Hyper-V 上に FireboxV または XTMv を配備する

このインストール手順では、Microsoft Windows Server 2012 上に Hyper-V ロールで FireboxV 仮想マシンを配備および構成する方法について説明します。インストールの手順は他の Hyper-V 環境に似ています。

WatchGuard FireboxV Hyper-V システム要件:

  • Windows Server または Hyper-V Server 2012 R2、2016、または 2019

WatchGuard XTMv Hyper-V システム要件:

  • Windows Server または Hyper-V Server 2012 R2、または 2016

Hyper-V における FireboxV または XTMv では FireCluster はサポートされていません。

インストールの前提条件

Microsoft Hyper-V 環境は次の要件を満たしている必要があります。

Hyper-V

  • Windows Server 上に仮想マシンを作成して事項するには、Hyper-V ロールが必要です。
  • Windows Server または Hyper-V Server ソフトウェアが最新のパッチレベルに更新されている。
  • このドキュメントの手順では、Windows Server 2012 R2 上で Hyper-V Manager を使用して、Hyper-V 環境で FireboxV 仮想マシンを配備、構成、およびプロビジョニングします。Hyper-V Manager の代わりに、System Center Virtual Machine Manager (VMM) インターフェイスを使用するか、またはクライアント コンピュータ上の Hyper-V ロールを使用することもできます。

ハードウェアとシステム リソース

  • ハードウェア: Hyper-V Server または Windows Server の要件を満たすすべてのハードウェア
  • 各 FireboxV 仮想マシンには 5 GB のディスク容量が必要です。
  • その他のシステム リソースは FireboxV または XTMv モデルによって異なります。
FireboxV モデル 最小合計メモリ 推奨メモリ 最大 vCPU 数
スモール

2048 MB*

 4096 MB 2
4096 MB 4096 MB 4
ラージ 4096 MB 8192 MB 8
エクストラ ラージ 4096 MB 16384 MB 16

* Access Portal と IntelligentAV を有効化し、IPS/Application Control の署名セットを完全に使用するには、4096 MB のメモリが必要です。

XTMv モデル メモリ 推奨 vCPU 数
スモール オフィス エディション 2048 MB 1
ミディアム オフィス エディション 4096 MB 2
ラージ オフィス エディション 4096 MB 3
データセンター エディション 4096 MB 8

Fireware 構成のインターフェイス 0 ~ 7 に対応する最大 8 台の追加ネットワーク アダプタを割り当てることができます。

すべての FireboxV および XTMv モデルは最大 10 のインターフェイスをサポートします。FireboxV または XTMv 仮想マシンではレガシー ネットワーク アダプタを使用できないため、Hyper-V 環境では FireboxV または XTMv インターフェイスの数は 8 に制限されます。

開始する前に

インストールを準備するには、次の情報が揃っていることを確認してください。

  • Windows Server または Hyper-V Server 2012 R2、2016、または 2019 に Hyper-V がインストールされている
  • FireboxV または XTMv のシリアル番号。
    FireboxV 仮想デバイスの購入時にシリアル番号を受け取ります。
  • FireboxV または XTMv 機能キー
    機能キーには、デバイスのシリアル番号とライセンス認証された機能が含まれています。
  • WatchGuard FireboxV 仮想ハードディスク(.vhd)ファイル
    ファイル名は fireboxv_<version>.vhd になります。ここで、<version> は Fireware のバージョンを表します。
  • WatchGuard System Manager (任意)
    WSM のバージョンは Fireware のバージョンと同じがそれ以降でなければなりません

機能キーを取得するには、以下の手順を実行します。

  1. www.watchguard.com/activate にアクセスして、デバイスのシリアル番号をアクティブ化します。
    アクティブ化プロセスにより、Firebox の機能キーが作成されます。
  2. 機能キーをローカル テキスト ファイルにコピーします。

Firebox で使用するインストール ファイルとその他のソフトウェアをダウンロードするには、以下の手順を実行します。

  1. software.watchguard.com にアクセスして、Hyper-V の FireboxV または XTMv を選択します。
  2. FireboxV zip または XTMv.zip ファイルをダウンロードします。
  3. WatchGuard System Manager をダウンロードします (任意)。

