Sophos UTM 9 - Amazon Simple Storage Service (S3 ... 価対象製品バージョン：Sophos UTM 9.2 以降作成日時作成担当者変更内容改訂版数 ... 5.2 Sophos UTM

Copyright© 2014 Sophos K.K.

1/51

Sophos UTM 評価導入手順書

Sophos UTM 9

評価導入手順書

ネットワークプロテクション編

第 1.1 版

本ドキュメントに関する注意事項

このドキュメントは、一般的な評価環境を、もっとも簡単なステップで構築するための補助資料で

あり、導入に際して必要な全てのトピックについて網羅・解説することを意図したものではありま

せん。個々のトピックについての詳細は、弊社 Web に公開されております製品マニュアル及びナレ

ッジベース記事をご確認頂けますようお願い致します。

尚、弊社テクニカルサポートでは、本ドキュメントに関するサポートは行っておりません。本ドキ

ュメントに関してご質問を頂く場合は、セールスエンジニアリング部までご連絡頂くか、該当箇所

をマニュアルで確認のうえ、テクニカルサポートまでご質問ください。

- ソフォス株式会社 http://www.sophos.com/ja-jp/

- マニュアル http://www.sophos.com/ja-jp/support/documentation.aspx

- ナレッジベース http://www.sophos.com/ja-jp/support/knowledgebase.aspx

- セールスエンジニアリング部メールアドレス [email protected]


2/51


評価対象製品バージョン：Sophos UTM 9.2 以降

作成日時作成担当者変更内容改訂版数

2015/01/26 新規作成第 1.0 版

2015/02/10 Sales Engineer 「3.2 DNAT ルールを設定する」を修正第 1.1 版

2015/02/10 Sales Engineer 「Sophos UTM の SSLVPN 接続を設定す

る」を修正

第 1.1 版


3/51


目次

1 はじめに ............................................................................................................................................. 5

2 ファイアウォール ........................................................................................................................... 10

2.1 許可する通信を追加する ............................................................................................................... 10

2.2 登録したファイアウォールルールを無効化する ....................................................................... 16

2.3 登録したファイアウォールルールを削除する ........................................................................... 17

2.4 送受信国ブロックステータスを設定する ................................................................................... 18

2.5 送受信国除外を設定する ............................................................................................................... 19

2.6 ICMP を設定する .............................................................................................................................. 21

2.7 詳細を設定する ............................................................................................................................... 22

2.8 ライブログを確認する ................................................................................................................... 23

3 NAT .................................................................................................................................................... 24

3.1 マスカレードを設定する ............................................................................................................... 24

3.2 DNAT ルールを設定する ................................................................................................................. 26

4 侵入防御（IPS） .............................................................................................................................. 28

4.1 グローバルを設定する ................................................................................................................... 28

4.2 攻撃パターンを設定する ............................................................................................................... 30

4.3 DoS フラッド防御を設定する ........................................................................................................ 31

4.4 ポートスキャン防御を設定する ................................................................................................... 32

4.5 除外の設定を設定する ................................................................................................................... 33

4.6 詳細を設定する ............................................................................................................................... 35

4.7 侵入防御（IPS）機能を確認する .................................................................................................. 37


4/51


5 SSLVPN ............................................................................................................................................... 38

5.1 ユーザポータル機能を有効化する ............................................................................................... 38

5.2 Sophos UTM の SSLVPN 接続を設定する ....................................................................................... 40

