RapidDeploy QuickStart を使用する
RapidDeploy QuickStart により、推奨されるファイアウォールとセキュリティ設定で WatchGuard により作成された構成ファイルを、Firebox が自動的にダウンロードして使用できるようになります。
RapidDeploy QuickStart は、Firebox T10、T30、T50、T70、M200 および M300 モデルでのみサポートされています。
RapidDeploy QuickStart ファイルにより、DHCP を使用して IP アドレスを取得するように、外部インターフェイス、インターフェイス 0 が構成されます。
RapidDeploy QuickStart を有効化する
Firebox で RapidDeploy QuickStart がサポートされている場合は、アクティブ化した後に 製品の詳細 ページで有効化することができます。
RapidDeploy QuickStart は、デバイスのアクティベーション中には利用できなくなりました。これは、Firebox のアクティベーション後に有効にする必要があります。
RapidDeploy QuickStart を有効化するには、以下の手順を実行します。
- デバイスの製品の詳細 ページに移動します。詳細については、次を参照してください: 製品の詳細ページについて。
- 製品の詳細 ページで、RapidDeploy の設定 をクリックします。
このオプションは、Firebox T10、T30、T50、T70、M200 および M300 でのみサポートされています。 - RapidDeploy QuickStart を使用する を選択します。次へ をクリックします。
- デバイス用のパスフレーズを設定します。
- 完了 をクリックします。
RapidDeploy QuickStart を有効化する際に、デバイスのパスフレーズを設定する必要があります。デバイスが RapidDeploy 構成ファイルをダウンロードした後に、これらのパスフレーズを使用します。詳細については、次を参照してください: RapidDeploy パスフレーズについて。
デバイスに接続する
RapidDeploy QuickStart を有効化したら、Firebox を接続します。
- デバイスに同梱されている緑のイーサネット ケーブルを使用して、インターフェイス 0 をインターネットに接続します。
- デバイスの電源をオンにします。
- デバイスが構成ファイルをダウンロードするまで、数分待ってください。
デバイスは WatchGuard から構成ファイルと機能キーを自動的にダウンロードします。 - コンピュータまたはローカル ネットワークを、信頼済みインターフェイスのインターフェイス 1 に接続します。
デバイスの接続方法の詳細については、次を参照してください:RapidDeploy 用に Firebox を接続する。
デバイスに初めて電源を入れると、構成ファイルが RapidDeploy から自動的にダウンロードされます。再度デバイスでこのファイルをダウンロードする場合は、工場出荷時の既定設定にデバイスをリセットすることができます。詳細については、次を参照してください: Firebox をリセットする。
成功したかどうかを確認する
Firebox が RapidDeploy から構成ファイルを取得すると、ファイルが要求された日時、デバイスの IP アドレス、およびデバイスにインストールされている Fireware OS のバージョンが 製品の詳細 ページに表示されます。
RapidDeploy プロセスが完了したら、Firebox の信頼済みネットワークのユーザーがインターネットに接続できることを確認します。デバイスが RapidDeploy から構成ファイルを取得した後も、ユーザーがインターネットに接続できない場合は、以下の点を確認してください。
- 信頼済みネットワークがインターフェイス1に接続されていること。
- 信頼済みネットワークに接続されているコンピュータで DHCP が有効化されていること。
- 信頼済みネットワークのデバイスが 10.0.1.0/24 サブネットの IP アドレスを受信していること
RapidDeploy をトラブルシューティングする方法の詳細については、次を参照してください:RapidDeploy をトラブルシューティングする。
RapidDeploy QuickStart 構成の設定
RapidDeploy QuickStart は、Firebox の既定のデバイス管理ユーザー アカウント認証、ネットワーク設定、およびファイアウォール設定を自動的に構成します。デバイスにライセンス付与されたサービスがある場合は、Gateway AntiVirus、WebBlocker、Reputation Enabled Defense の設定も構成されます。
デバイスには、管理者 と ステータス の 2 つの既定デバイス管理ユーザー アカウントがあります。これらのアカウントは、WatchGuard の Web サイトでデバイスをアクティブ化したときに設定したパスフレーズを使用します。
デバイスには、3 つのネットワーク セキュリティゾーンで構成された 3 つのインターフェイスがあります。
- インターフェイス 0(Eth0)は、DHCP により設定された IP アドレスを持つ外部インターフェイスです。