Hyper-V がインストールされている Windows サーバーの場所に .zip ファイルから .vhd ファイルを解凍します。Hyper-V が仮想ハードディスクを保存する既定の場所に .vhd ファイルを解凍することをお勧めします。Windows Server 2012 では、既定の場所は C:\Users\Public\Public Documents\Hyper-V\Virtual hard disks です。

.vhd ファイルは仮想ハードドライブであるため、電源が入った 2 台以上の仮想マシンで同時に使用することはできません。追加の FireboxV 仮想マシンを配備するには、解凍した .vhd ファイルのコピーに一意の名前を付けて各仮想マシンに保存する必要があります。以後、仮想マシンを追加するときに、その仮想マシンで使用する .vhd ファイルを選択します。

インストールの概要

初期インストールを完了するには、次の手順を完了します。

  1. FireboxV 仮想マシンを作成し、使用する .vhd ファイルを選択します。
  2. ネットワーク アダプタを割り当て、FireboxV または XTMv 仮想マシンの電源を入れます。
  3. FireboxV または XTMv 仮想マシンに接続し、Web Setup Wizard を実行します。
  4. FireboxV または XTMv 仮想マシンに追加のリソースを割り当てます。

このガイドでは、Web Setup Wizard を使用して、初期構成を作成する方法について説明します。FireboxV または XTMv の信頼済みネットワーク上のコンピュータに WatchGuard System Manager をインストールした場合、Web Setup Wizard の代わりに、WatchGuard System Manager の Quick Setup Wizard を使用して FireboxV または XTMv 仮想マシンを検索し、 基本構成を設定できます。

Web Setup Wizard で Firebox をアクティブ化するには、Firebox のシリアル番号が必要です。000000000 で終わるシリアル番号を使用することはできません。これはアクティブ化されていないデバイスのシリアル番号です。

ネットワークに関する注意事項

FireboxV 仮想アプライアンスを作成するとき、2 つのアクティブ状態のインターフェイスで初期構成されます。

外部インターフェイス

外部インターフェイスのインターフェイス 0 は、既定で DHCP サーバーから IP アドレスを要求するように設定されます。デバイスの初期設定時にこのインターフェイスに接続するには、DHCP サーバーがある宛先のネットワークにこのインターフェイスをマップする必要があります。

信頼済みインターフェイス

信頼済みインターフェイスのインターフェイス 1 は、既定の IP アドレス 10.0.1.1 が設定されます。

Hyper-V 環境で FireboxV 仮想マシンを作成するときには、FireboxV デバイスに Web Setup Wizard を実行する前に、少なくとも 2 台のネットワーク アダプタ (レガシー ネットワーク アダプタでない) を外部および信頼済みインターフェイスの仮想マシンに追加する必要があります。

FireboxV 仮想マシンを作成した後に、追加の FireboxV ネットワーク インターフェイスを有効にして設定することができます。追加のインターフェイスを使用するには、FireboxV の設定で有効にするネットワーク アダプタの数を追加するように、Hyper-V Manager または System Center VMM の FireboxV 仮想マシンを設定する必要があります。

FireboxV または XTMv 仮想マシンを作成する

Hyper-V Manager または System Center VMM を使用して、FireboxV 仮想マシンを作成できます。FireboxV の .vhd ファイルは 64 ビットの仮想マシンとしてインストールされます。

Hyper-V Manager を使用するには、以下の手順を実行します:

  1. Windows または Hyper-V Server で、Hyper-V Manager を起動します。
  2. アクション > 新規 > 仮想マシン の順に選択します。
    New Virtual Machine Wizard が起動します。
  3. 開始する前に ページが表示される場合、次へ をクリックします。
    名前と場所の指定 ページが表示されます。

Screen shot of the New Virtual Machine Wizard, Specify Name and Location

  1. 名前 テキスト ボックスに、この仮想マシンの名前を入力します。

  2. 既定のフォルダ以外のフォルダに仮想マシンを保存する場合は、仮想マシンを別の場所に保存する チェックボックスを選択します。参照 をクリックして、仮想マシンを保存する場所を選択します。次へ をクリックします。
    Hyper-V 2012 では、生成の指定 ページが表示されます。