5.3 SSLVPN 設定ツールのダウンロードと配布を行う ...................................................................... 45

5.4 SSLVPN 設定ツールをインストールする ...................................................................................... 47

5.5 SSLVPN によるリモート接続確立を確認する .............................................................................. 50


5/51


1 はじめに

このたびは Sophos UTM をご評価いただきまして誠にありがとうございます。

評価導入における本ドキュメントの位置づけは以下のとおりです。

目的: Sophos UTM「ネットワークプロテクション」の機能および基本的な設定方法に関

して理解すること。

内容: Sophos UTM「ネットワークプロテクション」における設定例を記載すること。

対象: Sophos UTM「ネットワークプロテクション」の設定を確認・学習したい方。

本手順書における評価手順につきましては、事前に<ベースシステム編>に記載されている必要

な設定を一通り行っていることを前提に説明しています。<ベースシステム編>に記載された手

順を実施の上、本書の手順に進んでいただきますようお願いします。

本手順書により習得できる内容は以下になります。

Sophos UTM を介する通信の制御方法

Sophos UTM の機能を用いてWAN→LANへクライアントを接続する方法

Sophos UTM に対する外部からのサイバー攻撃を遮断する方法

本手順書は、上記それぞれが独立した構成になっています。各章の内部では、原則として番号

順に実施していただくよう作成してあります。実際の評価では内容を確認の上、必要な手順の

みを設定して次へ進んでください。

サブスクリプションにより利用可能となる他のプロテクションの手順については、本書には記

載しておりません。別紙の「Web プロテクション編」「Email プロテクション編」「Web サー

バープロテクション編」をご参照ください。


6/51


本手順書の次章以降における主な流れは、以下のとおりです。

2. ～ 3. ファイアウォールや NAT 変換により、UTM を介した通信を制御する方法

4. UTM の外部から不正侵入に対する侵入防御（IPS）を設定する方法

5. SSL-VPN により、WAN 側のネットワークから LAN 側のセグメントへ接続する方法

本ドキュメントにおける設定項目は以下のとおりです。

（1）ファイアウォール

・ルール（通信の送信元、サービス、宛先）の作成

・作成したルールの有効化、無効化、削除

（2）NAT 機能

・マスカレード

・新規マスカレードルールの作成

・作成したマスカレードルールの有効化

・DNAT

・新規 DNAT ルールの作成

・作成した DNAT ルールの有効化

（3）侵入防御（IPS）機能

・IPS 機能の有効化

・保護対象ネットワークの指定

・攻撃パターンの指定

・パターン最適化設定とパフォーマンスチューニングの指定

（4）SSLVPN 接続

・ユーザポータル機能の有効化

・SSLVPN 接続によるリモートアクセスの有効化

・リモートアクセスを許可する内部ネットワーク、ユーザの指定


7/51


以下は本手順書で想定しているシステム構成図です。管理端末には、Windows などの Web ブラ

ウザを利用することができる PC をご利用ください。

【構成例 1】

図中の各機器の用途は以下のとおりです。

1. 管理端末

Sophos-UTM の設定に使用します。

2. SSLVPN クライアント PC