- インターフェイス1(Eth1)は、IP アドレスが 10.0.1.1/24 の信頼済みインターフェイスです。DHCP サーバーは、10.0.1.2 〜 10.0.1.254 のアドレス プールで有効化されています。
- インターフェイス2(Eth2)は、IP アドレスが 10.0.2.1/24 のオプショナル インターフェイスです。DHCP は無効化されています。
- すべての受信接続は拒否されます。
- すべての TCP、UDP、および ICMP の送信接続は許可されます。
- 外部ネットワークで受信された ping リクエストは拒否されます。
HTTP プロキシ ポリシーは、HTTP-Client.QuickStart プロキシ アクションを使用します。一般的には、プロキシ設定は既定の HTTP クライアント プロキシ アクションより制限がありませんが、より多くのレポートへのログ記録を有効にします。ライセンス登録時に UTM 登録または試用のいずれかによって AV ライセンスが存在している場合は、AV スキャンが有効化されます。ライセンスを取得している場合は、WebBlocker と Reputation Enabled Defense が有効化されます。
- HTTP 要求 > 全般設定
- URL パス長 は 4096 バイトに設定されています。
- 変更されていない範囲要求を許可 が選択されており、ログ記録が有効になっています。
- レポートのログ記録を有効化する が選択されています。
- HTTP 要求 > 要求方法
- 一致した場合 が 許可 に設定されており、ログ記録は有効になっていません。
- 一致なし が 許可 に設定されており、ログ記録が有効になっています。
- HTTP 応答 > コンテンツ タイプ
- 一致した場合 が 許可 に設定されており、ログ記録が有効になっています。
- サービスがライセンス付与されている場合は 一致なし が AV スキャン に設定されており、サービスがライセンス付与されていない場合は 許可 に設定されています。ログ記録が有効になっています。
- HTTP 応答 > 本文のコンテンツ タイプ
- 本文のコンテンツ タイプのルールは、Java バイトコード、.exe/dll、.zip、および .cab ファイルと一致しています。
- サービスがライセンス付与されている場合は 一致した場合 アクションが AV スキャン に設定されており、サービスがライセンス付与されていない場合は 許可 に設定されています。ログ記録が有効になっています。
- 一致なし アクションが 許可 に設定されており、ログ記録が有効になっています。
- WebBlocker
- WebBlocker.QuickStart アクションが選択されています。
- Reputation Enabled Defense
- 悪い評判の URL を即座にブロックする が選択されており、ログ記録が有効になっています。
HTTPS プロキシ ポリシーは、HTTPS-Client.QuickStart プロキシ アクションを使用します。
- 全般設定
- レポートのログ記録を有効化する が選択されています。
- WebBlocker
- WebBlocker.QuickStart アクションが選択されています。
WebBlocker.QuickStart と呼ばれる WebBlocker 構成が、HTTP-Client.QuickStart および HTTPS-Client QuickStart プロキシ アクションで有効化されています。WebBlocker 構成により、以下のカテゴリがブロックされます:
アダルト関連
- アダルト関連
- 成人向けコンテンツ
- セックス
- ヌード
セキュリティ
- 悪意のある Web サイト
- スパイウェア
- フィッシング詐欺およびその他の詐欺
- キーロガー
- 潜在的に不要なソフトウェア
- ボット ネットワーク
- 悪質な埋め込みリンク
- 悪質な埋め込み iFrame
- 疑わしい埋め込みリンク
- モバイル マルウェア
- 高度なマルウェア指令および制御
- 高度な暴露マルウェア
- 新規のエクスプロイト
- 損害を与える可能性があるコンテンツ
- 動的 DNS
- 拡張保護
- 高度な暴露マルウェア
- 新規のエクスプロイト
- 損害を与える可能性があるコンテンツ
- 動的 DNS
成人向けカテゴリでは、性教育およびランジェリー/水着はブロックされません。
その他の WebBlocker 設定は、以下の既定設定のまま維持されます:
- カテゴリ — URL が分類されている場合: 許可 。
- 詳細
- Firebox が 5 秒以内に WebBlocker Server に接続できない場合は、このアクションをログ記録 して、Web サイトへのアクセスを拒否 します。
- WebBlocker ライセンスが期限切れの場合は、すべての Web サイトへのアクセスが 拒否 されます。
HTTP プロキシの Gateway AntiVirus が有効化されています
- 設定 — 圧縮解除が有効化されています(3 レベル)
- 更新サーバー — 自動署名の更新が有効化されています - 1 時間ごと。
HTTP-Client.QuickStart プロキシ アクションの Gateway AntiVirus 設定
