Sophos FirewallをESXi仮想マシンにインストールする

投稿日 編集日 カテゴリ

この記事で実現すること

ESXiに環境構築済みの仮想マシンに対し、Sophos Firewallのインストールを行います。ESXiを使わない場合、PC(物理マシン)にフラッシュメモリを接続し直接インストールする事になりますが、この場合も手順自体はほとんど変わりません。

Sophos Firewallのインストール概要

VMware vSphere Hypervisor(ESXi)の設定」、「Sophos Firewall のインストール(事前準備)」で、ネットワークアドレスを決めました。Firewallのインストール概要は以下の通りです。

  • Sophos Firewall(FW)のLAN側ネットワークアドレスは製品のデフォルトである172.16.16.0/24を使うか、自身で決めたESXiが属するネットワークアドレス192.168.1.0/24(例)を使う事になります。ここではFWのWAN側を192.168.0.0/24のネットワーク、FWのLAN側を192.168.1.0/24として説明します。
  • ESXiの導入設定では、デフォルトのvSwitch0をLANとし、vSwitch1を追加しWANとしました。
  • インターネットに繋がるホームゲートウェイ(HGW)のLAN側IPアドレスはここでは192.168.0.1とします。FWのWAN側IPアドレスはHGWのDHCPによってプライベートIPが割り当てられます。ここでは192.168.0.2とします。
  • クライアントPCとESXiのLAN側ネットワークとを接続します。ESXiのLAN側IPアドレスは192.168.1.1とし、ESXiの管理コンソールに接続するクライアントPCは手動でLANのIPアドレスを割り当てます。ここでは192.168.1.101とします。
  • 仮想マシンは事前に設定されたFWのインストールイメージ(ISOファイル)からブートさせるので、PCのブラウザでESXiホストにログインし、仮想マシンを起動してインストールを行います。ESXiをセットアップした機器にモニタを接続する必要はありません。
  • これからインストールするFWはLAN側の管理画面に対し操作することになります。ここではLAN側IPを192.168.1.2とします。

上記で説明したものをネットワーク構成図にすると以下のようになります。

仮想マシンを起動する

  • ESXiの管理コンソールからFWの仮想マシンを選んでパワーオンをクリックします。
  • Sophos FIRMWARE INSTALLERが起動します。
  • インストールを開始すると(仮想マシンに割り当てた)ディスクが全てフォーマットされ、ファームウェアがインストールされていきます。
  • press y to rebootでリブートします。
  • 再起動後、さらにdefault conifgをインストールするとの表示がされ、やがてパスワード入力画面になります。最初のパスワードはadminです。まずライセンスを受け入れる画面となります。続いて、ネットワークの設定を変更します。

1.”Network Configuration”を選び、次の画面で、”1.Interface Configuration”を選びます。以下の表示がEnterを押下する毎に変わります。

  • LAN側のIP
  • WAN側のIP(ホームゲートウェイからのプライベートIPが割り当てられています)。
  • “Set IPv4 Address(y/n)”と出るので、変更する場合は、y+Enterします。
  • IPv6は後で設定するので空Enterで構いません。

この状態で一旦IPの設定を終えたら、クライアントPCのブラウザからFWに対して接続し、セットアップを続けていきます。ここではFWのIPアドレスを192.168.1.2にしたと仮定して進めます。

WANのIPが割り振られていない場合は、後続のセットアップでライセンスの確認ができません。事後にもライセンス登録は可能ですが、初期のうちに課題を解決しておきましょう。

Firewallの初期設定

ブラウザで、<https://192.168.1.2:4444>を開き初期設定を行っていきます。自己証明書でもあり、ブラウザのワーニングが表示されますが、了解のうえ進んでください。

ここでは、右上のプルダウンで日本語に変更しておくと良いでしょう。続いて、以下の項目を設定していきます。

  • 管理者パスワード
  • タイムゾーン
  • 登録メールで届いたシリアル番号を入力します
  • ゲートウェイとしてルーターモードを選択します
  • LAN側に割り振るDHCPのIP範囲を設定します
  • ネットワークプロテクションはSandStormを除き選択します。仮に選択してもホームユースでは解除されます。

続いての画面のメールセットアップですが、登録しないと先に進めないので、一旦メールアドレスを登録します。Gmailをお持ちであれば、Gmailをメールの送信者にしておくと比較的簡単に送信できます。メールの受信者は、色々なイベント通知が発生した時に確認するアドレスですので、携帯などのアドレスが候補に挙げられます。

セットアップも最後の仕上げです。5分程度と言いつつもう少し掛かる場合がありますので、ブラウザのリロードをせずそのまま待ちます。その後管理画面のリロードが入りますが、FWの管理サイトは自己証明書のためにブラウザのワーニングが出た画面で止まっている場合があります。

ログイン画面です。固定IPにして設定してきたPCも、FWのDHCP機能によって、IPアドレスが割り当て可能となっています。PCの設定をDHCPにして確認して下さい。そして、インターネットにも接続出来ている事を確認して下さい。現段階では、基本はインターネットへの通信は全て通す設定になっているので疎通確認が出来たら、ホームゲートウェイに接続されている他の機器などをFWのLAN側に繋いで下さい。

セキュア・ストレージ・マスターキー

FWが再起動し、ログイン後、新たに追加されたセキュア・ストレージ・マスターキーの作成を求められます。

以下の通り、最低12文字で、大文字・小文字・記号を含める必要があります。

登録を終えると、マスターキーがセットされたとのメッセージが表示されて対応は完了です。

マスターキーの情報は暗号化された安全な場所へ保管されることをお勧めします。参考までに「パスワード管理ソフトのbitwardenを活用する」を参照してください。

パッチ適用

インストール完了後、パッチがある場合は速やかにパッチ提供されることをお勧めします。v18.5をインストールされた場合、2022-03-26時点において最新版はMR3となります。「Sophos Firewall v18.5 MR-3」の記事を参照してください。