インターネット環境から SSLVPN により内部ネットワークにリモートアクセスします。

3. 外部公開用 Web サーバ

DNAT による外部ネットワークから内部ネットワークに設置しているサーバへのアクセ

スや SSLVPN によるリモートアクセスの確認に使用します。

4. 内部サーバ

SSLVPN によるリモートアクセスを行った際に、共有サービスへのアクセスの可否を確認

する際に使用します（管理端末などでも代替できます）。

外部ネットワーク

（WAN）

内部ネットワーク

（LAN）

管理端末

インターネットアクセス

内部サーバ

SSLVPN

クライアント PC

インターネット

Sophos UTM

DNAT による

Web サーバアクセス

Web サーバ


8/51


【構成例 2】

評価環境によっては、外部インターネットのアクセスに制限があるケースが考えられます。こ

のような場合は内部のネットワーク（下図 LAN1）とは別に検証用のネットワーク（下図 LAN2）

を設け、LAN1 側に Web サーバを用意し、LAN2 からファイアウォールを越えて接続できる環境

をご検討ください。SSLVPN を利用したリモートアクセスにおいては、LAN1 側のクライアント

PC から SSLVPN 通信により、通信の検証ができるようになります。

図中の各機器の用途は以下のとおりです。

1. 管理端末

Sophos-UTM の設定に使用します。

2. SSLVPN クライアント PC

内部ネットワーク（LAN1）から SSLVPN により内部ネットワーク（LAN1）にリモートア

クセスを行います。

3. Web サーバ

外部インターネットへアクセスする代わりに、内部ネットワークの別セグメントに Web

Sophos UTM

Web サーバ SSLVPN

クライアント PC

内部サーバクライアント PC

外部ネットワーク

（WAN）


（LAN2）

インターネット

管理端末

ルータ/ファイアウォール


（LAN1）


9/51


サーバを設置し、ファイアウォールによる HTTP 通信の可否の確認や DNAT による Web

サーバへのアクセスを確認する際に使用します。

4. 内部サーバ

SSLVPN によるリモートアクセスを行った際に、共有サービスへのアクセスの可否を確認

する際に使用します。ただし、リモートアクセスの通信の確立の確認は他の方法もある

ため、必須ではありません。

本手順書におきましては、<ベースシステム編>で下記を設定後、【構成例 1】の環境における

評価手順を説明します。【構成例 2】の環境では、適宜内容を読み替えたうえで、評価手順を

実施してください。

【ベースシステム編における設定作業が必要な事項】

初期設定（全ての項目）

10.1 インタフェースの設定を追加する

10.2 追加アドレスを設定する（LAN2 の作成を行います。）

11 ネットワークサービス

本手順書におきましては、外部ネットワークからのリモートアクセスを紹介しておりますが、

接続する際にセキュリティーポリシーや設定等をご確認いただくよう、お願いいたします。

本手順書では画面表示されている文言を本文中でも使用していますが、その際、画面に記載さ

れているスペースや記号等は引用していません。文言の検索時にはご注意ください。


10/51


2 ファイアウォール

2.1 許可する通信を追加する

特定のプロトコルの通信を許可するルールを追加するには、以下の手順を実行します。

デフォルトでは暗黙の拒否ルールにより、登録されたルールセットを除くすべてのネットワー

クがブロックされます。内部から外部への通信が遮断されることを、外部サイトあるいは Web

サーバなどへのアクセスにより検証してください。

(1) 左メニューから[ネットワークプロテクション]⇒[ファイアウォール]を開き、[新規ルール]

