認証を使用して、受信接続を制限する

Firebox の認証設定の機能の 1 つは、送信接続の制限です。また、認証を使用して、受信ネットワーク接続を制限することもできます。Firebox にユーザー アカウントを持っていて、Firebox がパブリックの外部 IP アドレスを持っている場合は、Firebox ネットワークの外部のコンピュータから Firebox の認証を受けることができます。例えば、Web ブラウザにこのアドレスを入力して認証することができます:https://<Firebox 外部インターフェイスの IP アドレス>:4100/

セキュリティを強化するために、WatchGuard 認証ポリシーで次の設定を行うことをお勧めします。

認証後、Firebox で構成されたポリシーで定義済みのアクセス ルールに基づいて、Firebox の背後のネットワークに接続することができます。認証済みアクセスの詳細については、内部リソースへの接続に認証を使用する セクションを参照してください。

  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。

    ファイアウォール ポリシー ページが表示されます。
  2. WatchGuard 認証ポリシー (WG-Auth) をクリックして編集します。
    このポリシーは、ポリシー構成にユーザーまたはグループを追加した後に表示されます。
    編集ページが表示されます。
  3. 接続 ドロップダウン リストから、必ず 許可 を選択します。
  4. 送信元セクションで、追加をクリックします。

    メンバーを追加する ダイアログ ボックスが表示されます。
  5. メンバーの種類 ドロップダウン リストから、エイリアス を選択します。
  6. メンバーのリストから、Any-Trusted を選択します。
  7. OK をクリックします。
  8. ステップ 4 ~ 5 を繰り返します。メンバーのリストから、Any-Optional を選択します。
  9. ステップ 4 ~ 5 を繰り返します。メンバーのリストから、外部接続として任意を選択します。
    たとえば、ネットワーク IPv4 を選択して、ネットワーク IP アドレスを入力することができます。
  10. 送信元 セクションで、追加 をクリックします。
  11. メンバーの種類 ドロップダウン リストから、エイリアス を選択します。
  12. メンバーのリストから、オプションを選択します。
    たとえば、認証の試行を特定の IP アドレスに制限するには、ホスト IPv4 を選択して、IP アドレスを入力します。この例では、外部 IP アドレスと内部 IP アドレスへの認証を試みます。ヒント!
  13. OK をクリックします。

WatchGuard 認証ポリシー設定ページのスクリーンショット

  1. 保存 をクリックします。
  1. デバイスの Policy Manager を開く
  2. WatchGuard 認証 ポリシー をダブルクリックします。このポリシーは、ポリシー構成にユーザーまたはグループを追加した後に表示されます。
    ポリシー プロパティの編集 ダイアログ ボックスが表示されます。
  3. WG 認証接続 ドロップダウン リストから、許可 が選択されていることを確認します。
  4. 送信元 セクションで、追加 をクリックします。
    アドレスを追加する ダイアログ ボックスが表示されます。
  5. 使用可能なメンバー リストから、Any-TrustedAny-Optional を選択して、追加 をクリックします。
  6. その他を追加する をクリックします。
  7. 種類の選択 ドロップダウン リストから外部接続のオプションを選択して、OK をクリックします。
    たとえば、ネットワーク IPv4 を選択して、ネットワーク IP アドレスを入力することができます。この例では、ローカル ネットワークと指定された外部ネットワークからの認証試行を許可します。
  8. OK をクリックします。
  9. 送信元 セクションで、追加 をクリックします。
  10. 利用可能メンバー リストから、その他の追加 を選択します。
  11. 種類の選択 ドロップダウン リストから外部接続のオプションを選択して、OK をクリックします。
    たとえば、ホスト IPv4 を選択して、IP アドレスを入力することができます。この例では、外部 IP アドレスと内部 IP アドレスへの認証を試みます。ヒント!
  12. OK をクリックします。

Screen shot of the Edit Policy Properties dialog box for the WatchGuard Authentication policy

  1. OK をクリックして、ポリシー プロパティの編集 ダイアログ ボックスを閉じます。

内部リソースへの接続の認証を使用する

VPN は内部リソースに接続する最も安全な方法です。VPN に接続できない場合は、内部リソースへの認証済みアクセスを提供することができます。たとえば、認証されたユーザーのみに適用される RDP ポリシーを定義することができます。

始める前に、WatchGuard 認証(WG-Auth)ポリシーで外部ユーザーからの受信接続が許可されていることを確認してください。リモートユーザーによる外部ネットワークからの認証を有効化するにはは、前のセクションを参照してください。

  1. 静的 NAT を構成する の指示に従って、静的 NAT アクションを定義します。
    この例では、IP アドレスは 198.51.100.1 と 10.0.1.2 です。

  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。
  2. ポリシーを追加する をクリックします。
  3. パケット フィルタ ドロップダウン リストから、RDP を選択します。
  4. ポリシーの追加 をクリックします。
  5. 送信元 リストから、Any-Trusted を選択して、削除 をクリックします。
  6. 追加 をクリックします。
  7. メンバーの種類 ドロップダウン リストから、ファイアウォール ユーザー をクリックします。
  8. ユーザー名を選択して、OK をクリックします。
  9. 送信先 リストから、Any-External を選択して、削除 をクリックします。
  10. 追加 をクリックします。
  11. メンバーの種類 ドロップダウン リストから、静的 NAT を選択します。
  12. 横にあるリストから、作成した SNAT を選択します。

ポリシー メンバー ダイアログ ボックスのスクリーンショット

  1. OK をクリックします。
  1. 編集 > ポリシーの追加 の順に選択します。
  2. パケット フィルタ をクリックします。
  3. RDP を選択します。
  4. 追加 をクリックします。
  5. 送信元 リストから、Any-Trusted を選択して、削除 をクリックします。
  6. ユーザーを追加する をクリックします。
  7. ユーザーを選択して、選択 をクリックします。

Screen shot of

  1. 送信先 リストから、Any-External を選択して、削除 をクリックします。
  2. 追加 > SNAT の追加 の順にクリックします。
  3. 静的 NAT を構成する の指示に従って、静的 NAT アクションを定義します。
    この例では、IP アドレスは 198.51.100.1 と 10.0.1.2 です。

これで以下 2 つのポリシーが作成されました。

  • https://[外部 IP アドレスたはドメイン名:4100] で、ユーザーが Firebox で認証を受けることができる WatchGuard 認証 (WG-Auth) ポリシー
  • RDP で User1 のみが 10.0.1.2 でコンピュータにアクセスできるようにする RDP ポリシー。

これは、認証されたアクセスの単なる一例です。もっと多くのユーザーを追加すること、さまざまなサービスにポリシーを設定すること、また異なるネットワークへのアクセスを構成することができます。

ゲートウェイ Firebox を経由する認証の使用

ゲートウェイ Firebox は、インターネットから Management Server を保護するためにネットワークで設定する WatchGuard Firebox です。

詳細については、ゲートウェイ Firebox について を参照してください。

ゲートウェイ Firebox 経由で別のデバイスに認証リクエストを送信するには、ゲートウェイ デバイスの認証接続を許可するポリシーを追加する必要があります。ゲートウェイ デバイスで認証接続が拒否された場合は、WG 認証ポリシーを追加することができます。このポリシーは、TCP ポート 4100 の接続を制御します。送信先デバイスの IP アドレスへの接続を許可するようにポリシーを構成する必要があります。

関連情報:

ユーザー認証について

構成にポリシーを追加する