Firebox のグローバル設定を定義する

Firebox のグローバル設定では、Firebox で使用可能な機能の多くのアクションを制御する設定を指定することができます。また、複数のデバイス管理者を有効にして、同時に Firebox にログインさせることが可能です。

以下の基本パラメータを設定できます。

• ICMP エラー処理
• TCP SYN パケットと接続状態検証
• TCP 接続アイドル タイムアウト
• TCP 最大セグメント サイズの調整
• トラフィック管理と QoS
• Web UI ポート
• シリアル ポートを経由する外部コンソールの接続
• 自動再起動
• Firebox 障害レポート

Web UI ポートを変更する

既定では、Fireware Web UI はポート 8080 を使用します。

既定のポートを変更するには、以下の手順を実行します。

1. Web UI ポート テキスト ボックスで、別のポート番号を入力または選択します。
2. 新しいポートを使用して Fireware Web UI に接続し、新しいポートとの接続をテストします。

自動再起動

Firebox が指定の日時に自動的に再起動するようにスケジュールすることができます。

デバイスの自動再起動をスケジュールするには、以下の手順を実行します：

1. 再起動のスケジュール設定時間 チェック ボックスをオンにします。
2. 毎日同じ時間に再起動する場合は、横のドロップダウン リストから 毎日 を選択します。また、再起動する週の曜日を選択することができます。
3. 横のテキスト ボックスに、再起動する日の時間と分 (24 時間表記) を入力または選択します。

デバイスのフィードバック

Firebox の新しい構成ファイルを作成する際、または Firebox を Fireware OS v11.7.3 以降にアップグレードする際に、既定では、Firebox から WatchGuard にフィードバックが送信されるように構成されています。デバイス フィードバックは WatchGuard が製品および機能を改善するのに役立ちます。これには、Firebox がどのように使用されているか、および Firebox でどのような問題が発生したかに関する情報が含まれていますが、ユーザーの会社や Firebox 経由で送信された企業データに関する情報は一切含まれていません。よって、Firebox データは匿名で処理されます。WatchGuard に送信されるデバイス フィードバックはすべて暗号化されています。

この機能は、Fireware OS v11.7.3 以降を実行している Firebox でのみ有効です。

WatchGuard は、デバイスのフィードバック データからの情報を使用して、Fireware OS バージョンの地理的分布を把握します。WatchGuard が収集するデータには、Firebox で使用されている機能やサービス、妨害の原因となった脅威、およびデバイスの健全性とパフォーマンスに関する情報が含まれます。この情報により、WatchGuard はお客様とユーザーにより有益となるように、どの分野の製品を強化するかをより良く理解することができます。

デバイスのフィードバックが有効になっていると、6 日に一度フィードバックが WatchGuard に送信され、そのたびに Firebox が再起動します。デバイスのフィードバックは、圧縮ファイルで WatchGuard に送信されます。フィードバック データは、Firebox 内のスペースを節約するために、WatchGuard に送信された後は Firebox から削除されます。

デバイスのフィードバックには、Firebox に関する以下の情報が含まれています：

• デバイスの詳細
  • Firebox のシリアル番号
  • Fireware OS のバージョンおよびビルド番号
  • Firebox モデル
  • 最後に再起動されてからの Firebox の稼働時間
  • WatchGuard に送信されたフィードバック データの開始および終了タイムスタンプ
• デバイス サイジングの詳細
  • ポリシーの数
  • 有効化されているインターフェイスの数
  • BOVPN トンネルの数
  • Mobile VPN トンネル数
  • VLAN の数
  • 構成ファイルのサイズ
• パフォーマンスの詳細
  • 同時セッションの最大数
  • プロキシ接続の最大数
  • パケット フィルタ スループットの最大値
  • 最大 VPN スループット
  • 最大 CPU 使用量
  • 最大メモリ使用量
  • ピーク プロキシ接続使用制限のピーク
• 機能の使用状況の詳細
  • どの WatchGuard ユーザー インターフェイスから WatchGuard にフィードバックが送信されたか (Fireware Web UI、WatchGuard System Manager、または Command Line Interface)
  • Firebox が Centralized Management されているか、Firebox の管理モードになっているかどうかについて
  • Firebox で設定されているアクセスポイント（AP）の数
  • Firebox で設定されている認証オプション
  • Firebox が FireCluster のメンバーかどうか、モードがアクティブ/アクティブかアクティブ/パッシブかどうかについて
  • VoIP セキュリティ機能が有効化されているかどうかについて
  • Intrusion Prevention Service（IPS）が有効化されているかどうかについて
  • Firebox で設定されているログ記録
  • 構成において、登録サービスで有効化されているプロキシ アクションの数
• 登録サービスの詳細