をクリックします。


11/51


(2) 新規ルールの作成画面が表示されますので、[グループ]、[優先順位]、[送信元]、[サービス]、

[宛先]、[アクション]の各項目が表示されることを確認します。

(3) [グループ]を指定します。

(4) [優先順位]を指定します。初めてファイアウォールルールを作成する場合は、「最上位」、

「最下位」のどちらかを指定します。ここでは、デフォルトの「最下位」を選択します。


12/51


(5) [送信元]を指定します。新たに送信元の情報を追加する場合は、をクリックして(6)に進

んでください。登録されている送信元の情報を利用する場合はをクリックして(7)に進ん

でください。

(6) [ネットワークオブジェクトを追加]画面が開きますので、[名前]、[タイプ]等の必要な項目を

入力して[保存]をクリックしてください。

(7) 登録されているネットワークオブジェクトを追加するには、左側に表示されるリストから

追加したいオブジェクトをドラックアンドドロップで[送信元]の枠内にコピーしてくださ

い。ここでは独自に作成した[内部ネットワーク]を使用しています。


13/51


(8) [サービス]を指定します。ここでは Web サイトへのアクセスを許可しますので、をクリ

ックして画面左側にサービスのリストを表示させ、[HTTP]をドラッグアンドドロップして

[サービス]の枠内にコピーしてください。新しくサービスを追加する場合は、をクリッ

クしてサービスを登録することができます。

(9) [宛先]を指定します。ここでは、全ての Web サイトに対するアクセスを許可しますので、

をクリックして、画面左側にネットワークオブジェクトのリストを表示され、「Any」を

ドラックアンドドロップして[宛先]にコピーします。新しくサービスを追加する場合は、

をクリックしてサービスを登録できます。


14/51


(10) [アクション]を指定します。ここでは、Web サイトへの通信を許可しますので、[許可]を

選択してください。

(11) [コメント]欄の入力は任意です。必要に応じてコメントを入力してください。

(12) 必要事項の入力が完了したら[保存]をクリックして入力内容を保存してください。

(13) [詳細]をクリックすると、設定項目が表示されます。ルールを適用する時間帯、トラフィ

ックのログの取得、送信元 MAC アドレスについての設定することができますので、必要に

応じて入力してください。

(14) 保存すると、[ファイアウォール]のルール一覧の画面に戻ります。作成したルールが一覧

に表示されていることを確認してください。画面左側に表示されるネットワークオブジェ

クト等の一覧を消す場合は、右上のをクリックしてください。


15/51


(15) 作成したファイアウォールルールはデフォルトではオンになっていませんので、オンに

切り替えるには、をクリックして、表示をに切り替えます。


16/51


2.2 登録したファイアウォールルールを無効化する

「2.1 許可する通信を追加する」で有効化したファイアウォールルールを無効にするには以下の

手順を実行します。

(1) ファイアウォールルールをオフに切り替えるには、をクリックして、に切り替えます。


17/51


2.3 登録したファイアウォールルールを削除する

「2.1 許可する通信を追加する」でファイアウォールルールを削除するには、以下の手順を実行

します。

(1) 削除したいファイアウォールルールの[削除]をクリックします。

(2) 削除を確認するメッセージが表示されますので、削除を実行する場合は、[OK]をクリックし

ます。


18/51


2.4 送受信国ブロックステータスを設定する

送受信国ブロックステータスを設定するには、下記の手順を実行します。この項目を設定する

と、ブロック対象とした国への全ての通信がブロックされます。

(1) 左メニューから[ネットワーク]⇒[ファイアウォール]を開き、[送受信国別ブロック]をクリッ

クします。

(2) デフォルトでは機能はオフになっていますので、をクリックしてオンに切り替え、

送受信をブロックする国を指定してください。

(3) 対象の国を選択したら、対象国一覧の右下に表示される[適用]をクリックして、選択状況を

反映させてください。


19/51


2.5 送受信国除外を設定する

[送受信国除外]を設定するには、下記の手順を実行します。ここでは送受信国ブロックステータ

スで設定した地域の中から、送受信をブロックしない国を除外指定できます。また、適用する

送信元もしくは発信元のネットワーク、使用するサービスを指定することができます。

(1) 左メニューから[ネットワーク]⇒[ファイアウォール]をクリックし、[送受信国除外]をクリッ

クしてください。新規に除外リストを作成する場合は、[新規除外リスト]をクリックします。

(2) 除外リストを作成に必要な項目を入力してください。入力項目は、[名前]、[コメント]、[ブ

ロックしない国]、[対象リクエスト]、[使用サービス]となっております。必要項目の入力が

完了したら、[保存]をクリックして設定内容を保存してください。


20/51


(3) 作成した設定を保存すると、[送受信国除外]の一覧に戻りますので、作成した設定が表示さ

