Print topic

Fireware XTM v11.4 リリースノート

サポートされるデバイス XTM 2 Series、5 Series、および 8 Series
XTM 1050
Fireware XTM OS ビルド オリジナル リリース: 306888
ローカライゼーション リリース: 318582
WatchGuard System Manager ビルド オリジナル リリース:307425
ローカライゼーション リリース: 318951
改訂日 2011年5月19日

概要

WSM v11.4 および Fireware XTM v11.4 の更新では、フランス語、日本語、スペイン語、中国語(簡体字)へのローカライゼーションが組み込まれています。 v11.4 ソフトウェアのオリジナル版と今回のリリースにおいて、ローカライゼーション以外の機能的な変更はありません。 詳細については、ローカライゼーションのセクションを参照してください。

WatchGuard は Fireware XTM v11.4 のリリースを非常に嬉しく思っています。 新しい Application Control サービスが加わり、Fireware XTM v11.4 は、新しい認証、レポート、Centralized Management (集中管理)機能によって、お客様にさらにパワフルな制御を提供し、これまで以上に強化されたネットワークの可視性を実現します。

Fireware XTM OS v11.4 ソフトウェアは、2 Series、5 Series、8 Series、XTM 1050 など、多くの WatchGuard XTM デバイスにインストール可能です。 WatchGuard System Manager/Policy Manager v11.4 は、Fireware XTM v11.3 および Fireware XTM v11.4 デバイスの管理用として設計されていましたが、Fireware XTM OS v11.4 を WatchGuard e-Series アプライアンスにインストールすることはできません。

下記は Fireware XTM v11.4 の新しい機能の主要な点です。

Application Control — 誰に、何に、いつ、どこで、どのような理由で、そしてどのような方法で、ネットワーク上のアプリケーションが使われるかを決定するのが、こんなに簡単だったことはかつてありません。 1500 以上ものアプリケーションをカテゴリ別に整理して細かく制御できます。 Application Control サービスによって、アプリケーションカテゴリ(インスタントメッセージ)からアプリケーション名(MSN IM)そしてアプリケーション機能(ファイル転送)まで掘り下げることが可能です。

強化 IPS — 新たに導入された IPS は構成が容易で、すべてのポートのトラフィックをスキャンします。 Fireware XTM Web UI には新しい署名タブがあり、署名に関する情報を検索し見つけ出すのが、より簡単になりました。

構成履歴およびロールバックサポート — 最新の WatchGuard Management Sever は、管理対象デバイスのタイムスタンプ付き構成ファイルをインデックス付きリストの形式で表示するため、必要に応じて前の構成に簡単に戻ることができます。

Centralized Management の柔軟性

レポート機能 — いくつかのキーの最新レポート は Application Control、Wireless Rogue Access Point、および DHCP リース アクティビティのデータを提供します。 オンデマンドでのレポート、およびレポートのスケジュール設定が可能で、レポートが閲覧可能となったことを報告する電子メール通知を送信します。

ログ記録 — Log Server のいくつかの機能においても向上した点があります。Log Server から診断ログメッセージを削除してデータベースのサイズを制御することが可能となり、またデーがベースにログメッセージを挿入する新しい方法を導入したことで、データベース設置面積の 50% 縮小を実現しています。

新しい認証オプション — Fireware XTM v11.4 では、IP アドレスではなくユーザーとグループに基づいたセキュリティポリシーを作成できる、認証機能の新セットが導入されています。 以下の機能がその対象となります。

Rogue Wireless Access Point Detection — XTM 2 Series ワイヤレスデバイスは、範囲内での非認証アクセスポイントを見つけるためにスキャンおよびレポートを行います。

Web UI からの完全プロキシ構成 — 新しい Web UI 構成オプションによって Web UI の有用性が向上しています。

ドロップインモードでのアクティブ / パッシブ FireCluster 構成 — ドロップインモードおよびルートモードで構成された WatchGuard XTM デバイスに対応しています。 以下は FireCluster の Fireware XTM v11.4 以降へのアップグレードを目的として行う、このドキュメントでの新しいアップグレード手順であることにご注意ください。

Web Setup Wizard から XTM デバイスを有効化 — すでにセットアップした WatchGuard アカウントをお持ちの場合、 Web Setup Wizard から新しいデバイスを直接有効化することが可能です。