各サービスの詳細には、サービスが有効化されているかどうか、Firebox で有効化されている各サービスのイベントの数、各サービスに対して Firebox でトリガされたイベントのリスト（イベントの送信元 IP アドレス、プロトコル、および脅威レベルを含む）が含まれています。

• Intrusion Prevention System (IPS)
• Gateway AntiVirus (GAV)
• WebBlocker
• spamBlocker
• データ損失防止（DLP）
• APT Blocker
• 既定の脅威防止
• アクセスポイントの詳細
  • ゲートウェイ ワイヤレス コントローラが有効化されているかどうかについて
  • Firebox で設定されている AP デバイスの数
  • Firebox で設定されている SSID の数
  • ワイヤレス ホットスポットが有効化されているかどうかについて
• 完全修飾ドメイン名（FQDN）の詳細
  • FQDN が使用されているかどうか
  • 構成されている FQDN の数
  • 特定のドメイン名を使用している FQDN の数
  • ワイルドカードを使用している FQDN の数
  • パケット フィルタ ポリシーで構成されている FQDN の数
  • ブロックされたサイトの例外リストに含まれている FQDN の数
  • クォータ例外に含まれている FQDN の数
  • ポリシー フィルタで FQDN を含むパケット フィルタ ポリシーの数
  • 使用されている認可 DNS サーバーの数
• クォータの詳細
  • Firebox にクォータが構成されているかどうか
  • 構成されているクォータ ルールの数
  • 構成されているクォータ アクションの数
  • 構成されているクォータ例外の数
• エンドポイント マネージャーの詳細
  • エンドポイント マネージャーが構成されているかどうか
  • エンドポイント マネージャーに接続されているモバイル デバイスの合計数
  • エンドポイント マネージャーに接続されている Android デバイスの数
  • エンドポイント マネージャーに接続されている iOS デバイスの数
  • VPN 経由で接続されているモバイル デバイスの数
• ネットワーク可視性の詳細
  • アクティブ スキャンが有効になっているインターフェイスの数
  • アクティブ スキャンに構成されているスケジュールの間隔
  • ネットワークで検知されたデバイスの数
  • エンドポイント アクティブ スキャンにより見つかったデバイスの数
  • エンドポイント マネージャーにより見つかったデバイスの数
  • エンドポイント Exchange Monitor により見つかったデバイスの数
  • エンドポイント HTTP 検出により見つかったデバイスの数
  • iked プロセスにより見つかったデバイスの数
  • SSL VPN プロセスにより見つかったデバイスの数
• RADIUS SSO の詳細
  • RADIUS SSO のクォータの統計が構成されているかどうか
• モバイル セキュリティの詳細
  • モバイル セキュリティが有効化されているかどうか
  • モバイル セキュリティ デバイス グループを含むポリシーの数
  • モバイル セキュリティが有効化されているポリシーによって拒否された接続の数
• ボットネット検出の詳細
  • ボットネット検出が有効化されているかどうか
  • テスト済みのトラフィック発信元アドレスの数
  • ボットネットから発信されたもので、ドロップされたトラフィック発信元アドレスの数
  • テスト済みのトラフィック宛先アドレスの数
  • ボットネットに送信されたもので、ドロップされたトラフィック宛先アドレスの数