  3. 生成の指定 ページで、生成 1 を選択します。次へ をクリックします。

  4. メモリの割り当て ページの 起動メモリ テキスト ボックスに、FireboxV モデルに基づいて割り当てるメモリ容量を入力します。

    • スモール — 1024 MB
    • ミディアム — 2048 MB
    • ラージまたはエクストラ ラージ — 4096 MB

  5. 次へ をクリックします。

  6. ネットワークを構成する ページが表示されます。

  7. 接続 ドロップダウン リストから、外部インターフェイス Eth0 に使用する仮想ネットワーク アダプタを選択します。レガシー ネットワーク アダプタ は選択しないでください。

  8. 次へ をクリックします。
  9. 既存の仮想ハード ディスクを使用する を選択します。

Screen shot of the New Virtual Machine Wizard, Connect Virtual Hard Disk

  1. 参照 をクリックして、WatchGuard FireboxV の .vhd ファイルを保存した場所を選択します。次へ をクリックします。
  2. 概要を確認します。完了 をクリックします。
    FireboxV 仮想マシンが Hyper-V Manager の 仮想マシン ウィンドウに表示されます。

Screen shot of the Virtual Machines pane with a FireboxV virtual machine added

ネットワーク アダプタを追加する

FireboxV 仮想マシン上で Fireware を構成する前に、2 台の仮想ネットワーク アダプタをそれに追加する必要があります。選択する最初の仮想ネットワーク アダプタは外部インターフェイス Eth0 用です。2 つ目の仮想ネットワーク アダプタは信頼済みインターフェイス Eth1 用です。FireboxV デバイスに使用する仮想ネットワーク アダプタは、レガシー ネットワーク アダプタではなく、ネットワーク アダプタでなければなりません。

New Virtual Machine Wizard で、最初の仮想ネットワーク アダプタを選択しました。次に、FireboxV 仮想マシンの信頼済みインターフェイス Eth1 に使用する仮想ネットワーク アダプタを追加する必要があります。これは、仮想マシンを起動していない状態で行う必要があります。

  1. Hyper-V Manager の 仮想マシン ウィンドウで、追加した FireboxV 仮想マシンを選択します。
  2. アクション リストから、設定 を選択します。
  3. ハードウェア リストから、ハードウェアの追加 を選択します。
  4. ネットワーク アダプタ を選択し、追加 をクリックします。
    レガシー ネットワーク アダプタ は選択しないでください。FireboxV は、レガシー ネットワーク アダプタをサポートしていません。
  5. 仮想スイッチ ドロップダウン リストから、FireboxV デバイスの信頼済みインターフェイス (Eth1) に使用する仮想スイッチを選択します。適用 をクリックします。
  6. 両方のネットワーク アダプタが ハードウェア リストに表示されていることを確認します。OK をクリックします。

この仮想マシンに仮想 CPU または仮想インターフェイスを追加したい場合、仮想マシンを起動する前に、それらのリソースをここで割り当てることができます。または、後でこの手順を実行できます。

仮想プロセッサーを追加するには、Hyper-V Manager で以下の手順を実行します:

  1. 仮想マシン ウィンドウで、FireboxV 仮想マシンを選択します。
  2. 仮想マシンの状態が オフ でない場合は、仮想マシンを右クリックして、電源を切る を選択します。
  3. アクション リストから、設定 を選択します。
  4. ハードウェア リストから、プロセッサー を選択します。
  5. 仮想プロセッサーの数 テキスト ボックスに、割り当てるプロセッサーの数を入力するか、または選択します。
  6. 適用 をクリックします。

追加リソースを割り当てる方法の詳細については、次を参照してください: Hyper-V 上でリソースを構成する

FireboxV 仮想マシンを起動する

次に、FireboxV 仮想マシンを起動します。FireboXV 仮想マシンの電源を初めて投入する場合、DHCP ブロードキャストが自動的に送信され、外部インターフェイスの IP アドレスを要求します。外部ネットワークで DHCP サーバーを構成する場合、FireboxV の外部インターフェイスが IP アドレスを受信します。

FireboxV 仮想マシンの電源を入れるには、以下の手順を実行します:

  1. Hyper-V Manager の 仮想マシン ウィンドウで、FireboxV 仮想マシンを選択します。
  2. アクション リストから、起動 を選択します。
    または、アクション > 起動 を選択します。
    FireboxV 仮想マシンの電源が工場出荷時の既定設定でオンになります。デバイスの状態が 実行中 になります。

