Sophos Firewall¶
[更新: 2023年9月21日]
ファイアウォール型のセキュリティアプライアンス「Sophos Firewall」についてのページです。
1. 概要¶
Sophos Firewallは Sophos社 が開発する、仮想サーバー利用向けのセキュリティアプライアンスです。
グローバルネットワーク、ローカルネットワークのゲートウェイ(境界線)に配置、外部からの攻撃、通過するアクセスの検閲、VPNなどによるネットワーク環境の暗号化の機能を提供します。
2. 製品情報¶
本項目は、Sophos Firewallの製品情報、ライセンスの情報をメーカーが公開する情報基準により解説する項目です。
2.1 製品概要¶
Sophos Firewallは、ルーター機能、セキュリティ機能を包括し提供するアプライアンス製品です。
各種ライセンス機能を追加により幅広い機能を提供、様々なセキュリティ要件に於いて利用し易い製品です。
- VM環境、クラウド環境上に構築・利用可能、物理資材不足などの影響が少ないサービス
- ネットワーク・特定のアクセスをVPNによりセキュアにプライベート化
- WEBサイト・WEBサービスに於ける特定のアクセス、ルールに応じてアクセスの遮断/許可をファイアウォール,IPS,WAF,ウェブフィルタリングにより実現
- ゲートウェイを通過するアプリケーション、ファイルをアプリケーションコントロール、ファイルフィルタにより判定、遮断許可
- Eメールを想定したAV/Malware、Anti-spam、検閲を実現
注釈
本内容にはSophos Central、その他Centralに紐づく情報は含まれません。
2.2 製品ライセンス¶
Sophos Firewallは、機能毎に必要となるライセンスが異なります。
注釈
未公開のSophos製品ライセンスは、営業窓口宛にお問い合わせください。
2.2.1 ライセンスの種類¶
ソフトウェアルータ機能とファイアウォールを包括した基本ライセンスと各機能を追加するライセンスにより構成されます。
Licensing - Sophos Firewall Sophos Firewall製品マニュアル >> ライセンスバンドル
Sophos Community >> Sophos Firewall: Licensing guide
https://support.sophos.com/support/s/article/KB-000038005?language=en_US
Sophos Firewall 基本ライセンス概要
Sophos Firewallを利用するための必須ライセンスです。
| ライセンス名 | 機能 |
|---|---|
| Base License | ソフトウェアルータ相当を利用するためのライセンス |
Sophos Firewall 追加ライセンス概要
基本ライセンスにセキュリティ機能を拡張するライセンスです。
| ライセンス名 | 機能 |
|---|---|
| Network Protection | IPS・ATPなどを提供するライセンス |
| Web Protection | アプリケーションコントロールなどのWebセキュリティを提供するライセンス |
| Zero-day protection | サンドボックス検査を提供するライセンス |
| Central Orchestration | SD-WANに特化したセキュリティ機能を提供するライセンス |
| Email Protection | メールに対するAnti-spam、AV/Malwareなどのセキュリティを提供するライセンス |
| Webserver Protection | WAFファイアウォールなどを提供するライセンス |
| Enhanced Support | メーカーサポートを付帯するライセンス |
注釈
上記は、メーカーが掲載するライセンス情報です。弊社提供の詳細は、 項目3. 以降をご確認ください。
2.3 メーカードキュメント¶
Sophos Firewallは、Sophos Firewall OS(以下、SFOS)にライセンスをインポートのうえ利用、操作を行います。
詳細な操作方法はメーカードキュメントを参照ください。
Sophos Firewall
https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlinehelp/index.html
Sophos Community
https://support.sophos.com/support/s/?language=ja#t=AllTab&sort=relevancy
