Firebox で DNSWatch を有効化する

DNSWatchは、接続の種類、プロトコル、またはポートに関係なく、悪意のあるドメインへのユーザー接続を防止します。コンテンツ フィルタ ポリシーを適用して、カテゴリに基づいてコンテンツをブロックすることもできます。詳細については、WatchGuard DNSWatch について を参照してください。

Firebox にコンテンツ フィルタ ポリシーを適用することもできます。既定のコンテンツ フィルタ ポリシーがある場合は、それが新しい Firebox に自動的に適用されます。Firebox にコンテンツ フィルタ ポリシーを適用する方法については、コンテンツへのユーザー アクセスを管理する を参照してください。

DNSWatch は、Total Security Suite で利用可能な登録サービスです。Firebox で DNSWatch を有効化するには、Firebox で Fireware v12.1.1 以降を実行しており、機能キーで DNSWatch 登録サービスを有効化する必要があります。詳細については、次を参照してください:

DNSWatch の使用法の実施オプションについて

DNSWatch を有効にする場合、使用法の実施オプションを選択する必要があります。各インターフェイスごとに、実施を有効または無効に設定できます。使用法の実施設定は、Firebox が DNSWatch DNS サーバーにリダイレクトするアウトバウンド DNS 要求を制御します。

  • 有効 — Firebox は、インターフェイスからのすべてのアウトバウンド DNS 要求を DNSWatch DNS サーバーにリダイレクトします。
  • 無効 — Firebox では、Firebox 宛ての DNS 要求がある場合にのみ、インターフェイスからのすべてのアウトバウンド DNS 要求がその DNSWatch DNS サーバーにリダイレクトされます。

DNSWatch を有効にする場合、以下の実施オプションを最低 1 つ選択する必要があります:

  • 信頼済み、任意、およびカスタム インターフェイスを実施する
  • 選択したインターフェーイスを実施する
  • 実施を無効にする

ほとんどのネットワークでは、すべてのインターフェイスで実施を有効にすることをお勧めします。

お勧めの構成

DNSWatch は、Firebox の他の DNS 設定と通信します。ほとんどの場合、DNSWatch を有効にすると、既存の DNS 構成を変更する必要はありません。具体的なお勧めは以下のとおりです:

使用法の実施

ほとんどのネットワークでは、すべてのインターフェイスで DNSWatch 実施を有効にすることをお勧めします。DNSWatch が、特定の DNS サーバーを使用する必要があるネットワーク クライアントの DNS 解決に問題を引き起こすことが判明した場合は、クライアントが接続するインターフェイスのみの使用法の実施を無効にします。実施を無効にした場合、以下の説明の通り、他の DNS 設定を変更する必要が生じる場合があります。

インターフェイスの実施を無効にする場合は、Firebox のネットワーク DNS 設定でそのインターフェイスの DNS 転送を有効にします。DNS 転送が有効で、かつ Firebox が DHCP サーバーとして構成されている場合、Firebox は 独自の IP アドレスを DNS サーバーの IP アドレスとして DHCP クライアントに提供します。Firebox は、Firebox 宛のautumn DNS 要求を DNSWatch DNS サーバーに転送します。

ネットワーク (グローバル) DNS サーバー

ネットワークに内部 DNS サーバーがある場合、内部 DNS サーバーがネットワーク (グローバル) DNS 設定の最初に表示されていることを確認します。Firebox は、DNSWatch DNS サーバーでは解決できない DNS クエリに対して、グローバル DNS サーバーを使用します。詳細については、Firebox の DNS について を参照してください。

DNS 転送ルール

DNSWatch は、米国 (米国東部)、EU (アイルランド)、APAC (日本およびオーストラリア) の 3 つの地域に DNS サーバーを構えています。DNSWatch は、最も近い地域の DNSWatch DNS サーバーの IP アドレスを Firebox に送信します。Firebox が異なる地域にあり、特定のドメインの DNS クエリがローカルの地域の DNS サーバーに解決されるよう確認する場合は、そのドメインの DNS 転送ルールを追加します。DNS 転送ルールで、任意の DNS サーバーの IP アドレスを指定します。詳細については、DNS 転送について を参照してください。

