構成を新しい Firebox に移動する

すべての Firebox の構成設定は XML ファイルに保存されています。そのため、Firebox の構成をローカルの XML ファイルに保存することで、そのファイルを使用して別の Firebox を構成することができます。構成ファイルの詳細については、次を参照してください: About Configuration Files.

保存したバックアップ イメージを使用して構成を移行することはできません。バックアップ イメージには、シリアル番号、証明書、およびプライベート キーなどのデバイス固有の情報が含まれます。

開始する前に、新規または交換用の Firebox を完全に構成するために必要な要件、移行方法、および追加の構成手順を確認してください。

XML 構成ファイルには、機能キー、証明書、管理ユーザーの認証情報などの Firebox 固有の設定は含まれていません。既定では、新しい Firebox では元の Firebox とは異なる証明書が使用されます。

Mobile VPN with IKEv2 または Mobile VPN with SSL と OpenVPN クライアントを使用している場合、VPN クライアントを新しい Firebox に接続できるようにするには、移行後に追加の手順を完了する必要があります。詳細については、次を参照してください:Additional Migration Steps

FireCluster メンバーの Firebox の場合:

要件

ある Firebox から別の Firebox に構成を移行するには、以下が必要です。

元の Firebox から構成ファイルを保存するには、Policy Manager または Fireware Web UI を使用できます。

Policy Manager を使用して構成ファイルを取得する

Firebox に構成の更新を保存するたびに、Policy Manager によって構成ファイルが管理コンピュータに自動的に保存されます。元の Firebox が操作不能の場合は、管理コンピュータに保存されている最新の構成ファイルを探します。既定では、構成ファイルは Policy Manager により Documents\My WatchGuard\configs ディレクトリに保存されます。

元の Firebox に接続できる場合は、Policy Manager を使用して現在のデバイス構成をローカルの XML ファイルに保存することができます。詳細については、Save the Configuration File を参照してください。

Fireware Web UI を使用して構成ファイルを取得する

Fireware Web UI で元のデバイスに接続できる場合は、手動で現在の構成を XML ファイルに保存することができます。

構成ファイルをダウンロードするには、Fireware Web UI から以下の手順を実行します:

  1. システム > 構成ファイル の順に選択します。
  2. 構成ファイルのダウンロード をクリックします。

詳細については、Manage the Firebox Configuration File を参照してください。

新しい Firebox の機能キーは、WatchGuard アカウントでデバイスをアクティブ化した後にダウンロードすることができます。RMA デバイスの場合、新しいデバイスのアクティブ化は WatchGuard が行います。以下の方法のいずれかを使用して、新しいデバイスの機能キーを取得することができます。

機能キーの自動ダウンロード

工場出荷時の設定で起動された Firebox は WatchGuard に自動的に接続して、機能キーをダウンロードします。

新しい Firebox に機能キーをダウンロードするには、以下の手順を実行します。

  1. インターネット アクセスと DHCP があるネットワークに Firebox インターフェイス 0 を接続します。
  2. 工場出荷時の設定で Firebox を起動する。
    Firebox は WatchGuard に接続して、機能キーをダウンロードします。

Firebox を工場出荷時の設定にリセットする手順については、次を参照してください:Reset a Firebox

ダウンロードに失敗した場合、Firebox にアクティブなインターネット接続があれば、自動的に機能キーのダウンロードが継続して試みられます。

機能キーの手動ダウンロード

機能キーは、Firebox をアクティベートした WatchGuard アカウントから手動でダウンロードすることができます。FireboxV または XTMv 仮想デバイスの機能キーを取得するには、この方法を使用する必要があります。Firebox のどのモデルでも機能キーを手動でダウンロードできるため、Firebox が自動的に接続できず、機能キーをダウンロードできない場合に便利です。

新しい Firebox の機能キーを手動でダウンロードするには、以下の手順を実行します。

  1. WatchGuard アカウントにログインします。
  2. Support Center にアクセスします。
  3. マイ WatchGuard > 製品の管理 の順に選択します。
  4. お使いのデバイスを検索し、デバイスのシリアル番号を検索します
    製品の詳細 ページが開きます。
  5. 機能キーの取得 をクリックします。
  6. 機能キー全体をローカル テキスト ファイルにコピーします。