注釈
パブリッククラウドは、お客様による物理ホスト環境の設定を変更出来ません。
物理環境に於ける設定変更を必要とする利用は、物理専有サーバーサービスに仮想環境を構築のうえご利用ください。
2.3.1 Version 19.5 MR2による管理アクセス¶
Sophos Firewall OS 19.5 MR2 よりWANによる管理アクセスへの接続を設ける仕様に変更となりました。
SFOS ローカルサービスACL画面
注釈
DMZは、Port3のネットワークアドレス 127.0.0.1などが標準は有効状態です。無効化はクラウドコンソール(機器CLIコンソール)のアクセスが不可となります。ご注意ください。
2.3.2 下位バージョンからのアップデートによる影響¶
項目2.3.1の直接的な影響はありません。アップデートを直後は設定が引き継がれWAN側の管理アクセスは有効の状態です。
90日間管理アクセスの利用が無い際は、WANの管理アクセスは自動的に無効となる仕様に変更があります。
上記のためアップデート後、継続してWANから管理アクセスを実行する際は、アクセスコントロールリスト(ACLの例外ルール)から例外処理を設定、制限から除外する必要があります。
注意
アクセスコントロールリストの設定には、all anyの様な全てを許可する設定は、仕様上不可となります。国単位、またはIPアドレスをご指定ください。
注釈
アクセスコントロールリストは、標準は拒否(deny)にボタンが入力された状態です。許可を入力する際はご注意ください。
重要
90日間の仕様によりログイン不可となった際は、ベンダード公開の初期導入手順書記載のCLIコンソールから設定を上書きするコマンドをご利用ください。
2.4 リリースノート¶
メーカードキュメントによりSFOSのリリースノートが公開されます。
更新、変更内容は、OS Version毎に掲載される Release Information をご確認ください。
SOPHOS NEWS
https://news.sophos.com/en-us/
Release Note & News
https://community.sophos.com/sophos-xg-firewall/b/blog
Sophos Firewall
https://docs.sophos.com/releasenotes/index.html?productGroupID=nsg&productID=xg&versionID=19.5
注釈
SOPHOS NEWS、Communityにより告知、リリースノートに詳細が掲載されます。
2.5 製品EoS/EoL¶
Sophos Firewallは、ソフトウェアサポートポリシーに定められたサイクルによりサポートを終了します。
サポート終了前にオンラインによるファームウェアのアップデートを実行ください。
Sophos Firewall Software
https://docs.sophos.com/support/help/en-us/lifecycle/sf/index.html#software-version-numbering
Sophos Community Retirement calendar
https://support.sophos.com/support/s/article/KB-000035279?language=en_US#Software%20Milestones
2.6 ベンダー公開手順書¶
下記は、ベンダーが公開するSophos Firewall操作手順となります。
- 初期導入手順書
- ネットワークプロテクション手順書
- ファイアーウォールDNAT手順書
- Webサーバ―プロテクション(WAF)手順書
- 冗長化構成手順書
- IPsec VPN リモートアクセス手順書
- SSL VPN リモートアクセス手順書
注釈
Sophos Firewall更新に伴い手順書と最新の情報に差異が発生する可能性があります。
注意
CLI コンソール入力のキー配列は、英語配列となります。特殊記号を入力する際は、日本語配列による入力はエラーなどを応答する可能性があります。
3. サービス概要¶
本項目は、Sophos Firewallをさくらのクラウド提供仕様基準により解説する項目です。
3.1 サービス仕様¶
さくらのクラウドによりSFOS OS/アーカイブ、利用に必要となるライセンスを提供するサービスです。
コストパフォーマンスを重視、製品利用に関するライセンスのみを提供するサービスとなります。
さくらのクラウド コントロールパネル
3.2 サービスプラン名称¶
