Dimension システムのセキュリティを強化するため、Firebox の配下に Dimension のインスタンスを配備できます。この Firebox の設定を構成するときに、構成が以下の要件を満たすことを確認してください。
- 構成に、アウトバウンド HTTP トラフィックを監視する HTTP または TCP-UDP プロキシ ポリシーが含まれている。このプロキシ ポリシーの HTTP プロキシ アクションにより、応答ヘッダーに Content-Type フィールドを含まない HTTP 応答が許可される必要があります。
- HTTP または TCP-UDP プロキシ ポリシーで詳細インスペクションが有効になった HTTPS プロキシ アクションを使用してアウトバウンド HTTPS トラフィックを監視する場合、(HTTPS プロキシが詳細インスペクションに使用する) プロキシ認証機関 CA 証明書を署名するために使用した CA 証明書を信頼済み CA 証明書として Dimension にインポートする必要があります。これにより、Dimension がアウトバウンド HTTPS 接続を行う際にサーバー証明書を検証することができます。検証が失敗した場合、Dimension が接続を切断します。
- 構成には、外部インターフェイスから静的 NAT アクションへのトラフィックを許可する WG-Logging ポリシーが含まれており、これにより Firebox のパブリック IP アドレスが Dimension のプライベート IP アドレスに変換されます。
外部 Firebox から Firebox の配下にある Dimension インスタンスにログ メッセージが送信されるようにするには、静的 NAT アクションでこれらの接続を Dimension に転送する受信 TCP ポート 4115 接続を許可するポリシーが Firebox に必要です。
Dimension が Firebox 経由で定期的に以下の HTTPS 接続を実行する必要があります。
- services.watchguard.com に要求を送信して、APT マルウェアの情報の検索に割り当てられた一意の APT トークンのペアを取得する。これは、情報が取得されるまで、新規の配備で 1 日 に 1 回自動的に発生します。WatchGuard に送信される唯一の情報は Dimension UUID です。
- フィードバックを WatchGuard に送信するオプションを選択する場合、Dimension のインスタンスに関するフィードバックを services.watchguard.com から WatchGuard に送信する。
詳細については、Dimension システム情報を変更する を参照してください。 - Dimension に関する診断フィードバックを WatchGuard に送信するオプションを選択する場合、サポート スナップショット ファイルを services.watchguard.com から WatchGuard に送信する。
詳細については、Dimension システムで診断タスクを実行する を参照してください。 - APT マルウェアの詳細を analysis.lastline.com から取得する
Dimension は Ubuntu Linux プラットフォームに基づいており、セキュリティとシステムの安定性の問題を修正するために定期的に Ubuntu に接続して OS を更新する必要があるため、Dimension が常に Ubuntu に接続できるようにしなければなりません。必要な更新を入手するため、Dimension は DNS 経由で以下のアドレスを解決できなければなりません。
- Archive.ubuntu.com
- Security.ubuntu.com
また、Dimension はこれらのアドレスに HTTP 要求を行うことができなければなりません。Firebox の構成でプロキシを使用する場合 (たとえば、HTTP-proxy プロキシ)、Dimension が Ubuntu アドレスに連絡できる例外を作成する必要があります。
Firebox を管理のために Dimension に追加する前に、ファイアウォールの配下(ゲートウェイ Firebox または別の NAT デバイス)に Dimension のインスタンスを配備する場合、ファイヤウオールを Dimension への正しいポート フォワーディングに設定し、Dimension のインスタンスを パブリック アクセシビリティ の設定でファイアウォールの IP アドレスを使用するように設定する必要があります。Dimension への接続に使用されたポートを変更する場合、Dimension が配下にあるファイアウォールに新規ポートからポート 443 にトラフィックを転送する規則が含まれることを確認する必要もあります。Dimension でパブリック アクセシビリティの設定を構成する方法の詳細については、次を参照してください: サーバーの全般設定を構成する。