開始する前に

Fireware XTM v11.4 をインストールする前に、次のものがあることを確認してください。

WatchGuard System Manager v11.4 および、前バージョンである Fireware XTM v11 を使用するデバイスをもつ全ての WSM サーバーコンポーネントをインストールおよび使用することが可能です。 この場合、お使いの Fireware XTM OS バージョンに対応する製品マニュアルを使用することをお勧めします。

この製品に関するマニュアルは WatchGuard Web サイト、 www.watchguard.com/help/documentationでご覧いただけます。

ローカライゼーション

v11.4 リリースでは、Fireware XTM 管理ユーザー インターフェイス (WSM アプリケーション スイートおよび Web UI) がローカライズされました。 サポートする言語:

v11.4 リリースでは、これらの言語に加えて韓国語および繁体字中国語用にローカライズされた Web UI サポートが提供されます。 Web UI のみがローカライズされています。 これら 2 つの言語において、WSM、すべてのヘルプファイルおよびドキュメントは英語のままです。

ほとんどのデータ入力は、これまでと同様に標準 ASCII 文字を使用して行う必要があることにご注意ください。 非 ASCII 文字は、UI の以下のようなエリアで使用できます。

デバイスのオペレーティング システムから返されるあらゆるデータ (ログ データなど) は英語のみで表示されます。 また Web UI の [システム ステータス] メニューのすべての項目およびサードパーティにより提供されるあらゆるソフトウェア コンポーネントは英語のままとなります。

Fireware XTM Web UI

Web UI は、デフォルトによりユーザーが Web ブラウザで設定している言語で起動します。 現在選択されている言語名が、各ページの先頭に表示されます。 別の言語に変更するには、表示される言語名をクリックしてください。 言語のドロップダウン リストが表示され、使用する言語を選択することができます。

WatchGuard System Manager

WSM をインストールする際には、インストールする言語パックを選択することができます。 WSM で表示される言語は、ユーザーがお使いの Microsoft Windows 環境で選択した言語と同じです。 たとえば、Windows XP を使用していて WSM を日本語で使用する場合は、[コントロール パネル]>[地域と言語のオプション] へと進み、言語のリストから日本語を選択します。

Reporting Web UI、CA Manager、Quarantine Web UI、およびワイヤレス Hotspot

これらの Web ページは、ユーザーが Web ブラウザで選択した言語設定に従って自動的にその言語で表示されます。

Fireware XTM および WSM v11.4 オペレーティング システムの互換性

WSM/
Fireware XTM コンポーネント
Microsoft Windows XP SP2
(32 ビット)
Microsoft Windows Vista
(32 ビット)
Microsoft Windows Vista
(64 ビット)
Microsoft Windows 7
(32 ビット &
64 ビット)
Microsoft Windows Server
2003
(32 ビット)
Microsoft Windows Server 2008 & 2008 R2* Mac OS X
v10.5 & v10.6
WatchGaurd System Manager アプリケーション

Fireware XTM Web UI
対応ブラウザ:
IE 7 および 8、Firefox 3.x

WatchGaurd サーバー

シングル サインオン エージェント ソフトウェア

シングル サインオン クライアント ソフトウェア

Terminal Services エージェント ソフトウェア

Mobile VPN with IPSec クライアント ソフトウェア

 

Mobile VPN with SSL クライアント ソフトウェア

**

*Microsoft Windows Server 2008 32 ビットおよび 64 ビット サポート; Windows Server 2008 R2 64 ビット サポート。

** SSL VPN クライアントの Mac OS X サポートは 32 ビットモードのみです。

システム要件

  WatchGuard System Manager クライアント ソフトウェアのみインストールしている場合 WatchGuard System Manager および WatchGuard サーバーソフトウェアをインストールしている場合

CPU

Intel Pentium IV

1 GHz

Intel Pentium IV

2 GHz

メモリ

1 GB

2 GB

ディスクの空き領域

250 MB

1 GB

推奨画面解像度

1024x768

1024x768

ソフトウェアのダウンロード

  1. LiveSecurity Web サイトのソフトウェア ダウンロード ページ http://www.watchguard.com/archive/softwarecenter.asp へ行きます。
  2. LiveSecurity Web サイトにログインします。 使用する製品ラインを選択し、Fireware XTM のソフトウェア ダウンロード セクションを探します。

ダウンロードできるソフトウェア ファイルは複数あります。 各製品の下にあるそれぞれの説明を読んで、アップグレードに必要なソフトウェア パッケージを探してください。

WatchGuard System Manager

WatchGuard System Manager ソフトウェアは、すべてのユーザーがダウンロード可能です。 このソフトウェア パッケージは、WSM および WatchGuard Server Center ソフトウェアをインストールします。

