。
(家電量販店で販売している複数のLANケーブルを接続するスイッチと言われる製品と同じ機能となる)
この「Home Network」を指定すると、Fireboxのポート1〜4に接続しているネットワークから流れる通信すべてを意味します。

8.追加した「Home Network」が、「選択されたメンバーとアドレス」に表示していることを確認し、【OK】をクリックします。

9.「送信先」の【追加】をクリックします。

10.追加したい通信経路を選択し、【追加】をクリックします。
 =>その他の通信経路については別の記事でご紹介します。

例:外部ネットワーク名を追加する
「External」は、「03-中古のWatchGuard Fireboxを使う (初期設定編)」で作成した、外部ネットワーク名です。
この名前は外部ネットワーク作成時に好きな名前で登録します。
外部ネットワークとは、Fireboxからインターネットに出ていくフレッツ光回線等を意味します。
(Fireboxを中心にして、守る側を内部ネットワーク、それ以外は外部ネットワーク)
この「External」を指定すると、Fireboxのポート0に接続しているインターネットに出ていくネットワークを意味します。

11.追加した「External」が、「選択されたメンバーとアドレス」に表示していることを確認し、【OK】をクリックします。

12.「送信元」、「送信先」に以下の名前が登録されていることを確認し、【OK】をクリックします。

送信先: 「Home Network」
送信元: 「External」

13.追加したポリシーが以下の通り追加されていることを確認します。

14.以下のポリシーも「送信先」、「送信元」を同じ設定で同様に追加します。

追加ポリシーの一覧
ポリシー名 説明
HTTP 暗号化なしのWebページを開くために必要
HTTPS AmazonなどのWebショップや、銀行、証券など個人情報を扱うWebページを開くために必要
FTP これは必要に応じて追加。フリーソフトウェア等のファイルをダウンロードするために必要

 =>追加が完了すると以下のように表示します。

6)ポリシーの適用順序変更

ポリシーの順序変更は、Fireboxが処理できる転送量(スループット)に大きな影響を与えます。
ポリシーが少ない時はあまり気にする必要はありませんが、100くらいのポリシー数になると無視出来なくなってきます。
ここでは細かい説明は省きますが「Fireboxは順序に書かれた数字の順番に処理する」と覚えて下さい。
インターネットをよく使う場合は、HTTPや、HTTPSを使うことが多いため「順序」の数字は「1」や「2」など小さい数字に割り当てたほうが無駄な処理はなくなります。
逆にHTTPや、HTTPSの「順番」を「100」にするとよく使うポリシーよりも前に無駄な99個のポリシーを毎回処理することになり、受け取った通信を通過/破棄するまでに時間が掛かり、転送量(スループット)が悪くなります。

一般的なインターネットをメインとしたポリシーの並び替えをご紹介します。

1.「表示」を選択し、「Auto-Order モード」のチェックを外します。

2.【はい】をクリックします。

3.「WatchGuard Web UI」を選択し、「Outgoing」ポリシーの上に移動するまで画面右上の「▼」をクリックします。
 =>使用頻度の低い「WatchGuard Web UI」を「Outgoing」ポリシーの上に移動します。
上に移動させたい時は、「▲」をクリックします。

4.「WatchGuard Web UI」を選択し、「Outgoing」ポリシーの上に移動することで、「WatchGuard Web UI」ポリシーは、一番最後に処理するポリシーとなりました。

7)ポリシーの保存

変更したポリシーをFireboxに保存します。
この保存手順を実施しないとFireboxに設定は保存されません。
何か設定を変更した場合は必ず保存して下さい。

1.「Firebox に保存する」をクリックします。

2.「管理者のユーザー名」と「管理者のパスフレーズ」を入力し、【OK】をクリックします。

3.【保存】をクリックします。

4.【はい】をクリックします。

5.【OK】をクリックします。

——— お疲れ様でした。これで「簡単ポリシー設定」は終了です。 ———
Fireboxに対する基本的な操作ですので覚えてください。

モバイルバージョンを終了