れていることを確認してください。保存されると、登録された設定は自動的にオンになり

ます。


21/51


2.6 ICMP を設定する

[ICMP]に関する設定を行うには、下記の手順を実行します。この項目では、ping や traceroute

などの ICMP パケットの処理方法を設定できます。

(1) 左メニューから[ネットワーク]⇒[ファイアウォール]を開き、表示される画面で[ICMP]タブを

クリックします。

(2) 設定項目は大きく分けて「グローバル ICMP 設定」、「Ping 設定」、「Traceroot 設定」の 3

つがあります。必要項目を選択し、ぞれぞれの項目の[適用]をクリックすることで設定を反

映できます。設定後、ping コマンドや tracert コマンドにより通信の疎通を確認してくださ

い。


22/51


2.7 詳細を設定する

その他の詳細な事項を設定するには、下記の手順を実行します。

(1) 左メニューから[ネットワーク]⇒[ファイアウォール]を開き、表示される画面で[詳細]タブを


(2) 設定項目は大きく分けて[コネクショントラッキングヘルパ]、[プロトコル処理]、[ロギング

オプション]の 3 つの項目があります。必要項目を選択し、ぞれぞれの項目の[適用]をクリッ

クして設定を反映させてください。


23/51


2.8 ライブログを確認する

ファイアウォールの動作状況をライブログで確認するには、下記の手順を実行します。

(1) 左メニューから「ネットワークプロテクション」⇒「ファイアウォール」を開き、表示され

る画面で「ルール」タブをクリックします。［ライブログを開く］ボタンをクリックして

ライブログを表示します。設定したルールが適切に動作しているかどうかを確認できます。

(2) ファイアウォールルールをオンにしたりオフにしたりして通信されているパケットの状態

をご確認ください。

※ ファイアウォールにより遮断されたパケットの状況がログに記載されます。たとえば、

HTTP のアクセスを許可したルールを無効にした場合、遮断されたことを示すログがリ

アルタイムで記録されます。


24/51


3 NAT

3.1 マスカレードを設定する

マスカレードの機能を利用して内部ネットワークから外部のネットワークへアクセスするには、

下記の手順を実行します。

(1) 左メニューから「ネットワークプロテクション」⇒「NAT」を開き、表示される画面で「マ

スカレード」タブをクリックします。

(2) 新規でマスカレードルールを作成する場合は［新規マスカレードルール］をクリックしま

す。[新規のマスカレードルールの作成]が表示されるので、下記の要領で必要事項を入力し、

[保存]をクリックします。

[ネットワーク]：発信元となるネットワークを入力します。ここでは、内部ネットワークの

[Internal(Network)]を指定します。

[優先順位]：優先順位を指定します。ここではデフォルトの「最下位」を選択します。

[I/F]：マスカレードを使用して通信を行うネットワークのインタフェースを利用します。


25/51


ここでは、外部ネットワークの[External(WAN)]を選択します。

使用アドレス：使用するアドレスを指定します。ここでは「<<プライマリアドレス>>」の

みが選択可能です。

コメント：入力は任意です。一覧においても表示されます。

(3) 設定すると下図のようにマスカレードルールが設定されます。デフォルトでは有効化され

ていないため、ボタンで有効化します。

(4) ファイアウォールとマスカレードの設定後、必要に応じて下図のように外部の Web サイト

にアクセスするなどにより、通信を確認してください。なお必要なサイトにアクセスする際

には、アクセスする端末のデフォルトゲートウェイの設定値が UTM のインタフェースと同

一であることを事前に確認してください。


26/51


3.2 DNAT ルールを設定する

DNAT(Destination NAT)ルールを設定するには、以下の手順を実行します。

ここではインターネット上の任意のユーザから、HTTP プロトコルで UTM の WAN 側インタフェ

ースの公開用 IP アドレスへアクセスすることで、【構成例 2】内部ネットワークの別セグメン

ト Web サーバの IP アドレスへ変換され、Web 閲覧可能となる想定の解説となります。

(1) 左メニューから「ネットワークプロテクション」⇒「NAT」を開き、表示される画面で「NAT」

タブをクリックします。

(2) 以下を設定します。

1. 順位：「最上位／最下位／グループの先頭／グループの末尾」から選択し、ルールタ

イプは「DNAT(宛先)」を選択します。

2. マッチング条件：トラフィック送信元、サービス、トラフィック宛先を設定します。

ここでは以下のとおり設定します。

トラフィック送信元：Any

サービス：HTTP

トラフィック宛先：UTM の WAN 側インタフェースに設定した公開用 IP アドレス

(別紙｢Sophos UTM 評価導入手順書ベーシックシステム編｣の｢10.2 追加アドレスを

設定する｣を参照し、外部公開用 IP アドレスの設定が別途必要)