WSM11_4s.exe WatchGuard System Manager を、 v10.2.x または v11.x から WSM v11.3.2。 にアップグレードする際にこのファイルを使用します。  

Fireware XTM OS

お使いのハードウェアに適した Fireware XTM OS イメージを選んでください。 Microsoft Windows OS を使用するコンピュータから OS をインストールする場合、.exe ファイルをダウンロードします。 Windows OS 以外を使用するコンピュータから OS をインストールする場合は .zip ファイルを使用します。

以下をお持ちの場合・・・ 対応する Fireware XTM OS パッケージを選択します

XTM 1050

XTM_OS_1050_11_4.exe 
XTM_OS_1050_11_4.zip

XTM 8 Series

XTM_OS_XTM8_11_4.exe
XTM_OS_8_11_4.zip

XTM 5 Series

XTM_OS_XTM5_11_4.exe
XTM_OS_5_11_4.zip

XTM 2 Series

XTM_OS_XTM2_11_4.exe
XTM_OS_2_11_4.zip

シングル サインオン ソフトウェア

シングル サインオンを使用している場合、ダウンロード可能なファイルは 2 つあります。

シングル サインオンのインストールや設定方法については、製品マニュアルをご覧ください。

Terminal Services 認証ソフトウェア

Windows および Mac 用 Mobile VPN with SSL クライアント

Mobile VPN with SSL をお使いの場合、ダウンロード可能なファイルは次の 2 種類です。

Fireware XTM v11.x から v11.4 へのアップグレード

Fireware XTM v11.x から Fireware XTM v11.4 へアップグレードする前に、ソフトウェアダウンロード ページへ行きます。 アップグレードする WatchGuard デバイス用のファイルをダウンロードし、保存します。 アップグレード作業は、Policy Manager および Web UI から行うことが可能です。 アップグレードを行う前に、デバイス構成および WatchGuard Management Server 構成をバックアップすることを強くお勧めします。 これら 2 つのバックアップファイルが無ければダウングレードすることができません。

WatchGuard ベータプログラムに参加されていて、プレリリースソフトウェアから Fireware XTM v11.4 にアップグレードする場合、WSM v11.4 をインストールする前に、お使いの管理コンピュータから WSM v11.4 プレリリースソフトウェアを手動でアンインストールする必要があります。 WSM をアンインストールする前に、デバイス構成および Management Server 構成をバックアップすることをお勧めします。 WSM 設定を同じバージョン番号をもつ WSM ソフトウェアで「上書き」することはできません。

WatchGuard Management Server 構成のバックアップ

Management Server をインストールしたコンピュータから:

  1. WatchGuard Server Center から、 [ファイル]>[バックアップ/復元] の順に選択します
    WatchGuard Server Center バックアップ/復元ウィザードが起動します。
  2. [次へ] をクリック します
    動作を選択する画面が表示されます。
  3. [バックアップの設定] を選択します
  4. [次へ] をクリック します
    [バックアップ ファイルを指定する] 画面が表示されます。
  5. [閲覧] をクリック し、 バックアップ ファイルの場所を選択します。 構成ファイルを保存するときは、後で構成を復元する場合にアクセスできる場所に保存します。
  6. [次へ] をクリック します
    [WatchGuard Server Center のバックアップ/復元ウィザードが完了しました] 画面が表示されます。
  7. [完了] をクリック し、 ウィザードを終了します。

お使いの Log Server、Report Server、Quarantine Server をバックアップします。

WSM v11.4 にアップグレードを行うと Log Server および Report Server のデータベース構造が変更されるため、WSM v11.3.2 へ戻る場合を想定して v11.3.x Log および Report Server のデータをバックアップすることが重要です。 お使いの場合、Quarantine Server のバックアップも行うことをお勧めします。