デバイスのフィードバック機能を使用するかしないかは完全にユーザーの自由です。この機能はいつでも無効にすることができます。

デバイスのフィードバックを無効化するには、以下の手順を実行します：

デバイスのフィードバックを WatchGuard に送信する チェック ボックスをオフにします。

障害レポート

Firebox では、Firebox で発生した障害の情報が収集、格納され、障害の診断レポートが生成されます。障害に関する次のカテゴリーの情報が収集されます：

• アクションの失敗
• プログラムのクラッシュ
• カーネルの例外
• ハードウェア上の問題

障害レポート機能を有効化すると、障害に関する情報は 1 日 1 回 WatchGuard に送信されます。WatchGuard は、この情報を Fireware OS とハードウェアの向上に活用します。障害レポートのリストを手動で確認し、WatchGuard にレポートを送信し、そして Firebox から障害レポートを削除することもできます。

障害レポートのリストの管理方法の詳細については、次を参照してください：障害レポートを管理する。

この機能は、Fireware OS v11.9.3 以降を実行している Firebox でのみ有効です。

Firebox で障害レポート機能を有効化するには、以下の手順を実行します：

障害レポートを毎日 WatchGuard に送信する チェック ボックスを選択します。

デバイス管理者の接続

デバイス管理者の認証情報がある複数のユーザーに同時に Firebox にログインすることを許可して、Firebox を監視および管理することができます。このオプションを有効化する場合、デバイス管理者の認証を使用して Firebox にログインするユーザーは、設定を変更する前に、デバイスの構成ファイルのロック解除する必要があります。

複数のデバイス管理者を同時に Firebox にログインできるようにするには、以下の手順を実行します：

複数のデバイス管理者が同時に Firebox にログインすることを許可する チェック ボックスを選択します。

構成ファイルをロックおよびロック解除する

（Fireware Web UI のみ）

複数のデバイス管理者が同時に Fireware Web UI から Firebox に接続できるようにする場合は、デバイス管理者ユーザーは Firebox デバイスの構成ファイルの構成設定に変更を加える前に、構成ファイルをロック解除する必要があります。構成ファイルに変更を加えるためにデバイス管理者が構成ファイルをロック解除した場合、そのデバイス管理者が同じ構成ファイルを再度ロックするか、またはログアウトするまで、デバイス管理者権限を持つその他のユーザーに対してその構成ファイルはロック状態になります。

複数のデバイス管理者が Firebox に同時にログインできるようにする方法については、Firebox のグローバル設定を定義する を参照してください。

構成ファイルをロック解除するには、Fireware Web UI で以下の手順を実行します。

ページ上部で、 をクリックします。

構成ファイルをロックするには、Fireware Web UI で以下の手順を実行します。

ページ上部で、 をクリックします。

ICMP エラー処理のグローバル設定を定義する

接続のエラーは、インターネット コントロール メッセージ プロトコル (ICMP) によって制御されます。次の場合に使用できます。

• クライアント ホストにエラー状況を通知する場合
• ネットワークをプローブしてネットワークの一般的特徴を検出する

Firebox では、選択されたパラメータの 1 つに一致するイベントが発生するたびに、ICMP エラー メッセージが送信されます。トラブルシューティングを行う場合には、これらのメッセージを使用すると非常に役立ちますが、ネットワークに関する情報が公開されるため、セキュリティが低下する可能性があります。これらの ICMP メッセージを拒否すると、ネットワーク プローブが防御されている場合、セキュリティが向上しますが、接続が不完全であるためにタイムアウト遅延が発生し、アプリケーションに問題が起こる可能性があります。

ICMP エラー処理の共通設定は以下の通りです。

フラグメンテーション要求 (PMTU)

