VMware ESXi 上に FireboxV または XTMv を配備する

このインストール手順では、VMware vSphere ESXi ホストに FireboxV または XTMv 仮想マシンを配備および構成する方法について説明します。

インストールの前提条件

WatchGuard FireboxV VMware のシステム要件:

  • VMware ESXi 6.0、6.5、6.7、または 7.0

WatchGuard XTMv VMware のシステム要件:

  • VMware ESXi 6.0

ハードウェアとシステム リソース

  • FireboxV と XTMv のハードウェア要件は、VMware ESXi のハードウェア要件と同じです。
    VMware ハードウェアの互換性の詳細については、VMware 互換性ガイド (http://www.vmware.com/resources/compatibility/search.php) をご覧ください。
  • 各 FireboxV または XTMv 仮想マシンには 5 GB のディスク容量が必要です。
  • その他のシステム リソースは FireboxV モデルによって異なります。
FireboxV モデル 最小合計メモリ 推奨メモリ 最大 vCPU 数
スモール

2048 MB*

 4096 MB 2
4096 MB 4096 MB 4
ラージ 4096 MB 8192 MB 8
エクストラ ラージ 4096 MB 16384 MB 16

* Access Portal と IntelligentAV を有効化し、IPS/Application Control の署名セットを完全に使用するには、4096 MB のメモリが必要です。

XTMv モデル メモリ 推奨 vCPU 数
スモール オフィス エディション 2048 MB 1
ミディアム オフィス エディション 4096 MB 2
ラージ オフィス エディション 4096 MB 3
データセンター エディション 4096 MB 8

WatchGuard の顧客の中には、XTMv 仮想マシンの電源がオンで、トラフィックの通過中に、 vMotion を使用して ESXi ホスト間で XTMv 仮想マシンを移行した成功例があります。しかし、可能な場合は、ESXi ホスト間で XTMv を移行する前に、FireboxV または XTMv 仮想マシンの電源を切っておくことをお勧めします。

開始する前に

インストールを準備するには、次の情報が揃っていることを確認してください。

  • FireboxV または XTMv デバイスのシリアル番号

    FireboxV または XTMv 仮想デバイスの購入時にシリアル番号を受け取ります。
  • FireboxV または XTMv 機能キー
    機能キーには、デバイスのシリアル番号とライセンス付与された機能が含まれています。
  • WatchGuard FireboxV または XTMv のオープン仮想マシン フォーマット (.ovf) ファイル
    ファイル名は、Fireboxv_<version>.ovf または xtmv_<version>.ovf になります。ここで、<version> は、Fireware のバージョンを表します。
  • WatchGuard System Manager (任意)

    WSM のバージョンは、Fireware のバージョンと同じがそれ以降でなければなりません

機能キーを取得するには、以下の手順を実行します。

  1. www.watchguard.com/activate にアクセスして、デバイスのシリアル番号をアクティブ化します。
    アクティブ化プロセスにより、Firebox の機能キーが作成されます。
  2. 機能キーをローカル テキスト ファイルにコピーします。

Firebox で使用するインストール ファイルとその他のソフトウェアをダウンロードするには、以下の手順を実行します。

  1. software.watchguard.com にアクセスして、VMware の FireboxV または XTMv を選択します。
  2. FireboxV zip または XTMv .ova テンプレート ファイルをダウンロードします。
  3. WatchGuard System Manager をダウンロードします (任意)。

インストールの概要

初期インストールを完了するには、次の手順を完了します。

  1. VMware vSphere Client で、FireboxV または XTMv 仮想アプライアンスを ESXi ホストに配備し、FireboxV または XTMv 仮想マシンの電源を入れます。
  2. FireboxV または XTMv 仮想マシンに接続し、Web Setup Wizard を使って基本構成を設定します。
  3. FireboxV または XTMv 仮想マシンに追加のリソースを割り当てます。

このガイドでは、Web Setup Wizard を使用して、FireboxV 仮想マシンの初期設定を作成する方法について説明します。FireboxV または XTMv の信頼済みネットワーク上のコンピュータに WatchGuard System Manager をインストールした場合、Web Setup Wizard の代わりに、WatchGuard System Manager の Quick Setup Wizard を使用して仮想マシンを検索し、 基本構成を設定できます。