3. アクション：ルールに一致したときのアクションとして変更後の宛先、変更後のサー

ビスを適宜設定します。ここでは以下のとおり設定します。

変更後の宛先：内部ネットワークの別セグメント Web サーバの IP アドレス

変更後のサービス：HTTP

4. 自動的にこのトラフィックの通過を許可するファイアウォールルールを作成する場合

は「自動ファイアウォールルール」をチェックします。

必要に応じて、複数の手順でルールをグループにまとめることもできます。


27/51


(3) 設定すると下図のように DNAT ルールが設定されますので、をクリックして有効化

します。

(4) 設定をテストします。WAN 側クライアント PC から UTM の WAN 側インタフェースの公開

用 IP アドレスに HTTP プロトコルでアクセスすることで、直接 Web サーバの内容が表示さ

れるようになります。


28/51


4 侵入防御（IPS）

ここでは、外部ネットワークから内部ネットワークに対する不正アクセスに対する防御機能で

ある、「侵入防御（IPS）」について説明します。

4.1 グローバルを設定する

[侵入防御（IPS）]の機能をオンにし、対象のネットワークを追加するには、下記の手順を実行

します。

(1) [ネットワークプロテクション]⇒[侵入防御(IPS)]を開き、[グローバル]タブを開きます。デフ

ォルトの機能はオフになっているのでをクリックして機能をオンにします。

(2) [ローカルネットワーク]には、保護対象となるネットワークオブジェクトを入力します。新

規にネットワークオブジェクトを追加するにはをクリックして、必要事項を入力して

登録します。既に登録されているネットワークオブジェクトを追加する場合はをクリッ

クして、画面左側に表示されるリストからドラックアンドドロップします。


29/51


(3) 保護対象のネットワークを追加したら、[適用]をクリックします。設定が反映されると、 [適

用]の左側に[グローバル IPS 設定は保存されました]と表示されます。


30/51


4.2 攻撃パターンを設定する

ネットワークに対する攻撃の種類ごとに侵入防御（IPS）を設定するには、以下の手順を実行し

ます。

(1) [ネットワークプロテクション]⇒[侵入防御（IPS）]を開き、[攻撃パターン]タブを開きます。

攻撃の種類は大きく分けて以下の 6 種類があり、それらに対する詳細な攻撃パターンに対

して個別に設定できます。

OS 固有の攻撃

サーバに対する攻撃

クライアントソフトウェアに対する攻撃

プロトコルアノマリー

マルウェア

(2) アクションの設定が完了したら、画面を下にスクロールさせ、[適用]をクリックします。

※ 設定の反映が終了すると、[適用]の左側に「攻撃パターンは保存されました」と表示さ

れます。


31/51


4.3 DoS フラッド防御を設定する

[侵入防御（IPS）]機能を有効にした際に、DoS フラッドに対する防御の種別を設定するには、

下記の手順を実行します。

(1) [ネットワークプロテクション]⇒[侵入防御（IPS）]を開き、[攻撃パターン]タブを開きます。

DoS フラッド防御の種類は以下の 3 種類があり、それぞれ個別の設定を行うことができま

す。

TCP SYN フラッド防御

UDP フラッド防御

ICMP フラッド防御

設定が終了したら、項目ごとに[適用]をクリックして設定内容を反映させてください。


32/51


4.4 ポートスキャン防御を設定する

[侵入防御（IPS）]機能を有効にした際に、ポートスキャンに対する防御のアクションを設定す

るには、下記の手順を実行します。

(1) [ネットワークプロテクション]⇒[侵入防御（IPS）]を開き、[ポートスキャン防御]タブを開き

ます。

デフォルトでは、機能はオフの状態ですのでをクリックして機能をオンにします。

[アクション]のプルダウンリストから、ポートスキャンに対するアクションを選択し [適用]