  1. WatchGuard Server Center から、Log および Report Server データベースがインストールされたディレクトリパスを書き留めておきます。 次に、全てのサーバーを停止します。
  2. [コントロールパネル] >[管理ツール]>[サービス] からPostgreSQL-8.2 Server を停止します。
  3. Log Server および Report Server 構成に含まれるディレクトリ内容をバックアップまたは複製します。
    Windows XP SP2 または Windows Server 2003 では、既定の設定を受け入れた場合、Log および Report Server のデータベースは以下の場所に存在します。
    %SYSTEMDRIVE%\Documents および Settings\WatchGuard
    Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 では、既定の設定を受け入れた場合 Log および Report Server のデータベースは以下の場所に存在します。
    %SYSTEMDRIVE%\ProgramData\WatchGuard
  4. 既定の設定から変更した場合、Log Server および Report Server のデータベースディレクトリをバックアップします。 Log Server および Report Server の [データベース管理] タブ の WatchGuard Server Center でデータベースの場所を見つけることができます。 既定では、データベースは手順 3 に記されたディレクトリに配置されており、この手順は必要ありません。
  5. 既定の設定から変更した場合、データベースバックアップファイルの保存場所である Log Server ディレクトリをバックアップします。 Log Server の [データベース管理] タブがこのディレクトリパスを表示します。
  6. 既定の設定から変更した場合、使用可能なリポートとして XML ファイルが保存されている Report Server ディレクトリをバックアップします。  Report Server の [サーバーの設定] タブがこのディレクトリパスを表示します。

Web UI から Fireware XTM v11.4 へのアップグレード

  1. [システム] > [イメージのバックアップ] の順に進むか、 または USB バックアップ機能を使用して現在の構成ファイルをバックアップします。
  2. WatchGuard ソフトウェア ダウンロード センターからダウンロードした OS ファイルを、管理コンピュータ上で起動します。
    Windows ベースのインストーラを使用する場合、このインストールによって xtm_[model].sysa-dl と呼ばれるアップグレードファイルが、既定位置である C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.4\[model] に抽出されます。
  3. お使いの XTM デバイスに Web UI を用いて接続し、 [システム]>[OS のアップグレード] の順に選択します
  4. 手順 2 より xtm_[model].sysa-dl ファイルの場所を閲覧し、 [アップグレード] をクリックします

WSM/Policy Manager v11.4 から Fireware XTM v11.4 へのアップグレード

  1. [ファイル] > [バックアップ] を順に選択します。 または USB バックアップ機能を使用して現在の構成ファイルをバックアップします。
  2. WatchGuard ソフトウェア ダウンロード センターからダウンロードした OS 実行ファイルを、管理コンピュータ上で起動します。 このインストールによって xtm_[model].sysa-dl と呼ばれるアップグレードファイルが、既定位置である C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.4\[model] に抽出されます。
  3. WatchGuard System Manager v11.4 をインストールして開きます。 お使いの XTM デバイスに接続し、Policy Manager を起動します。
  4. Policy Manager から、 [ファイル]>[アップグレード] の順に選択します。 指示に従って、手順 2 の xtm_[model].sysa-dl file ファイルを参照し、選択します。

WatchGuard サーバー ソフトウェアのアップグレード

v11.0.1 以降から WSM v11.4 にアップデートする場合、お使いの v11.0.x サーバーもしくはクライアント ソフトウェアをアンインストールする必要はありません。 既存のソフトウェアがインストールされた状態で v11.4 サーバーおよびクライアント ソフトウェアをインストールし、WatchGuard ソフトウェア コンポーネントをアップグレードすることができます。

FireCluster の Fireware v11.x から v11.4へのアップグレード

お使いの FireCluster を Fireware XTM v11.3.x または v11.4 プレリリース ソフトウェアからアップグレードする場合、手動でアップグレードを行う必要があります。

  1. WatchGuard System Manager から、 [ファイル]>[デバイスへ接続] の順に選択し、 お使いの FireCluster のマスターデバイスの管理 IP アドレスに接続します。
  2. WatchGuard System Manager から、 [ファイル]>[デバイスへ接続] の順に選択し、 お使いの FireCluster のバックアップ マスターデバイスの管理 IP アドレスに接続します。
  3. WatchGuard System Manager から、 [デバイス ステータス] タブ上のバックアップマスターデバイスを選択し、 Firebox System Manager を起動します。
  4. Firebox System Manager から、 [ツール]>[クラスター]>[終了] の順に選択します。 管理者パスワードを入力します。
    デバイスはスタンバイ状態で再起動します。 マスタはデバイスが非アクティブであると表示しますが、スタンバイのデバイスは、スタンバイ状態であることを示します
  5. WatchGuard System Manager から行う場合、クラスタから削除したバックアップ マスタデバイスを選択し、Policy Manager を起動します。
  6. Policy Manager から、 [ファイル]>[アップグレード] の順に選択します。 現在スタンバイ状態であるバックアップ マスタデバイスの管理 IP アドレスを使用します。
    デバイスがアップグレードおよび再起動します。 完了すると、デバイスはスタンバイ状態を保持します。
  7. WatchGuard System Manager から行う場合、マスターデバイスを選択し、Policy Manager を起動します。
  8. Policy Manager から、 [ファイル]>[アップグレード] の順に選択します。 マスターデバイスの管理 IP アドレスを使用します。 Policy Manager にアップグレードするデバイスの選択を促された場合、マスタデバイスのみを選択します。
    マスタデバイスがアップグレードおよび再起動します。 アップグレードが完了すると、Policy Manager はメッセージを表示します。
  9. 現在スタンバイ状態にあるデバイスに接続された Firebox System Manager から、 [ツール]>[クラスタ]>[追加] を選択します。
    スタンバイ デバイスが再起動します。 クラスタを再度ビルドし、Fireware XTM v11.4 を実行します。

