Setup Wizard の既定のポリシーと設定

Web Setup Wizard または WSM Quick Setup Wizard を使えば、基本構成を使用して Firebox を設定できます。セットアップ ウィザードは、基本的なネットワークおよび管理設定を構成し、セキュリティ ポリシーおよびライセンス供与されたセキュリティ サービスを、推奨の設定で自動的に構成するのに役立ちます。

既定の有効なインターフェイス

セットアップ ウィザードでは、以下のインターフェイスを指定した設定で有効にします:

  • 外部 — インターフェイス 0
  • 信頼済み — インターフェイス1
  • 任意 — インターフェイス 2 (WSM Quick Setup Wizard のみで構成可能)

既定では、その他すべてのインターフェイスは無効になっています。

ワイヤレス

Fireware v12.5.3 以降では、セットアップ ウィザードにより、ワイヤレス Firebox 上の組み込みワイヤレス アクセス ポイントを有効化および設定することができます。セットアップ ウィザードでは、信頼済みネットワークへの Wi-Fi 接続を有効にするための SSID とパスワードを設定します。Web Setup Wizard では、信頼済みネットワーク ブリッジを構成します:

  • ネットワークおよび DHCP 設定は、セットアップ ウィザードで構成した信頼済みネットワークの設定に一致します
  • ブリッジ メンバー — 信頼済み (interface1) およびワイヤレス アクセス ポイント (ath1)

既定の信頼済みブリッジを無効にすると、Firebox への接続が失われます。信頼済みブリッジを無効にする前に、接続できる別の信頼済みネットワークを構成してください。

既定のポリシーとサービス

セットアップ ウィザードが構成する既定のポリシーとサービスは、Firebox にインストールされている Fireware のバージョン、および Firebox の機能キーに登録サービス用のライセンスが含まれているかどうかによって異なります。

セットアップ ウィザードを使用して新しい構成を作成すると、セットアップ ウィザードはプロキシ ポリシーを自動的に構成し、ライセンス供与されたほとんどの登録サービスを推奨される設定で有効化します。

セットアップ ウィザードは以下の既定ポリシーを追加します:

  • FTP-proxy、Default-FTP-Client プロキシ アクションを使用
  • HTTP-proxy、Default-HTTP-Client プロキシ アクションを使用
  • HTTPS プロキシ、Default-HTTPS-Client プロキシ アクションを使用
  • WatchGuard 証明書ポータル (Fireware v12.3 以降)
  • WatchGuard Web UI
  • Ping
  • DNS
  • WatchGuard
  • 発方向(O)

これらの既定ポリシーで、Firebox は:

  • 外部ネットワークから信頼済みネットワークや任意ネットワーク、または Firebox への接続を許可しません
  • 信頼済みネットワークおよび任意ネットワークからの Firebox への管理接続のみを許可します
  • 送信 FTP、HTTP および HTTPS トラフィックを、推奨されるプロキシ アクションの設定を使用して検査します
  • Application Control、WebBlocker、Gateway AntiVirus、Intrusion Prevention、Application Control、Reputation Enabled Defense、Botnet Detection、Geolocation および APT Blocker セキュリティ サービスを使って信頼済みおよび任意ネットワークを保護します
  • 信頼済みネットワークおよび任意ネットワークからの継続的な FTP、Ping、DNS、TCP および UDP 接続を許可します

v11.12 以降の Fireware を実行する Firebox に対しては、既定のプロキシ ポリシーによって使用される 3 つのプロキシ アクションがセットアップ ウィザードにより作成されます。

Default-FTP-Client

  • FTP プロキシによって使用されます
  • FTP-Client.Standard に基づいています
  • Gateway AntiVirus は有効化されます
  • レポートのログ記録は有効化されます

Default-HTTP-Client

  • HTTP プロキシによって使用されます
  • HTTP-Client.Standard プロキシ アクションに基づいています
  • WebBlocker、Gateway AntiVirus、Reputation Enabled Defense および APT Blocker が有効化されます
  • レポートのログ記録は有効化されます

Default-HTTPS-Client

  • HTTPS プロキシによって使用されます
  • HTTPS-Client.Standard プロキシ アクションに基づいています
  • WebBlocker は無効化されます
  • コンテンツ インスペクションは Default-HTTP-Client プロキシ アクションを使用しますが、コンテンツ インスペクションは有効化されません
  • レポートのログ記録は有効化されます

これらのプロキシ アクションは、ネットワークのニーズに応じて変更することができ、追加する他のプロキシ ポリシーにもこれらのプロキシ アクションを使用できます。

既定の登録サービスの構成

セットアップ ウィザードは、ほとんどのライセンス供与されたセキュリティ サービスを、機能キーにそのような機能が含まれている場合は、既定の推奨設定を使って有効化します。Botnet Detection および Geolocation 機能は、Firebox に Reputation Enabled Defense の機能キーが含まれている場合に有効化されます。

セットアップ ウィザードは、これらのサービスが含まれている機能キーが Firebox にある場合に限り、登録サービスを構成します。機能キーがない場合、またはライセンス供与された登録サービスが機能キーに含まれていない場合は、ウィザードは、登録サービスを有効化せずにポリシーを構成します。