Web Setup Wizard で Firebox をアクティブ化するには、Firebox のシリアル番号が必要です。000000000 で終わるシリアル番号を使用することはできません。これはアクティブ化されていないデバイスのシリアル番号です。

ネットワークに関する注意事項

FireboxV または XTMv 仮想アプライアンスを作成するとき、2 つのアクティブ状態のインターフェイスで初期設定されます。

外部インターフェイス

外部インターフェイスのインターフェイス 0 は、既定で DHCP サーバーから IP アドレスを要求するように設定されます。デバイスの初期設定時にこのインターフェイスに接続するには、DHCP サーバーがある宛先のネットワークにこのインターフェイスをマップする必要があります。

信頼済みインターフェイス

信頼済みインターフェイスのインターフェイス 1 は、既定の IP アドレス 10.0.1.1 が設定されます。

ESXi 環境で FireboxV または XTMv 仮想マシンを作成するときには、Fireware Web Setup Wizard を実行する前に、これらの各インターフェイスを宛先のネットワークにマップする必要があります。

最高のネットワーク パフォーマンスと安定性を実現するために、各 Firebox インターフェイスで vmxnet3 仮想ネットワーク アダプタを選択することをお勧めします。e1000 仮想ネットワーク アダプタを使用しないでください。

FireboxV または XTMv 仮想マシンを作成した後に、追加のネットワーク インターフェイスを有効にして設定することができます。追加のインターフェイスを使用するには、FireboxV デバイス設定で有効にするネットワーク アダプタの数を追加するように、vSphere Web Client の FireboxV または XTMv 仮想マシンを設定する必要があります。

ESXi MAC アドレスは、ESXi インターフェイス番号を昇順で構成する必要があります。これにより、次のように Firebox インターフェイスが ESXi インターフェイスに対応します。

FireboxV または XTMv インターフェイス ESXi インターフェイス ESXi インターフェイス MAC アドレス
eth0 1 22:22:22:22:22:20
eth1 2 22:22:22:22:22:21
eth2 3 22:22:22:22:22:22
eth3 4 22:22:22:22:22:23

FireboxV または XTMv 仮想アプライアンスを配備する

vSphere Client、vSphere Web Client、または vCenter Server を使用して、FireboxV または XTMv 仮想アプライアンス (OVF テンプレート ファイル) を配備できます。OVF テンプレート ファイルは 64 ビットの仮想マシンとしてインストールされます。

VMware ESXi の異なるバージョンがさまざまに異なる VMware クライアントに対応しています。対応するクライアントを使用することで、.ova ファイルを配備し、Firebox に必要なリソースを割り当てることができます。例: VMware 6.5 は次のクライアントに対応します。

  • VMware Host Client
  • vSphere Client - HTML5
  • vSphere Web Client
  • vSphere Appliance Management UI (VAMI) - HTML5
  • PSC Management UI - HTML5

次の手順では、ESXi Host Client に仮想マシンを配備する方法について説明します。

仮想マシンを配備して、別の WMware クライアントに必要なリソースを設定する方法の詳細は、ご使用の VMware クライアントのドキュメントを参照してください。

古いバージョンの ESXi は Windows vSphere Client に対応していますが、6.5 以降のバージョンは対応していません。Windows vSphere クライアントを使用して FireboxV または XTMv 仮想マシンをインストールする手順については、ドキュメンテーション ページ (https://www.watchguard.com/wgrd-help/documentation/xtm) にある 11.11 バージョンの WatchGuard XTMv セットアップ ガイド を参照してください。

VMware Host Client を使用して FireboxV 仮想マシンを配備するには、次の手順を実行します。

  1. https://<ESXi_Host>/UI から VMware Host Client に接続します。
    <ESXi_Host> を、ESXi ホストの FQDN または IP アドレスに置き換えます。
  2. ナビゲーター ウィンドウで、ホスト を選択します、
  3. アクション > VM の作成/登録 を選択します。
    New virtual machine wizard が起動します。
  4. New virtual machine wizard の手順に従います。

ウィザードで以下のステップを完了します:

作成の種類

OVF または OVA ファイルから仮想マシンを配備する を選択します。

使用許諾契約の同意

WatchGuard エンドユーザー使用許諾契約を読んで同意します。

名前

仮想マシンの名前を指定します。

OVA ファイル

WatchGuard からダウンロードした FireboxV または XTMv .ovf ファイル。

宛先のデータストア

5GB 以上の空き容量があるデータストアを選択します。

ネットワーク マッピング

ネットワーク 0 (Eth0: 外部) およびネットワーク 1 (eth1: 信頼済み) にマップするネットワークを選択します。既定では、Eth) は DHCP を使用して IP アドレスを取得するように設定されます。各インターフェイス で vmxnet3 ネットワーク アダプタを選択する

ディスク プロビジョニング

すべてのストレージを即時に割り当てる シック を選択することをお勧めします。

追加設定

追加のネットワーク設定は行わないでください。Fireware Web Setup Wizard を使用して、Firebox ネットワークを設定します。

ウィザードを終了して配備が完了した後、FireboxV または XTMv 仮想マシンが 仮想マシン リストに表示されます。仮想マシンの電源が自動的にオンになります。

FireboxV および XTMv の工場出荷時の既定設定

FireboxV または XTMv 仮想マシンの電源を初めて入れるときには、Setup Wizard を実行する前に、次の工場出荷時の既定設定で起動します。

  • 外部と信頼済みの 2 種類のアクティブなインターフェイスがあります。
  • 信頼済みインターフェイスの IP アドレスは 10.0.1.1 です。
  • 外部インターフェイスは、DHCP で IP アドレスを取得するように構成されています。
  • 信頼済みインターフェイスは、DHCP で IP アドレスを割り当てるように構成されていません。
    これは他の Firebox の既定の設定と異なります。
  • 信頼済みおよび外部のインターフェイスはいずれも管理接続を受け入れます。
    これは他の Firebox の既定の設定と異なります。
  • admin アカウントのパスフレーズは readwrite です。
  • アクティベートされていない FireboxV または XTMv デバイスのシリアル番号は 000000000 で終了します。
    実際のシリアル番号はデバイスのアクティベート中に割り当てます。

割り当てられている外部 IP アドレスを検索するには、次の手順を実行します。

  1. 仮想マシン リストで、FireboxV または XTMv 仮想マシンをクリックします。
  2. 一般情報 > ネットワーキング セクションで、IP アドレスを検索します。

Web Setup Wizard を使用して基本構成を作成する

Fireware Web Setup Wizard は、他の Firebox と同様に、FireboxV とほぼ同じです。1 つ違う点は、FireboxV 仮想マシンでは、信頼済みインターフェイスまたは外部インターフェイスのいずれかに接続して Web Setup Wizard を実行できることです。もう一つの違いは、ウィザードの終了後に仮想マシンが再起動するため、仮想マシンが新しいシリアル番号で再起動可能であることです。

Web Setup Wizard のすべての手順を 15 分以内に完了しない場合、ウィザードはすべての設定を保存しません。再度ログインして起動する必要があります。

Web Setup Wizard には、FireboxV デバイスをアクティブ化する手順が含まれます。機能キーで Firebox をアクティベートして、シリアル番号を取得し、ライセンス取得済みのすべての機能を有効にする必要があります。

FireboxV 仮想マシンで基本構成を設定するには、以下の手順を実行します。

  1. Web ブラウザを開き、外部または信頼済みインターフェイス上で Fireware Web UI に接続します。
  • 外部インターフェイスに接続する — FireboxV の外部ネットワーク上の任意のコンピュータから以下に接続します。
    https://<External_IP_Address>:8080
    <External_IP_Address> には、外部インターフェイスに割り当てられた IP アドレスを使用します。
  • 信頼済みインターフェイスに接続する — FireboxV の信頼済みネットワーク上の任意のコンピュータから以下に接続します。
    https://10.0.1.1:8080
  1. 既定の管理アカウント認証情報で Fireware Web UI にログインします。
  • ユーザー名 — admin
  • パスフレーズ — readwrite
  1. 新しい構成 を選択します。
  2. Web Setup Wizard の手順を完了します。

Web Setup Wizard で下記のステップを完了できます。

外部インターフェイスを構成する

デバイスが外部 IP アドレスを設定するために使用する方法を選択し、構成します。選択肢:

  • DHCP - ISP から提供された DHCP ID を入力します。
  • PPPoE - ISP から提供された PPPoE 情報を入力します。
  • Static — ISP から提供された静的 IP アドレスとゲートウェイ IP アドレスを入力します。

これらの方法についての詳しい情報は、次を参照してください: 外部インターフェイスを構成する

DNS および WINS サーバーの構成 (任意)

Firebox で使用できる DNS サーバーおよび WINS サーバーアドレスを入力します。

信頼済みインターフェイスの構成

信頼済みインターフェイスの IP アドレスを入力します。(オプション) Firebox で信頼済みネットワークに接続するコンピュータに IP アドレスを割り当てたい場合は、DHCP サーバーを有効にし、インターフェース IP アドレスと同じサブネットに IP アドレスの範囲を割り当てることができます。

デバイス用のパスフレーズを作成します

ステータス (読み取り専用) と管理者 (読み書き) ビルトインユーザー アカウントに新しいパスフレーズを設定します。

リモート管理を有効にする (オプション)

この Firebox を外部インターフェイスを介して管理する場合は、リモート管理を有効にします。

デバイス情報を追加する

デバイス名、場所と連絡先情報を入力して、このデバイスの管理情報を保存することができます。既定では、デバイス名は Firebox のモデル番号です。特にリモート管理を使用している場合には、この Firebox の識別を容易にするため、デバイス名を設定することをお勧めします。場所と連絡先は任意です。

タイム ゾーンの設定

Firebox が設置される地域のタイム ゾーンを選択します。

機能キーを追加

機能キーのテキストをコピーし、セットアップ ウィザードに貼り付けます。

Firebox のシリアル番号をアクティブ化した際に機能キーをコピーしなかった場合は、Firebox の製品詳細ページで取得できます。詳細については、製品の詳細ページについて を参照してください。

登録サービスを構成する

セットアップ ウィザードには、機能キーによってライセンス供与されたサービスのリストが表示されます。このセットアップ ウィザードは、推奨される設定を使ってリストされたサービスを自動的に有効化します。WebBlocker の場合、セットアップ ウィザードはブロックするコンテンツのカテゴリを推奨しますが、これらの設定はウィザードで変更することができます。

構成を保存する

構成設定を確認すると、セットアップ ウィザードによって構成が Firebox に保存されます。

Setup Wizard が完了した後

ウィザードを終了した後、FireboxV または XTMv 仮想マシンが新しいシリアル番号で再起動します。セットアップ ウィザードにより、アウトバウンド TCP、UDP、ping、およびトラフィックを許可し、要求していない外部ネットワークからのすべてのトラフィックをブロックする基本設定が作成されます。これにはインターフェイス IP アドレスおよび指定された管理パスフレーズも使用されます。ウィザードにより、既定のポリシーとサービスが推奨設定で有効化されます。既定のポリシーとサービスについての詳細は、次を参照してください: Setup Wizard の既定のポリシーと設定

Fireware Web Setup Wizard に接続するために使用するインターフェイスの IP アドレスを変更した場合、新しいアドレスを使用してデバイスに接続して管理する必要があります。

FireboxV および XTMv への管理接続

FireboxV または XTMv 仮想マシンでは、既定の WatchGuard および WatchGuard Web UI ポリシーにより、信頼済み、任意、または外部のネットワーク上の任意のコンピュータから管理接続できます。これは、既定で外部ネットワークからの管理接続が許可されない他の WatchGuard デバイスの既定の設定とは異なります。外部ネットワークからの管理接続を許可したくない場合は、WatchGuard および WathGuard Web UI ポリシーを編集して Any-External のエイリアスを From リストから削除する必要があります。外部ネットワーク上の特定のコンピュータのみから管理を許可するには、これらのポリシーでその管理コンピュータの IP アドレスを From リストに追加します。

Fireware Web UI、WatchGuard System Manager、または Fireware Command Line Interface(CLI)を使用して、FireboxV または XTMv 仮想マシンの設定を変更できます。同じネットワーク上の任意のコンピュータから信頼済みまたは外部インターフェイスに接続できます。

詳細については、次を参照してください:

FireboxV または XTMv デバイスを工場出荷時の設定にリセットする必要がある場合、Fireware Command Line interface(CLI)を使用できます。詳細については、FireboxV または XTMv を出荷時の既定設定にリセットする を参照してください。