ダウングレードに関する説明

WSM v11.4 から WSM v11.x へのダウングレード

WSM v11.4 から以前のバージョンへ戻したい場合、WSM v11.4 をアンインストールします。 アンインストールする場合、 アンインストーラが サーバー構成とデータファイルを削除するかどうかを尋ねるので、[はい] を選択します。 サーバー構成とデータファイルを削除した後、WSM v11.4 にアップグレードする前にバックアップしたデータおよびサーバー構成ファイルを復元する必要があります。

次に、WSM v11.4 にアップグレードする前に使用していたのと同じ WSM のバージョンをインストールします。 インストーラが既存のサーバー構成を見つけ出し、 [完了] ダイアログボックスよりお使いのサーバーを再起動しようと試みます。 WatchGuard Management Server を使用している場合、WatchGuard Server Center を使用し、WSM v11.4 にアップグレードする前に作成したバックアップ Management Server 構成を復元します。 全ての WatchGuard サーバーが動作していることを確認します。

Fireware XTM v11.4 から Fireware XTM v11.3 以前のバージョンへのダウングレード

Fireware XTM v11.4 から Fireware XTM の前のバージョンへダウングレードする場合、以下のいずれかを行います。

WatchGuard XTM 5 Series、8 Series、または XTM 1050 デバイスをリカバリーモードで起動するには、以下の手順を実行します。

  1. XTM デバイスの電源を切断します。
  2. フロント パネルの上矢印(↑)を押しながらデバイスの電源をオンにします。
  3. LCD ディスプレイに「Recovery Mode starting」と表示されるまで、ボタンを押下します。

WatchGuard XTM 2 Series デバイスをリカバリーモードで起動するには、以下の手順を実行します。

  1. 電源を切ります。
  2. デバイスに電源が接続されるまで、後部の [リセット] ボタンを押下します。
  3. 前部の [Attn] ライトがオレンジ色で点灯するまでボタンを押し続けます。

Application Control

新しい Application Control セキュリティサービスを使用すると、1500 以上ものアプリケーションをカテゴリ別に整理して細かく制御できます。 Application Control は頻繁に更新される署名セットを使用するため、アプリケーションおよびアプリケーションバージョンを最新に保つことができます。 署名の自動更新機能を有効化するか、または Firebox System Manager にデバイスを接続し、セキュリティ登録タブを選択して XTM デバイス上で署名の手動更新を行うことを推奨します。 署名を更新すると、IPS および Application Control の署名両方が更新されます。

Application Control を構成する、または Application Control レポートを確認する際、不明なアプリケーション名が表示される場合があります。 Application Control が認識できるアプリケーションに関する情報は、こちらのアドレス http://www.watchguard.com/SecurityPortal/AppDB.aspx から調べられます。

SLL を経由したアプリケーション管理

多くのウェブベースのアプリケーションは SSL (HTTPS) および HTTP からアクセスできます。 組織は、ユーザーにさらなるセキュリティを与えるために暗号化された通信を行う SSL 接続を提供しています。 SSL 暗号化により、Application Control がアプリケーションを検出するのをさらに難しくできます。 アプリケーションをブロックすると、そのアプリケーションの SSL ログインを特別にブロックし、そのアプリケーションへの全アクセスを確実にブロックする必要があります。

たとえば、 Google Finance アプリケーションのブロックを選択する場合、ユーザーが Google のファイナンス関連アプリケーションを使用することをブロックします。 しかし、ユーザーが SSL を介して Google Finance を使用することはブロックしません。 これをブロックする場合は、 SSL を経由した Google 認証のオプションを選択する必要があります。 ひとたび SSL を経由した Google 認証をブロックすると、SSL を経由したすべての Google アプリケーションはブロックされることにご注意ください。 例えば、SSL を通じて Google ドキュメントや Gmail にアクセスすることもできなくなります。

