Firebox Cloud 機能の相違点
Firebox Cloud は仮想プライベート クラウドのサーバー保護に最適化されているため、セットアップの要件、構成オプション、使用可能な機能が他の Firebox モデルと異なる場合があります。このセクションでは、Firebox Cloud と他の Firebox モデルの相違点の概要について説明します。
管理
Firebox Cloud インスタンスを WatchGuard Cloud に追加するには、Firebox Cloud インスタンスに BYOL ライセンスが必要です。
Policy Manager または WatchGuard Management Server から Firebox Cloud を管理するには、WatchGuard System Manager v12.2 以降をインストールする必要があります。
ライセンス要件とサービス
BYOL ライセンスに基づく Firebox Cloud では、WatchGuard の Web サイトで Firebox Cloud のライセンスキーをアクティベートし、Firebox Cloud のインスタンスに機能キーを追加する必要があります。詳細については、次を参照してください:AWS 上に Firebox Cloud を配備する または Microsoft Azure 上に Firebox Cloud を配備する。
サポートされているほぼすべての機能とサービスは Firebox Cloud に含まれています。一部のセキュリティ サービスは、BYOL ライセンスが付与されている Firebox Cloud でのみサポートされています。ライセンスのオプションおよびサポートされるサービスについては、次を参照してください:Firebox Cloud のライセンス オプション。
ネットワーク インターフェイス
Firebox Cloud は 2 つから 8 つのインターフェイスをサポートしています。1 つの外部インターフェイス (eth0) と最大 7 つのプライベート インターフェース (eth1–eth7) をサポートします。すべての Firebox Cloud インターフェイスは DHCP を使用して IP アドレスをリクエストします。AWS または Azure ですべてのネットワーク インターフェイスの IP アドレスと設定を構成する必要があるため、Fireware Web UI でネットワーク インターフェイスを構成することはできません。Firebox Cloud の Fireware Web UI では ネットワーク > インターフェイス の構成ページが表示されません。
AWS 上の Firebox Cloud では、Elastic IP (EIP) を外部インターフェイスに割り当てます。Azure 上の Firebox Cloud では、静的または静的 IP アドレスで外部インターフェイスを構成できます。内部 IP アドレスは、Firebox Cloud インスタンスに割り当てられているプライベート ネットワークに基づいて割り当てられます。
Fireware v12.1 以降では、Firebox Cloud で、外部インターフェイスにおける 1 つまたは複数のセカンダリ IP アドレスがサポートされています。
既定の Firebox 構成
Firebox Cloud のインスタンスを起動するときに、 既定の設定で自動的に起動します。BYOL ライセンスによる Firebox Cloud では、すべての機能の設定を有効にする機能キーを取得する必要があります。
初めて Fireware Web UI に接続するときに、Firebox Cloud セットアップ ウィザードが起動します。ウィザードで、エンドユーザー ライセンス契約に同意し、新しいパスフレーズを選択します。
セットアップ ウィザードを実行した後、Firebox Cloud の既定の設定は以下の点で他の Firebox モデルとは異なっています。
- すべてのインターフェイスが DHCP を使用して、IPv4 プライマリ IP アドレスを取得する
- デバイス管理者の認証情報をもつ 2 名以上のユーザーが同時に Firebox Cloud にログインできる
- どのインターフェイスからでも Fireware Web UI を管理できる
- 既定のポリシーは、Firebox Cloud への管理接続と ping 接続を許可するが、Firebox Cloud 経由のプライベート サブネットからのアウトバウンド トラフィックを許可しない
- ライセンス取得済みの登録サービスは既定で設定されていない
既定の WatchGuard および WatchGuard Web UI ポリシーにより、信頼済み、任意、または外部のネットワーク上の任意のコンピュータから管理接続することができます。外部ネットワークからの管理接続を許可したくない場合は、WatchGuard および WathGuard Web UI ポリシーを編集して Any-External のエイリアスを From リストから削除する必要があります。外部ネットワーク上の特定のコンピュータのみから管理を許可するには、これらのポリシーでその管理コンピュータの IP アドレスを From リストに追加します。
Fireware の機能
Firebox Cloud は、他の Firebox モデルで使用できるほとんどのポリシーおよびセキュリティ機能をサポートしています。AWS 環境に適切なネットワーク機能のサブネットをサポートしています。サポート対象の機能の使用可能な設定は他の Firebox と同じです。Firebox Cloud のサポート対象外のほとんどの機能やオプションは、Fireware Web UI に表示されません。
以下のネットワーキング機能はサポートされていません。
- ドロップイン モードとブリッジ モード
- DHCP サーバーと DHCP 中継 (すべてのインターフェイスは DHCP クライアント)
- PPPoE
- IPv6
- 複数 WAN(固定接続とポリシーベースのルーティングを含む)
- ARP エントリ
- リンク集約
- VLAN
- FireCluster
- ブリッジ インターフェイス
- DNS 転送と条件付き DNS 転送
サポートされないポリシーとセキュリティサービス:
- 明示的プロキシとプロキシ自動構成 (PAC) ファイル
- クォータ
- DNSWatch
- ネットワーク検出
- モバイル セキュリティ
サポートされない認証機能:
- ホットスポット
Firebox Cloud は、Fireware v12.2 以降のシングル サインオン (SSO) をサポートしています。
サポートされないシステム管理機能:
- デバイス管理接続のログオン免責条項
- バックアップ/復元用の USB ドライブ
サポートされないその他の機能:
- Gateway Wireless Controller
- Mobile VPN with SSL の ブリッジ VPN トラフィック オプション
Fireware Web UI から設定できない機能:
- 既定のパケット処理オプションのログ記録設定の変更
- 既存のポリシー名の編集
- カスタム アドレスをポリシーに追加する
- ホスト名 (DNS 参照) を使用してポリシーに IP アドレスを追加する
- セカンダリ PPPoE インターフェイスの追加または編集
IPv6 ルートなどの Firebox Cloud でサポートされない一部の機能を構成できます。これによりサポート対象外の機能が有効になることはありませんが、悪影響もありません。