ICMP のフラグメンテーション要求メッセージを許可するには、このチェック ボックスをオンにします。Firebox では、MTU パスを検出するためにこれらのメッセージを使用します。

時間超過

ICMP の時間超過メッセージを許可するには、このチェック ボックスをオンにします。ルーターでは、通常、ルート ループが発生した場合にこれらのメッセージを送信します。

ネットワーク到達不能

ICMP のネットワーク到達不能のメッセージを許可するには、このチェック ボックスをオンにします。ルーターでは、通常、ネットワーク リンクが無効である場合にこれらのメッセージを送信します。

ホスト到達不能

ICMP のホスト到達不能のメッセージを許可するには、このチェック ボックスをオンにします。ネットワークでは、通常、ホストまたはサービスが使用できないときにこれらのメッセージを送信します。

ポート到達不能

ICMP のポート到達不能のメッセージを許可するには、このチェック ボックスをオンにします。ホストまたはファイアウォールでは、通常、ネットワーク サービスが利用できないか、または許可されていないときに、これらのメッセージを送信します。

プロトコル到達不能

ICMP のプロトコル到達不能のメッセージを許可するには、このチェック ボックスをオンにします。

TCP 設定を構成する

TCP SYN パケットと接続状態検証を有効化する

RST、ACK、または FIN フラグが含まれていない接続を介して送信された最初のパケットが SYN パケットであることを Firebox が検証できるようにする場合は、このオプションを選択します。

このオプションを無効にすると、最初のパケットが RST、ACK、または FIN フラグを含む接続を介して送信された場合でも、接続が許可されます。

一部の接続（例：VPN トンネル経由の接続）に安定性の問題が発生した場合は、このオプションを無効にすることができます。

TCP 接続アイドル タイムアウト

TCP 接続がタイムアウトになるまでにアイドル状態でいられる時間の長さ。秒、分、時、または日の単位で値を指定します。Web UI の既定設定は 1 時間で、Policy Manager の既定設定は 3600 秒です。

個々のポリシーに対してカスタム アイドル タイムアウトを設定することもできます。詳細については、次を参照してください：カスタムのアイドル タイムアウトを設定する。

このグローバル アイドル タイムアウトを設定し、同時にカスタム アイドル タイムアウトをポリシーに設定すると、そのポリシーのみに対してグローバル アイドル タイムアウトよりもカスタム アイドル タイムアウトが優先されます。

TCP 最大セグメントサイズ制御

TCP セグメントは、TCP/IP レイヤーの 3 つ以上のオーバーヘッド (たとえば、PPPoE、ESP、または AH) を備える必要がある接続に対し、特定のサイズにすることができます。このサイズが正しく構成されていないと、ユーザーは一部の Web サイトにアクセスすることができなくなります。

グローバル TCP 最大セグメント サイズ調整オプションは、以下のとおりです。

• Auto Adjustment — Firebox がすべての最大セグメント サイズ（MSS）ネゴシエーションを調べ、MSS 値を適切な値に変更することを可能にします。
• No Adjustment — Firebox は MSS 値を変更しません。
• Limit to — サイズ調整の制限値を入力または選択します。

TCP MTU プローブ

Firebox で TCP MTU プローブを有効化すると、PMTU 検出が正常に行われたかどうかを確認することができます。このオプションが有効になっていると、Firebox が BOVPN トンネル経由で送信されるトラフィックで ICMP 到達不能パケットを受信した場合でも、ネットワークのクライアントはこの Firebox に構成されているゼロ ルートの BOVPN トンネル経由でインターネットにアクセスすることができます（ICMP ブラックホールが検出された場合）。

TCP MTU プローブのオプションは、次のとおりです。

• 無効 — 既定設定。
• ICMP ネットワークの問題が検出されたときにのみ有効化 — このオプションを選択すると、ICMP エラーメッセージがドロップし、PMTU 検出処理が完了できない際に、TCP MTU プローブが自動的に有効化されます（ICMP ブラックホールが検出された場合）。問題が解決した後も、TCP MTU プローブはそのまま有効となります。
• 常に有効