WatchGuardWatchGuard 証明書ポータル および WatchGuard Web UI を除くすべてのポリシーで有効化されます

  • スキャン モード:
  • Firebox T10、T15、T30、T50 およびすべての XTM モデルの高速スキャン
  • その他すべてのモデルのフル スキャン
  • 脅威レベル別アクション:
  • 最高 — 中断、アラーム、ログ
  • 高 — 中断、アラーム、ログ
  • 中 — 中断、ログ
  • 低 — 中断、ログ
  • 情報 — 許可

Fireware v12.0 以前では、低レベルの脅威のアクションは既定で「許可」に設定されています。

Intrusion Prevention Service の設定の詳細については、次を参照してください: Intrusion Prevention を構成する

WatchGuardWatchGuard 証明書ポータル および WatchGuard Web UI を除くすべてのポリシーで有効化されます

グローバル Application Control アクション:

  • 中断 — アプリケーション — Crypto 管理者
  • 中断 — アプリケーション カテゴリ — プロキシとトンネルをバイパス

Application Control 設定の詳細については、次を参照してください: Application Control アクションを構成する

HTTP-proxy ポリシーに対し有効化

アクション — 評判の悪い URL を即座にブロックする、このアクションをログ記録する

Reputation Enabled Defense 設定の詳細については、次を参照してください: Reputation Enabled Defense を構成する

不審なボットネット サイトからのトラフィックの阻止が有効化されます

Botnet Detection の設定の詳細については、次を参照してください: Botnet Detection を構成する

Firebox 間の接続の地理位置情報を特定するのに有効化されます

地理位置情報の設定の詳細については、次を参照してください: Geolocation を構成する

HTTP-proxyHTTPS-proxy ポリシーに対し有効化されます

Default-WebBlocker アクションの設定:

  • カテゴリ — 既定の WebBlocker アクションは、セットアップ ウィザードで選択したコンテンツのカテゴリを阻止します。
  • サーバー タイムアウト — Firebox が WebBlocker Server に接続できない場合、既定では、サーバー タイムアウトの設定はアクセスを拒否するように設定されています。
  • ライセンス バイパス — WebBlocker のライセンスが期限切れの場合、既定では、ライセンス バイパスの設定はアクセスを拒否するように設定されています。

Fireware v12.0 以前では、WebBlocker のライセンスが期限切れの場合、ライセンス バイパスの設定はアクセスを許可するように設定されます。

WebBlocker のカテゴリ設定についての詳細は、次を参照してください: WebBlocker カテゴリを構成する

サーバー タイムアウトとライセンス バイパス設定の詳細については、次を参照してください: WebBlocker の詳細オプションを定義する

HTTP-proxyFTP-proxy ポリシーに対し有効化されます

  • FTP — AV はすべてのコンテンツをスキャンします (アップロードとダウンロード)
  • HTTP — AV はすべてのコンテンツをスキャンします (コンテンツ タイプとボディ コンテンツ タイプ)

Fireware v12.0.1 以降では、Default-HTTP-Client プロキシ アクションで、Windows EXE/DLL Body Content Rule が AV スキャン に設定されます。Fireware v12.0 以前では、このルールのアクションは既定で拒否に設定されています。

アクション — ウイルスが検出された場合やエラーが発生した場合に中断とアラーム

Gateway AntiVirus の設定についての詳細は、次を参照してください:on about Gateway AntiVirus settings, Gateway AntiVirus のアクションを構成する

FTP-proxyHTTP-proxy ポリシーに対し有効化されます

脅威レベル別アクション:

  • 高 — 中断、アラーム、ログ
  • 中 — 中断、アラーム、ログ
  • 低 — 中断、アラーム、ログ
  • クリーン — 許可

Fireware v12.0 以前では、高レベルの脅威のアクションは既定で「ブロック」に設定されています。

APT Blocker の設定についての詳細は、次を参照してください: APT Blocker を構成する

レポートのログ記録

セットアップ ウィザードは、次に記述される通り、レポートのログ記録も有効にします:レポートのログ記録を有効化する場所

packet-filter ポリシーの場合は、ログ記録はポリシー レベルで有効化されます。既定のプロキシ ポリシーでは、ログ記録はプロキシ アクションで有効化されます。

  • ログ メッセージの送信 — Ping、DNS および送信ポリシーで有効化されます
  • レポートのログ メッセージを送信する — Ping、DNS および送信ポリシーで有効化されます
  • レポートのログ記録を有効にするDefault-FTP-ClientDefault-HTTP-Client、および Default-HTTPS-Client プロキシ アクションで有効化されます

それぞれの登録サービスでは、前のセクションの記述にある通り、ログ メッセージを送信するようアクションが構成されます。

セットアップ ウィザードは、次のパフォーマンス統計のログ記録も有効化します:

  • 外部インターフェイスと VPN 帯域幅の統計
  • セキュリティ サービス統計

これらのログ メッセージについての詳細は、次を参照してください: パフォーマンス統計をログ メッセージに含める (WSM)

既定のブロックされたサイトの例外

セットアップ ウィザードにより構成されたブロックされたサイトの例外リストには、WatchGuard 製品および登録サービスが必ず接続しなければならない既定の例外が含まれています。既定のブロックされたサイトの例外についての詳細は、次を参照してください: ブロックされたサイトについて

関連情報:

Firebox Setup Wizards の詳細