SSL を通じてアクセスすると、Microsoft と Yahoo のいくつかのアプリケーションにも同様の動作が起こることがあります。 Microsoft および Yahoo、そして Application Control のアプリケーション リストにあるその他のアプリケーション用に、SSL を通じた認証機能に対応する署名があります。 会社によっては、アプリケーションへの SSL アクセスをブロックし、許可された HTTP アクセスを経由した詳細な制御の構成を希望する場合もあります。

Application Control に関連する既知の問題の一覧は、 下記の 既知の問題 / セキュリティ登録 セクションをご覧ください。

IPS

Fireware XTM v11.4 リリースにおいて、IPS 機能が著しく向上しています。 さらなるパフォーマンスと効率をもつ新しい署名セットを実装しました。 IPS は、プロキシと使用するポートやプロトコルだけに制限されることはありません。 パケットフィルタ ポリシーにも適用することができます。 署名は分かりやすい 5 つの脅威レベルに分けられています。 各署名ディレクトリについての情報は UI から検索でき、右クリックすることで例外リストに簡単に加えることができます。

Fireware XTM v11.4 を使用すると、全てのポートにおけるトラフィックに適用するグローバル IPS アクションを作成できます。 組織のニーズに合わせて、ポリシーごとのレベルで IPS を有効または無効にすることが可能です。 IPS が有効化された全てのポリシーは、同じ IPS アクションを使用します。 構成の中で同時に複数の IPS アクションを使用することはできません。

この表には、XTM v11.4 の IPS と 以前の Fireware XTM リリースの IPS の違いが便利な一覧として記されています。

  Fireware XTM v11.4 の IPS 以前の Fireware XTM リリースの IPS
IPS 構成 IPS をグローバルに設定し、ポリシーごとに IPS を有効化および無効化する グローバル IPS 構成は IPS が有効化された全てのポリシーに適用されます。* ウィザードで IPS を有効化する。 ポリシーごとに IPS 設定を構成する必要があります。 IPS が有効化された各ポリシーは、異なる IPS 構成を有することができます。
ポリシーの IPS IPS はすべてのポリシーに対して自動的に有効になります。 IPS は全てのポートのトラフィックをスキャンします。 IPS は、DNS、FTP、SMTP、HTTP、POP3、および TCP/UDP プロキシポリシーのみに構成できます。
脅威レベル 5 つの脅威レベル: 重大、高、中、低、情報 1 から 100 の脅威レベル数値。 100 は最も重大な脅威を示します。
署名の例外 IPS を構成し、各署名例外に一致するトラフィックを許可、ブロック、ドロップすることができます。 IPS は署名例外に一致するトラフィックを許可します。
IPS 署名情報を閲覧する場所 Firebox System Manager の [登録サービス] タブにおいて、[表示] をクリックして各 IPS 署名情報を確認します。  
Fireware XTM Web UI で、 [登録サービス]>[IPS] の順に選択し、次に [署名] タブを選択し、各 IPS 署名情報を確認します。    
さらなる IPS 署名情報は WatchGuard の Web サイト http://www.watchguard.com/SecurityPortal/ThreatDB.aspx に掲載されています。    
このセキュリティ ポータルから、署名 ID を検索することが可能です。 必要に応じて CVE ID や Bugtraq ID、その他情報など、署名に関する詳細情報へのリンクは [署名 ID] をクリックして使用します。 Firebox System Manager では、 [登録サービス] タブ上で、[表示] をクリックして各 IPS 署名情報を確認します。  
CVE 識別子を持つ署名は、CVE 識別子 (CVE-ID) が Firebox System Manager の署名リストに表示されます。    
v11.3.x. の Fireware XTM Web UI には署名情報は備わっていません。    

* DPI と共に HTTPS を使用されるお客様は、HTTPS ストリームの暗号解読前に IPS スキャンが行われることにお気をつけください。暗号化された HTTPS ストリームの一部として XTM デバイスを経由する侵入攻撃をブロックするのに、IPS は効果的なツールではありません。

Fireware XTM v11.4 にアップグレードする際、IPS 構成は v11.4 構成オプションに適合するようにアップグレードされます。 アップグレード時:

Centralized Management

WSM v11.4 にはテンプレート使用に関する新しいワークフローが導入されています。 新しいワークフローは、管理対象である Firebox および XTM デバイスにかつてない制御レベルと柔軟性を与えますが、アップグレードを行う前にこの新しいワークフローを理解しておくことが重要です。