FireboxV および XTMv の工場出荷時の既定設定

FireboxV または XTMv 仮想マシンの電源を初めて入れるときには、Setup Wizard を実行する前に、次の工場出荷時の既定設定で起動します。

  • 外部と信頼済みの 2 種類のアクティブなインターフェイスがあります。
  • 信頼済みインターフェイスの IP アドレスは 10.0.1.1 です。
  • 外部インターフェイスは、DHCP で IP アドレスを取得するように構成されています。
  • 信頼済みインターフェイスは、DHCP で IP アドレスを割り当てるように構成されていません。
    これは他の Firebox の既定の設定と異なります。
  • 信頼済みおよび外部のインターフェイスはいずれも管理接続を受け入れます。
    これは他の Firebox の既定の設定と異なります。
  • admin アカウントのパスフレーズは readwrite です。
  • アクティベートされていない FireboxV または XTMv デバイスのシリアル番号は 000000000 で終了します。
    実際のシリアル番号はデバイスのアクティベート中に割り当てます。

外部 IP アドレスを検索する

外部ネットワークに DHCP サーバーがある場合、FireboxV デバイスの外部インターフェイスに IP アドレスが自動的に割り当てられます。この IP アドレスを使用してデバイスに接続する場合、Fireware Command Line Interface (CLI) を使用して外部インターフェイスに割り当てられている IP アドレスを確認できます。

CLI を使用してアクティブ状態の FireboxV デバイスに割り当てられている IP アドレスを確認するには、以下の手順を実行します:

  1. Hyper-V Manager の 仮想マシン ウィンドウで、FireboxV 仮想マシンを選択します。
  2. アクション リストから、接続 を選択します。
  3. ログイン プロンプトで、status と入力します。
  4. パスワード プロンプトで、readonly と入力します。
    これは既定のステータス アカウントのパスフレーズです。
  5. show interface と入力します。
    コマンド出力に、外部および信頼済みインターフェイスの IPアドレスとステータスが表示されます。

Screen shot of the command line interface with the output of the show interface command

  1. Fireware CLI からログアウトするには、exit と入力します。

Web Setup Wizard を使用して基本構成を作成する

Fireware Web Setup Wizard は、他の Firebox と同様に、FireboxV とほぼ同じです。1 つ違う点は、FireboxV 仮想マシンでは、信頼済みインターフェイスまたは外部インターフェイスのいずれかに接続して Web Setup Wizard を実行できることです。もう一つの違いは、ウィザードの終了後に仮想マシンが再起動するため、仮想マシンが新しいシリアル番号で再起動可能であることです。

Web Setup Wizard のすべての手順を 15 分以内に完了しない場合、ウィザードはすべての設定を保存しません。再度ログインして起動する必要があります。

Web Setup Wizard には、FireboxV デバイスをアクティブ化する手順が含まれます。機能キーで Firebox をアクティベートして、シリアル番号を取得し、ライセンス取得済みのすべての機能を有効にする必要があります。

FireboxV 仮想マシンで基本構成を設定するには、以下の手順を実行します。

  1. Web ブラウザを開き、外部または信頼済みインターフェイス上で Fireware Web UI に接続します。
  • 外部インターフェイスに接続する — FireboxV の外部ネットワーク上の任意のコンピュータから以下に接続します。
    https://<External_IP_Address>:8080
    <External_IP_Address> には、外部インターフェイスに割り当てられた IP アドレスを使用します。
  • 信頼済みインターフェイスに接続する — FireboxV の信頼済みネットワーク上の任意のコンピュータから以下に接続します。
    https://10.0.1.1:8080
  1. 既定の管理アカウント認証情報で Fireware Web UI にログインします。
  • ユーザー名 — admin
  • パスフレーズ — readwrite
  1. 新しい構成 を選択します。
  2. Web Setup Wizard の手順を完了します。

Web Setup Wizard で下記のステップを完了できます。

外部インターフェイスを構成する

デバイスが外部 IP アドレスを設定するために使用する方法を選択し、構成します。選択肢:

  • DHCP - ISP から提供された DHCP ID を入力します。
  • PPPoE - ISP から提供された PPPoE 情報を入力します。
  • Static — ISP から提供された静的 IP アドレスとゲートウェイ IP アドレスを入力します。