詳細については、About the Product Details Page を参照してください。

Firebox Cloud の場合は、インターフェイス情報が含まれている JSON ファイルのコピーも保存する必要があります。Policy Manager が構成を開けるよう、JSON ファイルと XML ファイルを同じディレクトリに保存します。JSON ファイルのコピーを保存する方法については、次を参照してください:Open the Configuration File for a Firebox Cloud Instance

構成を移行する

保存した構成を新しいデバイスに移行するには、元のデバイスの XML 構成ファイルを新しいデバイスに保存する必要があります。構成した機能やサービスを有効にするには、新しいデバイスにもそれらのサービスのライセンスを持つ機能キーが必要です。

構成を FireboxV や XTMv 仮想デバイス、または Firebox Cloud に移行するには、Policy Manager を使用する必要があります。

新しい Firebox を構成するには、いくつかの方法があります。

Policy Manager を使用する

この方法を使用するには、Windows 管理コンピュータに WatchGuard System Manager がインストールされている必要があります。WatchGuard System Manager では、Policy Manager を使用して元の Firebox の構成ファイルを更新し、それを新しい Firebox に保存します。

新しい Firebox に接続するには、以下の手順を実行します。

  1. DHCP サーバーとインターネット アクセスがあるネットワークにインターフェイス 0 を接続します。
  2. 工場出荷時の既定設定で Firebox を起動します。
  3. 管理コンピュータをインターフェイス 1 に接続します。
    Firebox がインターフェイス 0 を通じてインターネットに接続できる場合、Firebox は WatchGuard に自動的に接続して、機能キーをダウンロードします。

次に、Policy Manager を使用して元のデバイスの構成ファイルを新しい機能キーで更新します。

構成ファイルを編集するには、Policy Manager で以下の手順を実行します:

  1. ファイル > 開く > 構成ファイル の順に選択します。
  2. 元の Firebox から保存した XML 構成ファイルを選択します。
  3. 開く をクリックします。
  4. 機能キーを更新するには、設定 > 機能キー の順に選択します。
    Firebox 機能キー ダイアログ ボックスが開きます。
  5. 新しい Firebox に機能キーをダウンロードするには、ダウンロード をクリックします。
    Firebox 機能キーを取得 ダイアログ ボックスが開きます。

Screen shot of the Get Firebox Feature Keys dialog box in Policy Manager

  1. IP アドレスまたは名前 テキスト ボックスに、Firebox インターフェイス 1 の IP アドレスを入力します。工場出荷時の設定の Firebox の場合、IP アドレスは 10.0.1.1 です。
  2. パスフレーズ テキスト ボックスに、ステータス ユーザー アカウントのパスフレーズを入力します。工場出荷時の既定設定の Firebox の場合、パスフレーズは readonly です。
  3. OK をクリックします。
    Policy Manager は、新しい Firebox に接続して機能キーをダウンロードします。この機能キーは、Firebox が工場出荷時の既定設定で起動したときにダウンロードした機能キーです。Firebox 機能キー ダイアログ ボックスの概要セクションと機能セクションには、機能キーの情報が表示されています。