項目2.2に解説した2種のライセンスとコアライセンスを組み合わせ、サービスプランを提供します。
サービスプランの命名規則は、下記を参照ください。
さくらのクラウドより申込可能のライセンス名称規則
Sophos Firewall -<仮想コア/メモリ> <ライセンス> <解約制限期間>
例) Sophos Firewall 1コア4GB エンタープライズ
3.3 コア/メモリライセンス¶
SFOSの仮想コア/メモリの認識は、購入されたライセンスに記載されるスペックにより上限が設定されます。
各サービスプランに表記されるスペックと利用に必要なスペックを確認のうえサービスプランをお申し込みください。
スペック組み合わせ表
| プラン名 | 利用可能な最大スペック(仮想コア) |
|---|---|
| 1コア4GB | 1Core/4GB |
| 2コア4GB | 2Core/4GB |
| 4コア6GB | 4Core/6GB |
| 6コア8GB | 6Core/8GB |
| 8コア16GB | 8Core/16GB |
3.4 ライセンス¶
さくらのクラウドでは、項目2.2により解説のライセンスを組合せ提供します。
ライセンス組み合わせ表
| ライセンス名 | 機能 |
|---|---|
| エンタープライズ | ・Base Firewall ・Network Protection ・Web Protection ・Zero-day Protection ・Email Protection ・Webserver Protection |
| ベーシック | ・Base Firewall |
| ベーシック+WAF | ・Base Firewall ・Webserver Protection |
注釈
エンタープライズはさくらのクラウドで提供する独自名称、機能は6種を包括提供する特別なライセンスです。
3.5 解約制限期間¶
サービスプラン名の末尾に期間表記のあるサービスは、解約制限期間が付与されたサービスです。
参考例
12ヶ月が付与、自動更新されます。利用契約期間は12ヶ月単位となり途中の解約はできません。
例) Sophos Firewall 1コア4GB ベーシック 12ヶ月
注釈
請求は、月単位に請求されます。一括による請求希望はプリペイドの購入などをご利用ください。
3.6 提供条件¶
ご利用はさくらのクラウド上にSophos Firewall(SFOSをインストールしたサーバー)の構築、構築したSophos Firewallへライセンスの投入が必要となります。
その他のさくらのVPS、さくらの専用サーバー phyによるご利用は、ブリッジ接続、ハイブリッド接続、ローカルルータなどをご利用のうえゲートウェイを変更しご利用ください。
ブリッジ接続
https://manual.sakura.ad.jp/cloud/network/bridge.html
ローカルルータ
https://manual.sakura.ad.jp/cloud/network/localrouter.html
3.6.1 OS/アーカイブイメージ¶
Sophos Firewallの利用に必要なSFOS OS/アーカイブをさくらのクラウド上に公開します。
アーカイブは下記の名称規則により提供されます。
OS/アーカイブ名称規則
Sophos Firewall <SFOS Version>
例) Sophos Firewall v18.5.2
注釈
公開するOSアーカイブイメージは、検証後に公開されます。公開中のアーカイブは、 コントロールパネル > サーバー・ストレージ作成画面 > アーカイブ一覧 よりご確認ください。
注意
未公開の最新OS利用は、未知の不具合などが含まれる可能性がございます、ご承知のうえご利用ください。
3.6.2 ご利用の迄の流れ¶
下記は、ライセンス申し込みからご利用開始までの流れの概要となります。
- 1.(お客様) コントロールパネルよりお申し込み
- 1.a(お客様) コントロールパネルによる未提供ライセンス、その他オプションは営業窓口へお問い合わせ
- 2.(さくら) 営業時間中にお申し込み内容、お客様情報を確認
- 3.(さくら) 申込受理後、ライセンス手配を実施
- 4.(さくら) ライセンス受領後、お客様へライセンスファイルの送付。サービスのステータスを利用中に変更、月額課金開始
- 4.a(さくら) 提供日の調整などがある際は、特記事項を添付する場合有り
- 5.(お客様) 提供ファイルの受領、利用開始
注釈
サービス提供に関する調整、ご利用に関するお問い合わせは営業窓口へご相談ください。
3.6.3 解約までの流れ¶