- 本文のコンテンツ タイプ — AV スキャン Java バイトコード、.exe/dll、.zip、および .cab の本文のコンテンツ タイプ。
- コンテンツ タイプ — AV スキャンのコンテンツ タイプ(コンテンツ タイプのルールに一致しない)。
Reputation Enabled Defense は、暗号化されたスキャン結果を WatchGuard に送信するように構成されています。
HTTP プロキシの Reputation Enabled Defense が有効化されており、悪い評判の URL を直ちにブロックして、ログ メッセージを送信するように構成されています。
その他すべての構成設定は、Web Setup Wizard または WSM Quick Setup Wizard を使用して、基本構成ファイルを作成した際に指定された値と同じ既定に設定されています。
構成をカスタマイズする
Firebox を接続すると、デバイスに接続して、構成ファイルをカスタマイズすることができます。たとえば、システム設定でデバイスに正しいタイム ゾーンを設定することをお勧めします。
- コンピュータをインターフェイス 1 に接続されているローカル ネットワークに接続します。または、インターフェイス 1 に直接接続します。
- コンピュータが 10.0.1.0/24 ネットワークの IP アドレスを受信していることを確認してください。
- デバイスに接続し、構成を編集します。
Fireware Web UI または Policy Manager から、デバイス構成ファイルを編集することができます。
- Web ブラウザを開き、https://10.0.1.1:8080 に移動します。
セキュリティ証明書の警告が表示されるのは、Firebox で使用されている証明書が、WatchGuard の認証機関によって署名されているためです。この認証機関は、ブラウザで信頼済みとして認識される機関ではありません。この警告は無視しても安全です。 - セキュリティ証明書の警告を無視します。Firefox では、先に進むためにセキュリティ例外を追加する必要があります。
Fireware Web UI のログイン ページが表示されます。 - デバイスをアクティブ化した際に設定した 管理者 ユーザー アカウントと管理者パスフレーズでログインします。
詳細については、Fireware Web UI に接続する を参照してください。
- 管理コンピュータに WatchGuard System Manager ソフトウェアをインストールします。
詳細については、WatchGuard System Manager ソフトウェアのインストール を参照してください。 - WatchGuard System Manager を起動する。
- デバイスをアクティブ化した際に設定した ステータス ユーザー アカウントとステータス パスフレーズを使用して、10.0.1.1 でデバイスに接続します。
詳細については、デバイスに接続する を参照してください。 - Policy Manager を起動するには、ツール > Policy Manager の順に選択します。
Policy Manager によって、デバイス構成が開きます。
構成ファイルを編集するには、Fireware Web UI から以下の手順を実行します:
- コンピュータをインターフェイス 1 に接続されているローカル ネットワークに接続します。または、インターフェイス 1 に直接接続します。
- コンピュータに 10.0.1.0/24 ネットワークの IP アドレスが指定されていることを確認してください。
- Web ブラウザを開き、https://10.0.1.1:8080 にアクセスします。
セキュリティ証明書の警告が表示されるのは、Firebox で使用されている証明書が、WatchGuard の認証機関によって署名されているためです。この認証機関は、ブラウザで信頼済みとして認識される機関ではありません。この警告は無視しても安全です。 - セキュリティ証明書の警告を無視します。Firefox では、先に進むためにセキュリティ例外を追加する必要があります。
Fireware Web UI のログイン ページが表示されます。 - デバイスをアクティブ化した際に設定した 管理者 ユーザー アカウントと管理者パスフレーズでログインします。
詳細については、次を参照してください: Fireware Web UI に接続する。
Policy Manager から、構成ファイルを編集するには、以下の手順を実行します:
- コンピュータをインターフェイス 1 に接続されているローカル ネットワークに接続します。または、インターフェイス 1 に直接接続します。
- コンピュータに 10.0.1.0/24 ネットワークの IP アドレスが指定されていることを確認してください。
- WatchGuard System Manager を起動する。
- デバイスをアクティブ化した際に設定した ステータス ユーザー アカウントとステータス パスフレーズを使用して、10.0.1.1 でデバイスに接続します。
詳細については、デバイスに接続する を参照してください。 - Policy Manager を起動するには、 をクリックします。または、ツール > Policy Manager の順に選択します。