ゲートウェイ Firebox について
ゲートウェイ Firebox は、Management Server をインターネットから保護するために役立つ Firebox デバイスです。WatchGuard Server Center Setup Wizard を実行して Management Server を設定する場合は、ゲートウェイ Firebox を使用するかどうかを選択します。常にゲートウェイ Firebox を使用することをお勧めします。
Gateway Firebox 用の IP アドレスを追加したとき、ウィザードは 3 つのことを行います:
- 指定した IP アドレスを使用してゲートウェイ Firebox に接続し、構成を更新します。
ウィザードは、Management Server ポリシー (WG-Mgmt-Server) をゲートウェイ Firebox の構成ファイルに自動的に追加します。このポリシーは、Any-External からの TCP ポート 4110、4112、および 4113 での受信接続を許可します。ポリシーの送信先は、ゲートウェイ Firebox の外部インターフェイスの IP アドレスを Management Server のプライベート IP アドレスに変換する静的 NAT アクションです。
ウィザードでゲートウェイ Firebox の IP アドレスを指定しなかった場合は、Management Server とインターネット間にあるファイアウォールを構成し、TCP ポート番号 4110、4112、4113 で Management Server への受信接続を許可する必要があります。
- WatchGuard System Manager の旧バージョンを使用し、DVCP サーバーとして構成している Firebox を使用する場合、ウィザードは DVCP サーバー情報をゲートウェイ Firebox から取得し、その設定内容を Management Server に適用します。
- ウィザードは証明書失効リスト (CRL) の IP アドレスを設定します。
Management Server を設定した後、管理対象クライアントとして追加するデバイスはその IP アドレスを使用して Management Server に接続します。この IP アドレスは、Management Server がインターネットに対して示すパブリック IP アドレスでなければなりません。
IP アドレスを指定しなかった場合、ウィザードは Management Server がインストールされているコンピュータの現在の IP アドレスを CRL IP アドレスとして使用します。コンピュータは NAT (ネットワーク アドレス翻訳) をするデバイスの配下にあるために、インターネットに示す IP アドレスが前述のアドレスではない場合は、Management Server のパブリック IP アドレスを使用するように CRL を変更する必要があります。NAT を行う Gateway Firebox を使用する場合は、Management Server のバージョンと同様であることを確認します。たとえば、Management Server が v11.5.x の場合は、NAT 付きのゲートウェイ Firebox は v11.5.x 以上でなければなりません。
詳細については、Management Server を新ゲートウェイ Firebox アドレスに更新する を参照してください。