下記は、ライセンス申し込みからご利用開始までの流れの概要となります。
解約はお申し込みのタイミングにより解約月が異なります(後述の料金の終了をご確認ください)。
- 1.(お客様) 会員情報、解約サービスの必要情報を添えてメール、会員メニューよりお問い合わせ
- 2.(さくら) 添付情報を確認、ライセンス解約の手配を実施
- 3.(さくら) 解約申込を受理
- 4.(さくら) 当該サービス削除、月額課金終了
- 5.(お客様) 翌月末にコントロールパネル、または請求情報から当該サービス削除を確認
注意
添付情報に不備がある際は、解約申込の受理が不可となります。
解約受付のスケジュール
| 申込受理 | 解約日 |
|---|---|
| 1日~20日解約受理 | 当月末解約 |
| 21日~月末解約受理 | 翌月末解約 |
解約申込は本人様確認情報と下記の情報を合わせてご連絡ください。
解約に必要なサービス情報
対象ライセンスのサービスコード:12桁
アクティベートコード(シリアルNo):英数字下4桁
注釈
サービスの情報に不備がある際は、解約受理がお受け賜われない可能性がございます。解約申込はお早めにお申し込み、またはご相談ください。
3.6.4 解約制限期間付の流れ¶
解約制限期間付は、利用開始から制限期間までの利用満了まで解約ができないプランです。
このため解約方法の一部は、月額提供と異なります。
- 1.(お客様) 会員情報、解約サービスの必要情報を添えてメール、会員メニューよりお問い合わせ
- 2.(さくら) 添付情報を確認、ライセンス解約の手配を実施
- 3.(さくら) 解約申込を受理
- 4.(さくら) 当該サービス削除、月額課金終了
- 5.(お客様) 利用最終月末にコントロールパネル、または請求情報から当該サービス削除を確認
注意
添付情報に不備がある際は、解約申込の受理が不可となります。
解約受付のスケジュール
解約申込は本人様確認情報と下記の情報を合わせてご連絡ください。
| 申込受理 | 解約日 |
|---|---|
| 利用開始日~契約継続期間満了日が属する月の前月20日迄の受理 | 期間満了日の月末解約 |
| 契約継続期間満了日が属する月の前月21日~期間満了日迄の受理 | 翌期間の最終月末解約 |
注意
自動更新のため、期間の最終月21日以降の解約申込受理は更新後の最終月末の解約となります。解約の際は早めのお申し込みをください。
解約に必要なサービス情報
対象ライセンスのサービスコード:12桁
アクティベートコード(シリアルNo):英数字下4桁
3.6.5 HA構成のライセンス¶
HA構成、active/passiveの構成は、passive機のライセンスの追加購入は不要です。
passiveとするSophos Firewallの初回設定には評価ライセンスを利用のうえ設定を実施ください。
HA構成、active/activeを構成する際は、active機のライセンスが必要です。
注意
Sophos Firewallは、vrrp利用は不可となります。
重要
HA機能を利用の際は、ルータ+スイッチ上に配置してください。
5. サポート¶
5.1 サポート内容¶
サービスに付帯するサポートは、仕様・機能回答、ライセンス・契約、bug・不具合問い合わせとなります。また、提供仕様によるお客様との責任分界点、国内法上の観点から下記はサポート対象外となります。
- 管理権限上弊社によりお客様利用中のOS、システムへのログインによる操作、切り分け、logの出力は受け賜わることが出来ません。
- Sophos Firewallのご利用は、GUIのみをサポートします。CLIの利用はサポート対象外となります。
- log解析・不具合発生時の切り分け操作。お問い合わせの際は、操作方法、ネットワークの疎通、logを確認・正常動作と切り分け後に事象を添えてお問い合わせください。
- セキュリティ機能に関するテスト方法の助言、テストファイルの提供など、不正アクセスなどの助長になり得るサポートは受け賜わることができません。
注意
config・log確認、SI・開発・構築・設定代行、システム全体を俯瞰したテクニカルサポート、製品トレーニングなどのお客様毎に個別最適化が必要となるサポートは、サービスに含まれません。
注釈
有償による個別のSI・開発・構築・設定代行は、営業により個別提案となります。お求めの際は、弊社営業窓口へお問い合わせください。
5.1.1 アップデート情報¶
Sophos Firewallは、オンラインにより必要なファームウェアファイルをダウンロード、インストールを実施します。
注釈
変更点は、Release Noteを参照ください。