これらの方法についての詳しい情報は、次を参照してください: 外部インターフェイスを構成する

DNS および WINS サーバーの構成 (任意)

Firebox で使用できる DNS サーバーおよび WINS サーバーアドレスを入力します。

信頼済みインターフェイスの構成

信頼済みインターフェイスの IP アドレスを入力します。(オプション) Firebox で信頼済みネットワークに接続するコンピュータに IP アドレスを割り当てたい場合は、DHCP サーバーを有効にし、インターフェース IP アドレスと同じサブネットに IP アドレスの範囲を割り当てることができます。

デバイス用のパスフレーズを作成します

ステータス (読み取り専用) と管理者 (読み書き) ビルトインユーザー アカウントに新しいパスフレーズを設定します。

リモート管理を有効にする (オプション)

この Firebox を外部インターフェイスを介して管理する場合は、リモート管理を有効にします。

デバイス情報を追加する

デバイス名、場所と連絡先情報を入力して、このデバイスの管理情報を保存することができます。既定では、デバイス名は Firebox のモデル番号です。特にリモート管理を使用している場合には、この Firebox の識別を容易にするため、デバイス名を設定することをお勧めします。場所と連絡先は任意です。

タイム ゾーンの設定

Firebox が設置される地域のタイム ゾーンを選択します。

機能キーを追加

機能キーのテキストをコピーし、セットアップ ウィザードに貼り付けます。

Firebox のシリアル番号をアクティブ化した際に機能キーをコピーしなかった場合は、Firebox の製品詳細ページで取得できます。詳細については、製品の詳細ページについて を参照してください。

登録サービスを構成する

セットアップ ウィザードには、機能キーによってライセンス供与されたサービスのリストが表示されます。このセットアップ ウィザードは、推奨される設定を使ってリストされたサービスを自動的に有効化します。WebBlocker の場合、セットアップ ウィザードはブロックするコンテンツのカテゴリを推奨しますが、これらの設定はウィザードで変更することができます。

構成を保存する

構成設定を確認すると、セットアップ ウィザードによって構成が Firebox に保存されます。

Setup Wizard が完了した後

ウィザードを終了した後、FireboxV または XTMv 仮想マシンが新しいシリアル番号で再起動します。セットアップ ウィザードにより、アウトバウンド TCP、UDP、ping、およびトラフィックを許可し、要求していない外部ネットワークからのすべてのトラフィックをブロックする基本設定が作成されます。これにはインターフェイス IP アドレスおよび指定された管理パスフレーズも使用されます。ウィザードにより、既定のポリシーとサービスが推奨設定で有効化されます。既定のポリシーとサービスについての詳細は、次を参照してください: Setup Wizard の既定のポリシーと設定

Fireware Web Setup Wizard に接続するために使用するインターフェイスの IP アドレスを変更した場合、新しいアドレスを使用してデバイスに接続して管理する必要があります。

FireboxV および XTMv への管理接続

FireboxV または XTMv 仮想マシンでは、既定の WatchGuard および WatchGuard Web UI ポリシーにより、信頼済み、任意、または外部のネットワーク上の任意のコンピュータから管理接続できます。これは、既定で外部ネットワークからの管理接続が許可されない他の WatchGuard デバイスの既定の設定とは異なります。外部ネットワークからの管理接続を許可したくない場合は、WatchGuard および WathGuard Web UI ポリシーを編集して Any-External のエイリアスを From リストから削除する必要があります。外部ネットワーク上の特定のコンピュータのみから管理を許可するには、これらのポリシーでその管理コンピュータの IP アドレスを From リストに追加します。

Fireware Web UI、WatchGuard System Manager、または Fireware Command Line Interface(CLI)を使用して、FireboxV または XTMv 仮想マシンの設定を変更できます。同じネットワーク上の任意のコンピュータから信頼済みまたは外部インターフェイスに接続できます。

詳細については、次を参照してください:

FireboxV または XTMv デバイスを工場出荷時の設定にリセットする必要がある場合、Fireware Command Line interface(CLI)を使用できます。詳細については、FireboxV または XTMv を出荷時の既定設定にリセットする を参照してください。