設定内容が反映されると、[適用]の左側に「変更は適用されました。」と表示されます。


33/51


4.5 除外の設定を設定する

[侵入防御（IPS）]機能を有効化した際、特定のネットワークに対して防御機能の除外設定をす

るには、下記の手順を実行します。

(1) [ネットワークプロテクション]⇒[侵入防御（IPS）]を開き、[除外]タブを開きます。デフォル

トでは除外リストは登録されておりませんので、[新規除外リスト]をクリックします。

(2) 除外リストに登録する防御機能、防御機能を除外する対象ネットワークを選択し、[保存]を



34/51


(3) 設定が保存されると一覧に表示されます。デフォルトでは有効になっていないため、



35/51


4.6 詳細を設定する

[侵入防御（IPS）]機能を有効にした際の、防御機能の詳細なアクションを設定するには、下記

の手順を実行します。

(1) [ネットワークプロテクション]⇒[侵入防御（IPS）]を開き、[詳細]タブを開きます。

設定項目は大きく分けて、以下の 3 種類があります。

1. パターン最適化設定

2. マニュアルルール変更

3. パフォーマンスチューニング

[ファイルに関連したパターンを有効化]や[パフォーマンスチューニング]を使用する場合

は、設定後[適用]をクリックしてください。


36/51


(2) [マニュアルルール変更]で、をクリックすると[ルール変更]画面が表示されますので、必

要事項の入力やチェックボックスやプルダウンリストにて選択を行い、[保存]をクリックし

ます。


37/51


4.7 侵入防御（IPS）機能を確認する

侵入防御（IPS）の設定後、実際に Linux の nmap コマンドなどによりポートスキャンを試し、

機能を確認してください。


38/51


5 SSLVPN

外部ネットワークから内部のネットワークにアクセスするために、VPN 接続を設定することが

できます。ここでは、SSLVPN によるリモートアクセスの設定について説明します。

5.1 ユーザポータル機能を有効化する

SSLVPN の機能を有効化するには、下記の手順を実行します。SSLVPN によるリモートアクセスで

は、外部から接続を行う端末にツールを設定する必要があります。設定用のツールをダウンロ

ードできるようにするため、[ユーザポータル]の機能を有効化します。

(1) [マネジメント]⇒[ユーザポータル]を開き、[グローバル]タブを開きます。デフォルトでは、

機能はオフの状態ですので、をクリックして表示を、に切り替え、機能をオ

ンにします。

(2) [許可するネットワーク]にユーザポータルへのアクセスを許可するネットワークを追加し、

[適用]をクリックします。


39/51


(3) 続いてユーザポータルの表示言語設定を行います。日本語表示にする場合は、[詳細]タブを

クリックして開き、[フォールバック言語]を[Japanese]とし、[適用]をクリックします。

(4) [ユーザポータル]のトップ画面のメッセージの内容を変更するには、 [ウェルカムメッセー

ジ]を編集し、[適用]をクリックします。日本語を用いて編集することもできます。

※ [フォールバック言語]はメニュー表示にのみ適用され、[ウェルカムメッセージ]の言語

には適用されません。


40/51


5.2 Sophos UTM の SSLVPN 接続を設定する

SSLVPN を利用するためには、下記の手順を実行します。この項目を設定することにより、外部

ネットワークから内部のネットワークにアクセスするため、SSL でリモートアクセスするための

プロファイルを作成し、その中に VPN 設定ツールを配布するユーザを設定します。

(1) 左メニューから「リモートアクセス」⇒「SSL」を開き、表示される画面で「新規リモート

アクセスプロファイル」をクリックします。

(2) [プロファイル名]に作成するプロファイルの名称を入力してください。

※ ここでは、「SSLVPN 接続」と入力しています。


41/51


(3) [ユーザとグループ]を指定します。新たに送信元の情報を追加する場合は、をクリックし

て(4)に進んでください。登録されている送信元の情報を利用する場合は、をクリックし

て(5)に進んでください。

(4) [ユーザを追加]画面が開きますので、SSLVPN 設定ツールを配布するユーザの[ユーザ名]、[リ

アルネーム]、[メールアドレス]、[認証]、[パスワード]等の必須項目を入力して[保存]をクリ

ックしてください。


42/51


(5) 登録されているネットワークオブジェクトを追加するには、左側に表示されるリストから追

加したいオブジェクトをドラックアンドドロップで[送信元]の枠内にコピーしてください。

ここでは、独自に作成した[testuser]を使用しています。

(6) [ローカルネットワーク]にリモートアクセスによってアクセスするネットワークを入力し

ます。新規にネットワークオブジェクトを追加する場合は、をクリックして、必要事項

を入力して登録してください。既に登録されているネットワークオブジェクトを追加する場

合は、をクリックして、画面左側に表示されるリストからドラックアンドドロップして

ください。


43/51


(7) [自動ファイアウォール]適用の選択チェックボックス、必要であれば[コメント]欄に必要事

項を入力して、[保存]をクリックしてください。これにより、ファイアウォールに接続を許

可するルールが自動で追加できます。

(8) 必要事項の入力が終わったら、[保存]をクリックして入力した内容を保存してください。


44/51