WSM v11.4 を使用すると、デバイスが構成テンプレートに登録することはもうありません。 代わりに、お使いのデバイスに複数のテンプレートを作成し適用することが可能です。 デバイスにテンプレートを適用すると、テンプレートの内容は、Management Server 上のデバイス用として保存された最新の構成ファイルと統合され、改訂版構成ファイルとして保存されます。 デバイスは、Management Server にアクセスするたびに、最新の構成ファイルを確認およびダウンロードします。

複数のテンプレートを作成し、デバイスまたはデバイスグループに一定の順序で、またはひとつずつ適用することができます。 複数デバイスのグループにテンプレートを適用する場合、それらデバイスのフォルダを作成し、そのフォルダにテンプレートをドラグ アンド ドロップします。

WSM v11.4 のもうひとつのパワフルな新テンプレート機能として、テンプレート継承があります。 この機能を使用すると、テンプレートが適用される際に、テンプレートの構成設定の値が、デバイス構成ファイルの同じ設定の値を上書きするかどうかを判断できます。 2 つのテンプレートに共通する構成設定が無い場合、どんな順序でも適用できます。 2 つのテンプレートに共通する構成設定が存在する場合は、デバイスにすでに適用した設定を誤って上書きしないように注意して、希望する順に適用を行う必要があります。または新しい継承設定を使用し、使用するデバイスでどのポリシーが更新されるかを制御します。

テンプレートへの変更は、管理対象デバイスに自動的に適用されないことを理解することが重要です。 テンプレートの変更をどのデバイスに適用するかを手動で選択する必要があります。 これにより、管理対象デバイスの構成アップデートにおけるさらなる制御が実現します。

WSM 旧バージョンでテンプレートに登録したデバイスと Centralized Management を使用していた場合、WSM 11.x から v11.4 へアップグレードを行うと、これらのテンプレートは更新され、デバイスの登録は行われなくなります(同じテンプレートを使用してデバイス更新を行うことはできますが、上記のワークフロー変更に影響されます)。 各デバイスはそれぞれのテンプレート構成を保持します。 既存のテンプレートはオブジェクト名に「T_」を使用するように更新されます (これにより登録に使用されるデバイスのオブジェクト名と一致します)。 アップグレードを行うと、改訂履歴にテンプレートのアップグレードが、アップグレードを行う間表示されます。

解決済みの問題

Fireware XTM v11.4 リリースでは、以前の Fireware XTM v11.x リリースで見つかった多くの問題点が解決されています。

全般

認証

シングル サインオン

CLI

Web UI

FireCluster

Mobile VPN

Branch Office VPN

ネットワーク

プロキシ

WatchGuard Log Server および Report Server

WatchGuard System Manager (WSM)

Firebox System Manager

既知の問題

Fireware XTM v11.4 およびすべての管理アプリケーションにおいて、既知の問題が存在します。 問題を回避する方法がある場合は、それも併記されています。

全般

WatchGuard System Manager

Workaround
WSM v11.x 実行ファイルで Windows XP 互換モードが有効になっていないことを確認してください。 確認するには、Windows Explorer に存在する wsm.exe ファイルを見つけます。 実行可能ファイル上で右クリックし、[プロパティ] を選択して [互換性] タブをクリックします。

Workaround
WatchGuard System Manager (WSM) から Management Server に接続します。 次に管理対象デバイスを選択し、 [デバイスの更新] を選択します。 ラジオボタンの選択 サーバー構成をリセットする (IP アドレス/ホスト名、共有シークレット)。

Workaround
WSM のアンインストールを開始する前に、WatchGuard Server Center を終了します。 これにより、WatchGuard System Manager を正しくアンインストールすることができます。

Web UI

WatchGuard Server Center

コマンド ライン インターフェイス (CLI)

プロキシ

Workaround
SIP の代わりに H.323 プロトコルを使用してください。

Workaround
1. HTTP プロキシ ポリシーを編集します。
2. [プロキシの 表示/編集] をクリックしますに接続します。
3. [変更されていない 範囲要求を許可]チェックボックスをオンにします。
4 XTM デバイスに変更を保存します。

Workaround
Contact ヘッダーではドメイン名ではなく IP アドレスを送信するように PNX を構成します。

セキュリティ登録

ネットワーク

Workaround
1. Web Setup Wizard の動作中にお使いのコンピュータが XTM 2 Series デバイスに直接接続されている場合は、コンピュータ上で静的 IP アドレスを使用してください。
2. Web Setup Wizard を実行する際に、お使いのコンピュータと XTM 2 Series デバイスの間にスイッチまたはハブを使用してください。