Screen shot of the Firebox Feature Key dialog box with a feature key added

  1. デバイスに接続できず、機能キーを取得できない場合や、デバイスに機能キーがない場合は、製品詳細ページからダウンロードした機能キーを手動で追加することができます。機能キーを手動で更新するには、以下の手順を実行します。
    1. インポート をクリックします。
    2. 機能キーのテキストを貼り付けるか、参照 をクリックして、機能キーを保存したテキスト ファイルを選択します。
    3. OK をクリックします。
  2. 機能キーをダウンロードまたは手動で更新したら、OK をクリックします。
    機能キーのモデルと一致するよう、Policy Manager によってデバイス構成の Firebox モデルが更新されます。
  3. デバイス名およびタイム ゾーンを確認して更新するには、以下の手順を実行します。
    1. 設定 > ‬システム の順に選択します。
      デバイス構成ダイアログ ボックスが開きます。Firebox モデルの情報は、新しい Firebox の機能キー内のモデルと一致します。名前は、元の Firebox と同じです。
    2. 名前タイム ゾーン を、必要に応じて更新します。
    3. OK をクリックします。
  4. ネットワーク > 構成 の順に選択して、ネットワーク インターフェイス構成を確認します。
  5. 新しい Firebox が異なるバージョンの Fireware OS を実行する場合は、新しい Firebox が使用する OS バージョンに OS 互換性 設定を更新してください。
  6. サードパーティ証明書を使用する場合は、移行の追加の手順 を参照してください。
  7. 構成を新しい Firebox に保存するには、以下の手順を実行します。
    1. ファイル > 保存 > Firebox に保存 の順に選択します。
    2. IP アドレスまたは名前 テキスト ボックスに、Firebox インターフェイス 1 の IP アドレスを入力します。工場出荷時の設定の Firebox の場合、IP アドレスは 10.0.1.1 です。
    3. 管理者のパスフレーズ テキスト ボックスに、管理者 ユーザー アカウントのパスフレーズを入力します。工場出荷時の既定設定の Firebox の場合、パスフレーズは readwrite です。
    4. OK をクリックします。
    5. Policy Manager に保存を続行するかどうかを尋ねるメッセージが表示されたら、はい をクリックします。

構成を Firebox に保存した後、管理ユーザー アカウントを編集してパスフレーズをより安全な設定に変更します。詳細については、Manage Users and Roles on Your Firebox を参照してください。

新しい Firebox にリムーバブル インターフェイス モジュールが備わっている場合、Policy Manager に表示される構成可能なインターフェイスの数は、Firebox にインストールされているインターフェイス モジュールによって異なります。構成を新しい Firebox に保存した後、新しい Firebox の構成ファイルを開いて、インターフェイス リストを更新する必要があります。

RapidDeploy を使用する

RapidDeploy を使用してデバイスを構成するには、新しいデバイスがダウンロードできるように構成ファイルを WatchGuard のサーバーにアップロードします。新しい Firebox を工場出荷時の既定設定で起動すると、自動的に WatchGuard に接続され、RapidDeploy 構成ファイルと機能キーのダウンロードが試みられます。

RapidDeploy 用にアップロードする構成ファイルでは、正しい Firebox モデルを指定する必要があります。

また、RapidDeploy に使用する構成ファイルは、現在 Firebox にインストールされている Fireware バージョンよりも新しくないものでなければなりません。一度もアップグレードしていない新しい Firebox をお持ちの場合は、RapidDeploy に使用する構成ファイルが、工場出荷時に Firebox にインストールされていた Fireware バージョンよりも新しくないことを確認してください。ヒント!新しい Firebox の製造時の Fireware バージョンは、Firebox のパッケージに貼られたシールに記載されています。デバイスの製造時に搭載されていた Fireware のバージョンは、WatchGuard Portal のデバイス詳細ページにあるデバイス情報セクションにも表示されています。

RapidDeploy 構成ファイルの要件の詳細については、次を参照してください:Create a Configuration File for RapidDeploy

構成ファイルの準備ができたら、以下のいずれかの方法を使用して RapidDeploy の構成ファイルを新しい Firebox にアップロードします。

Fireware Web UI を使用する

Fireware v12.2 以降では、Fireware Web UI を使用して元の Firebox からの構成ファイルのダウンロードと、新しい Firebox へのアップロードを行うことができます。

Fireware Web UI を使用して構成を移行するには、元の Firebox と新しい Firebox のインターフェイスの番号が同じである必要があります。Firebox のインターフェイスの番号が異なる場合は、Policy Manager を使用して構成を移行する手順に従ってください。

新しい Firebox の準備を行うには、以下の手順を実行します。

  1. Web Setup Wizard を使用して、新しい Firebox を新しい一時的な基本構成で構成します。詳細については、Run the Web Setup Wizard を参照してください。
  2. デバイス上の Fireware のバージョンが v12.2 より低い場合、または元の Firebox にインストールされているバージョンより低い場合は、最新の Fireware バージョンにアップグレードします。Fireware Web UI で、‬システム > OS をアップグレード の順に選択します。詳細については、Upgrade Fireware OS or WatchGuard System Manager を参照してください。

