Sophos XG Firewall Home Editionインストール編
まずはインストールするISOの確保ですが、ライセンス番号を受信するメールアドレスと名前だけ入力するとすぐにダウンロードできます。
①「Sophos XG Firewall Home Edition」と検索
②ダウンロードサイトを開く
一番上か2番目に上のように検索したサイト名があるので開くと上記の画面が出ます。
右上のダウンロードボタン(緑色の帯)を押すと以下③の画面が出ます。
③ライセンスの発行
最初に書いていたように、ライセンス番号の受け取り用のアドレスと名前を押して「次へ」を押します。
そうすると英語で規約ページが出るので、承認を押すと自動でダウンロードが開始されます。同時にメールアドレスにライセンス番号が送られてくるので控えておきましょう。
④インストールの準備
仮想環境に入れる方はデータストアにアップロードするなり、ダウンロードしたファイルに直接アクセスしてください。私と同じハードウェアに方はDVDに焼くのが楽です。
仮想環境の方は2NIC以上にすることをお忘れずに、ハードウェアの方も以下の要件を満たしていることを確認してください。
(1)ネットワークインタフェースカード(NIC) x 2以上
(2)CPU(Home版は4コアまでしか使用されない)
(3)1GB RAM以上 (Home版は6GBまでしか使用されない)
(4)64GB以上 HDD/SSD
⑤インストール開始
外付けのDVDドライブを繋げて起動、すんなりとインストール画面が出てきますので、全部"y"→Enterキーで進めます。
そうすると10分かからずにインストール完了です。
(初期アカウント:admin、初期パスワード:admin)
あとはインターネット側のLANをLAN2に繋ぎます。私と同じ以下の製品を買ってる人はLAN3に挿してください。続いてLAN1(以下の製品ならLAN4)にWAN側(設定用端末)のケーブを繋ぎます。
⑥Firewallの初期設定
そうすると操作端末のブラウザで「https://192.16.16.16:4444」と入力して管理画面に入る事ができます。ちなみにポート4444をつけないと管理者画面ではなくユーザ用画面にいってしまうようです。
※※前の記事でいただいたコメントです※※※※※※※※※※※※※※※※※※
上の人です。無事導入できました。
以下、同様に困っている人のためのメモ
徹底してLegacyブートをするのと、ストレージフォーマット(Hyper-Vのインストーラでできました)をしたら無事完成です。
管理端末のIPはXGに合うよう、静的にするのが楽です。XGのCUIで現在のIPは見れます。
個体差なのかバージョンなのか、、私の時のようにすんなりいかない場合があるようです。
Hyper-Vのインストーラーまで持ち出してもらって申し訳ないです・・・
同じ症状の方はご参考ください。
ルーター後に置いているとインストール時にIPが変動する可能性ありますので、ルーター側でIP固定してください。後述の"ネットワークの設定[LAN]"で管理IPは自由に変更かのうです。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
そうすると、いきなり新規パスワードを求められるので、入力を間違いないようにしましょう。(あとでもう一回設定しないといけなくなりますが・・・)
あとはお好きなファイアウォール名を英数字で入力し、地図上の東京をクリック、若しくは下の▼で「Asia/Tokyo」を選びます。あとは正しい時間を入力して「次へ」
そうすると③の登録で、メールに送られてきたライセンス番号を入力するところがでます。一番上の「既存のシリアル番号がある」のところです。
そうすると③で登録した内容と適用するライセンス番号が表示されるので、ロボットじゃないよ!にチェックを入れてContinueします。
緑色の確認ボタンを押して・・・・
あとは青いボタンを押すと適用されます。
そうすると何も表示されなくなり・・・・
更新するとこうなります( ´∀` )
どうやらライセンス適用した段階で、一回設定が入るようで5分くらいアクセスできなくなります。
ライセンスが適用されて、8GBのメモリが6GBまでしか使えないように制限かけられちゃいます、かなC
ライセンスが適用されたら、また新規パスワードを求められるので入力します。
今後CUI、Web管理画面ともにこのパスワードでログインすることになるので、メモをなくさないように
※Web管理画面のユーザ名は「admin」です。
あれ?スクショ一枚足りない・・・
Webフィルタリング、アンチウィルス、UTMなど、どれを有効にするか選択する画面があるのですが、まぁ後から設定できそうなのでファイル検査やUTMをオフにしました。
(オフにしたら意味ないじゃん)
あとはルーターモードかブリッジモードを選びます。現状ポートが1個しか選べませんが、全部終わった後に管理画面から追加可能になります。うちのインターネットはIPV6で設定が面倒なので、ルーターから内側(IPV4)に設置ということでブリッジモードにします。
あとは確認画面で反映されていることを確認して「完了」
5分ぐらいしたら使用可能です。
この段階で「https://192.16.16.16:4444」が使用できなくなります。おそらくルーターのDHCP機能で割り振られたIPになってるはずなので、CUI画面で確認してみてください。
⑥使用準備完了
設定完了後のログイン画面、カッコイイ
ログイン後の画面はこんな感じです。レポート機能や各種ポリシー/ルール設定、VPN機能など、基本機能は全てあります。
ちなみに私はファイアウォールの設定に業務でそこまで携わったことがないため、SIEM製品へSyslog転送して勝手に分析してもらうようにしました。そっちの方がログ追いやすいし・・・やばそうな通信見たら都度調整ですね
以上が超簡単おうちでファイアウォールの設置作業でした。
一日使ってみた感じ、デフォルトのルールがガチガチすぎて、特定のポートやWebサイトの許可が結構必要になります。噂ではOSや各種ソフトのアップデート系に影響するようです。
PaloAltoより調整が簡単なような、そうでないような、、、
現状、入れてよかったと思います。Googleの追跡や広告をごっそりブロックしてくれるので快適です。
ファイアウォールの勉強もできそうですし、家で仕事をされる方は是非導入してみてください。
(´∀`*)ノシ ではでは~
-----※2022/07/04追記----
ブリッジモードでうまくいかない場合ですが、上位ルーターに接続しているWANの状態と、以下のFWルールがあることを確認してみてください。上位のルーターから正常にIPアドレスが払い出されていない可能性があります。
WANの設定情報、上位のルータのGWを設定しています(多分ブリッジも同じ画面・・・)
WANが認識できている場合
マニュアルだとDHCPのサービス許可が必要のようです
サービスがすでにAnyで全許可になっていれば多分新規で作る必要はないです。
ちょっと古いですがSophosのブリッジ用の日本語マニュアルです。
https://www.sophos.com/ja-jp/medialibrary/PDFs/japan/support-documents/xgfw-ed-br-mode-jp.ashx
同じ筐体を買ってインストールしようとするもできませんでした(´;ω;`)
返信削除ESXiもどうやっても入らないですし、詰みました..