(9) 保存が完了すると、SSL の設定一覧画面が表示されます。作成したプロファイルは、デフォ

ルトでは保存したタイミングからオンになっています。オフに切り替える場合は、を

クリックしてください。左側に表示されているネットワークオブジェクトの一覧を消す場合

は、右上のをクリックしてください。

(10) SSLVPN サーバを UTM のホスト名で名前解決できない場合、以下のとおり、[設定]タブの[ホ

スト名を上書き]に”UTM の WAN 側 IP アドレス”を入力し[適用]をクリックしてください。


45/51


5.3 SSLVPN 設定ツールのダウンロードと配布を行う

SSLVPN によるリモートアクセスを行うには、アクセスする端末に VPN クライアントツールを設

定する必要があります。クライアントツールを配布する運用としては、管理者がダウンロード

してユーザに配布する方法とユーザ自身がダウンロードする方法がありますが、ここでは、管

理者が配布を行う場合について説明します。

(1) ユーザポータルに SSLVPN 設定ツールを配布する管理者のアカウントでログインし、

「testuser」用の SSLVPN 設定ツールをダウンロードします。

ユーザポータルへのアドレスは「https://<<Sophos-UTM の IP アドレス>>」です。Webadmin

と異なり「:4444」が不要であることにご注意ください。

(2) ユーザポータルにログインしたら、上部画面にて[リモートアクセス]をクリックします。


46/51


(3) リモートアクセスに使用する端末のインストール用ツールをダウンロードします。

※ ここでは、Windows7 の端末を例に説明します。

(4) ダウンロードしたツールをユーザに配布してください。また、SSLVPN 接続には、ログイン

ID とパスワード（ここでは「testuser」用のアカウント情報）が必要となりますので、併せ

てユーザに通知してください。


47/51


5.4 SSLVPN 設定ツールをインストールする

リモートアクセスを設定するには、下記の手順を実行します。ここでは、「5.2 SSLVPN 設定ツ

ールのダウンロードと配布」でユーザに配布されたツールを使用してセットアップを行う手順

を行います。

(1) 設定を行う端末で SSLVPN 設定ツールを実行します。

(2) ツールを実行するセットアップウィザードが開始されますので、[Next]をクリックしてセッ

トアップを開始します。

(3) [Licence Agreement]の手順に進みますので、内容を確認して、同意いただける場合は、[I Agree]

をクリックして手順を進めます。


48/51


(4) [Choose install Locations]の手順に進みますので、インストールを行うフォルダを確認し、

[Install]をクリックして、データの書き込みを開始します。インストール場所を変更する場

合は、[Browse]をクリックしてフォルダを指定します。

(5) データの書き込みが始まりますので、そのままお待ちください。

(6) データの書き込み途中で[Windows セキュリティ]の確認メッセージが表示されますので、

[インストール]をクリックして手順を進めます。

※ 「”Sophos”からのソフトウェアを常に信頼する」を選択すると、SSLVPN 接続時に

Windows のセキュリティ警告が表示されなくなります。


49/51


(7) データの書き込みが終了したら、[Next]をクリックして手順を進めます。

(8) セットアップが完了しますので、[Finish]をクリックして、手順を完了させます。

(9) セットアップが終了すると、タスクバーにアイコンが登録されます。


50/51


5.5 SSLVPN によるリモート接続確立を確認する

SSLVPN の設定が完了し、リモートアクセスを行うことができることを確認するには、下記の手

順を実行します。

なお、SSLVPN によるリモート接続を行う際には、ユーザ認証が必要です。ここでは「5.2 Sophos

UTM の SSLVPN 接続を設定する」の「手順（4）」で作成した「testuser」を例に説明します。

(1) タスクバーに表示される、をダブルクリックします。

(2) [ユーザー認証]画面が開きますので、ユーザ名、パスワードを入力して、[OK]をクリックし

ます。

(3) [ユーザー認証]画面が閉じると、SSL-VPN 接続が確立されます。接続完了を確認するには、

にマウスポインタを移動させてください。接続状況が表示されます。

(4) リモートアクセスが正常に機能しているか確認するため、ping やリモートデスクトップ、共

有ファイルへのアクセスなどにより疎通を確認してください。確認時には評価中のネットワ

ークにおけるセキュリティーポリシー等を確認し、適切な方法で検証してください。


51/51


(5) SSLVPN 接続を切断するには、タスクバー上のをダブルクリックします。

(6) [SSL VPN 接続]画面が開きますので、[切断]をクリックすると SSLVPN 通信が切断され、画面

が閉じられます。

Documents

Sophos UTM 9 - Amazon Simple Storage Service (S3 ... 価対象製品バージョン：Sophos UTM 9.2 以降 作成日時 作成担当者 変更内容 改訂版数 ... 5.2 Sophos UTM

Sophos UTM 9 - Amazon Simple Storage Service (S3 ... 価対象製品バージョン：Sophos UTM 9.2 以降作成日時作成担当者変更内容改訂版数 ... 5.2 Sophos UTM