元の Firebox から構成を移行するには、Firebox Web UI で以下の手順を実行します。

  1. システム > 構成ファイル の順に選択します。
    構成ファイル ページが開きます。

構成ファイル ページのスクリーンショット

  1. ファイルの選択 または 参照 をクリックして、アップロードする構成ファイルを選択します。
    使用するブラウザによってボタン名が異なります。
  2. 復元 をクリックします。
    Firebox の構成が、構成ファイルの設定に更新されます。

詳細については、Manage the Firebox Configuration File を参照してください。

構成ファイルを保存することにより、コンピュータが接続されている Firebox インターフェイスの IP アドレスが変わる場合は、コンピュータの IP アドレスが更新されたインターフェイス IP アドレスと同じネットワーク上にあることを確認してから Firebox に接続してください。

新しい Firebox には、元の Firebox とは異なる MAC アドレスがあります。Firebox IP アドレスの古い ARP エントリが期限切れになるまで、元の Firebox に接続されていた、ネットワーク内のデバイスは新しい Firebox と通信できない場合があります。これには最大で 60 分かかる場合があります。もしくは、影響されたデバイスを再起動する必要があります。ネットワーク内のデバイスに、Firebox IP アドレスのために構成された静的 ARP エントリがある場合は、そのデバイスで変更する必要があります。

移行の追加の手順

構成を新しい Firebox に移行した後、Firebox やネットワーク クライアントの他の構成変更が必要になる場合があります。

証明書

既定では、すべての証明書は新しい Firebox では異なります。既定の証明書を使用する場合、ネットワーク クライアントは新しい Firebox 上の証明書を自動的に信頼しません。

元の Firebox でサードパーティ証明書を使用していて、新しい Firebox でもサードパーティ証明書を使用する場合は、以下の手順を実行します。

  1. 新しい Firebox で、サードパーティ証明書を使用する Firebox 機能の設定にある既定の証明書オプションを選択します。新しい Firebox に構成を保存するには、まずこの手順を完了する必要があります。たとえば、インバウンド HTTPS コンテンツ インスペクション、BOVPN、Mobile VPN with IKEv2、および Mobile VPN with L2TP にサードパーティ証明書を使用できます。
  1. 新しい Firebox に構成を保存したら、構成を移行した後にサードパーティ証明書をインポートします。証明書をインポートする方法の詳細については、次を参照してください: Manage Device Certificates (Web UI) および Manage Device Certificates (WSM)
  2. 必要に応じて、機能に証明書を適用します。たとえば、古い Firebox でサードパーティ証明書をインバウンド HTTPS コンテンツ インスペクションに使用していた場合、インポートしたサードパーティ証明書を新しい Firebox の HTTPS コンテンツ インスペクションに使用するように選択できます。また、BOVPN、IKEv2 モバイル VPN、L2TP モバイル VPN の構成でも、これを行う必要がある場合があります。

Firebox が証明書をどのように使用するかの概要については、次を参照してください:About Certificates

Mobile VPN with IKEv2

Mobile VPN with IKEv2 で、既定の Firebox IKEv2 証明書を使用する場合は、以下のいずれかを行う必要があります。

元の Firebox でサードパーティ証明書を使用していて、新しい Firebox でも同じサードパーティ証明書を使用するように更新した場合は、更新した VPN クライアント プロファイルを配布する必要はありません。既存の VPN クライアントは、サードパーティ証明書を使用するように新しい Firebox を更新すると接続できるようになります。

Mobile VPN with SSL

ユーザーが WatchGuard Mobile VPN with SSL クライアントを初めて Firebox に接続する際は、証明書を信頼するかどうかを尋ねるプロンプトに応答する必要があります。

OpenVPN クライアントを使用して Mobile VPN with SSL に接続するデバイスの場合、ユーザーは新しい VPN クライアント プロファイルをインポートし、古い VPN クライアント プロファイルを削除する必要があります。詳細については、次を参照してください:Use Mobile VPN with SSL with an OpenVPN Client

関連情報:

About Policy Manager

About Configuration Files

About Feature Keys