複数 WAN

認証

Centralized Management

FireCluster

Workaround
お使いの XTM デバイスに直接接続し、クラスタが有効になっていることを確認します。 クラスタが無効である場合、Policy Manger のある XTM デバイスに直接接続し、クラスタ構成をそのデバイスにロードします。 クラスタが有効となっている場合、管理 IP アドレスのある Firebox System Manager と直接接続して、 [クラスタ] > [ツール] > [加入] コマンドを使用します。 これにより、デバイスが再起動することがあります。

Workaround
プライマリまたはバックアップ クラスターインターフェイスの IP アドレスとして、既定 IP アドレスを使用しないでください。

ログ記録およびレポート

Workaround
Windows タスクマネージャを開いて、処理を停止します。 WatchGuard System Manager インストール ダイアログボックスから [再試行] をクリックしますに接続します。 インストールは適切に継続されるはずです。 その後で、C:\WINDOWS\system32\wbem\wmiprvse.exe を手動で開始します。

Mobile VPN

Workaround
キーの再生成を行うバイト数を増やしてください。

Workaround
お使いの Mobile VPN with SSL クライアントを、v11.2.1 から v11.3 へアップグレードするには、Web ブラウザを使用して https://<IP address of a Firebox or XTM device>/sslvpn.htmlに接続します。 そこから新しいクライアント ソフトウェアをダウンロードし、インストールすることができます。 あるいは、ソフトウェア ダウンロード ページからクライアント ソフトウェアをダウンロードしてユーザーに電子メールで送信し、ユーザーのコンピュータにインストールすることもできます。

Branch Office VPN

Workaround
複数 WAN を使用しており、Branch Office VPN トンネルがリモートピアとのネゴシエーションに失敗するという問題が起こっている場合、複数 WAN 構成を開き、選択されている複数 WAN 構成モードの隣にある [構成] を選択します。 複数 WAN 構成に適切なインターフェイスが含まれていることを確認してください。

Workaround
トンネル ルートのローカルまたはリモート部分に対して、 [任意] を使用しないでください。 トンネル ルートのローカル部分を変更します。 トンネル ルートに実際に関わっている Firebox の配下にあるコンピュータの IP アドレスを入力します。 トンネル ルートのリモート部分(またはフェーズ 2 ID のリモート部分)に対してデバイスが何を使っているか、リモート IPSec ピアの管理者に問い合わせます。

Web サービス API へ更新

ログ記録またはレポートにWeb サービス API を使用する場合は、WSM v11.4 に適応した新しいレポートタイプが使用可能で、Web サービス API が対応しているスキーマバージョンに更新することが必要です。 新しいレポートには以下が含まれます。

Fireware XTM v11.4 と互換性をもつために、Web サービスクライアントは LogsService.wsdl ファイルからスタブコードを再生成し、そのユーザーコードのスキーマバージョンへすべてのリファレンスを更新する必要があります。 たとえば、以下のコードでは「2010/04」から「2010/11」に更新する必要があります。

例 WSM v11.3 Java コード使用

javax.xml.namespace.QName qName = new javax.xml.namespace.QName(
"http://www.watchguard.com/schema/xsd/LogsService/2010/04",
"AuthCredentials"
);

更新 WSM v11.4 Java コード使用

javax.xml.namespace.QName qName = new javax.xml.namespace.QName(
"http://www.watchguard.com/schema/xsd/LogsService/2010/11",
"AuthCredentials"
);

CLI の使用

Fireware XTM CLI (コマンドライン インターフェイス)は v11.x リリースで完全にサポートされています。 CLI を起動して使用する方法については、 「CLI コマンド リファレンス ガイド」をご覧ください。このリリースに対応するように更新されています。 CLI ガイドはこちらのドキュメンテーション Web ページ http://www.watchguard.com/help/documentation/xtm.asp からダウンロードが可能です。

技術サポート

技術的なサポートについては、WatchGuard テクニカルサポートまでお電話で、または Web サイト http://www.watchguard.com/support からお問い合わせください。 技術サポートへのお問い合わせ時には、登録済みの製品シリアル番号、LiveSecurity キー、パートナー ID のいずれかをお手元にご用意ください。

 電話番号
米国のエンド ユーザー877-232-3531
米国以外のエンド ユーザー+1-206-613-0456
WatchGuard 正規販売代理店206-521-8375

Give us feedback  •   All product documentation  •   Knowledge Base