TCP MTU Probing は、Fireware v11.9.5 以降でサポートされています。

トラフィック管理と QoS を有効化または無効化する

パフォーマンス テストまたはネットワーク デバッグを実行する場合は、トラフィック管理および QoS の機能を無効にすることができます。

機能を有効にするには、以下の手順に従います。

トラフィック管理とQoS の機能をすべて有効にする チェック ボックスをオンにします。

機能を無効にするには、以下の手順に従います。

トラフィック管理と QoS の機能をすべて有効にする チェック ボックスをオフにします。

トラフィック フローを管理する

既定では、ポリシーで使用されている静的 NAT アクションを変更しても、Firebox がアクティブ接続を閉じることはありません。この既定設定を上書きして、変更した SNAT アクションを使用するポリシー経由でアクティブ接続を閉じるように Firebox を設定することができます。

既定のトラフィック フロー設定を上書きして、この機能を有効化するには、トラフィック フロー セクションで以下の手順を実行します：

SNAT アクションが変更された際に、SNAT アクションを使用するアクティブ接続をクリアする チェック ボックスを選択します。

ログオン時の免責事項を構成する

ログオン時の免責事項の機能を有効化すると、ユーザーが Firebox にログインして管理する前に、提示されている利用規約への同意をユーザーに強制することができます。

このセクションには、Policy Manager でログオン時の免責事項の機能を有効化する方法が説明されています。Fireware Web UI から、この機能を有効化する方法については、次を参照してください：ログオン時の免責事項を構成する。

ログオン時の免責事項の設定を構成する際には、ログオン時の免責事項 ページのタイトルとメッセージ テキストを指定することができます。ログオン時の免責事項にカスタム ロゴを選択することもできます。選択する画像ファイルは JPG、GIF あるいは PNG ファイルのいずれかで、200 × 65 ピクセル以下でなければなりません。

この機能は、Fireware OS v11.9.3 以降を実行している Firebox でのみ有効です。

ログオン時の免責事項の機能を構成するには、Policy Manager から以下の手順を実行します：

1. グローバル設定 ダイアログ ボックスで、ログオン時の免責事項 タブを選択します。
   ログオン時の免責事項の設定が表示されます。
2. ログオン時の免責事項を有効化する チェック ボックスを選択します。
3. ページ タイトル テキスト ボックスで、ログオン時の免責事項 ページに表示されるタイトル テキストを入力します。
4. 免責事項メッセージを指定 テキストボックスで、免責事項メッセージの文面を入力するか貼り付けます。
5. カスタム ロゴを免責事項メッセージに追加するには、次の手順に従います：
   1. ［カスタム ログの使用］ チェックボックスをオンにします。
   2. アップロード をクリックし、画像ファイルを選択します。
6. OK をクリックします。

ログオン時の免責事項の機能が有効になっていると、ユーザーが Firebox に接続してログインした際に、ログオン時の免責事項 ページが表示されます。各ユーザーは Firebox に接続する前に、ログオン時の免責事項に同意しなければなりません。免責事項に同意しないユーザーは Firebox に接続できず、画面が ログイン ページに切り替わります。

また、Management Server への接続でも、ログオン時の免責事項を設定することができます。詳細については、次を参照してください：構成履歴の定義とコメント設定の変更。

関連情報

トラフィック管理と QoS について

カスタムのアイドル タイムアウトを設定する

フィードバックの送信  •   サポートのリクエスト  •   全製品ドキュメント  •   技術検索

© 2018 WatchGuard Technologies, Inc. All rights reserved.W WatchGuard、WatchGuard ロゴ、WatchGuard Dimension、Firebox、Core、Fireware および LiveSecurity は、米国および他の国における WatchGuard Technologies の登録商標または商標です.