WatchGuard 製品とサービスの多くは、地域のサーバーでホストされています。すべてのインターフェイスで実施が無効な場合は、サービスが以下のローカル地域のサーバーに解決するよう、これらのドメインに DNS 転送ルールを追加します:

  • watchguard.com
  • ctmail.com
  • rp.cloud.threatseeker.com

実施が有効になっている場合、これらの DNS 転送ルールは必要ありません。強制を有効にすると、DNSWatch はこれらのドメインの DNS 要求をDNSWatch に送信せず、代わりに Firebox のネットワーク DNS 設定で指定した DNS サーバーを使用します。

ローカル DNS サーバー

ローカル DNS サーバーが接続する Firebox インターフェイスの DNSWatch 実施を無効にする場合は、解決できない DNS クエリの DNS サーバーとして Firebox インターフェイスの IP アドレスを使用するよう DNS サーバーを構成します。Firebox は、DNS サーバーから受信したアウトバウンド DNS クエリをDNSWatch DNS サーバーに転送します。

ブリッジ モードの Firebox の DNSWatch

Fireware v12.4 以降で、ブリッジ モードで構成されている Firebox で DNSWatch を有効化することができます。ブリッジ モードの Firebox には、混合ルーティング モードで構成された Firebox と同じ使用法の実施オプションがあります。インターフェイスは、保護された Fireboxes の DNSWatch のインターフェイス リストに、Global Bridge という名前で表示されます。

ローカル ドメインの DNS 転送ルールを作成しない限り、DNSWatch が有効化されているブリッジ モードの Firebox では、ローカル ドメインのホスト名が解決されません。転送ルールの詳細については、DNS 転送について を参照してください。

選択した実施オプションは、DNSWatch が Firebox で設定されている他の DNS 設定よりも優先されるかどうかに影響します。詳細については、Firebox における DNSWatch DNS 設定の優先度 を参照してください。

Firebox で DNSWatch を有効化する

Policy Manager、CLI、または Fireware Web UI で、DNSWatch を有効化することができます。DNSWatch DNS サーバーの登録ステータスと IP アドレスは、Fireware Web UI にのみ表示されます。

  1. 登録サービス > DNSWatch の順に選択します。

Screen shot of the DNSWatch settings in Fireware Web UI

  1. DNSWatch サービスの有効化 チェックボックスを選択します。
  2. 使用法の実施 ドロップダウン リストから、実施オプションを選択します。
    規定のオプションは、実施の無効化 です。
    ネットワークにローカル DNS サーバーがない場合は、これを変更して、一部またはすべての内部インターフェイスで実施を有効化することをお勧めします。
  3. すべての信頼済み、オプション、およびカスタムインターフェイスで実施する を選択した場合、実施するインターフェイスを選択するには 選択 をクリックします。
    内部インターフェイスのリストが表示されます。規定では、実施はすべてのインターフェイスで有効です。

  1. すべてのインターフェイスの実施は、規定で有効です。インターフェイスの実施を無効にするには、そのインターフェイスのチェックボックスをオフにします。
  2. OK をクリックします。
  3. 保存 をクリックします。
    Firebox は、Firebox がアクティブ化された DNSWatch アカウントに接続し、Firebox を DNSWatch アカウントに登録します。DNSWatch DNS サーバーの登録ステータスと IP アドレスが、DNSWatch 構成ページに表示されます。
  1. 登録サービス > DNSWatch の順に選択します。

Screen shot of the Threat Detection & Response page in Policy Manager

  1. DNSWatch を有効にする チェックボックスをオンにします。
  2. ドロップダウン リストから実施オプションを選択します。
    規定のオプションは、実施の無効化 です。
    ネットワークにローカル DNS サーバーがない場合は、これを変更して、一部またはすべての内部インターフェイスで実施を有効化することをお勧めします。
  3. すべての信頼済み、オプション、およびカスタムインターフェイスで実施する を選択した場合、選択 をクリックして実施するインターフェイスを選択します。
    内部インターフェイスのリストが表示されます。

Screen shot of the Select Interfaces dialog box

  1. すべてのインターフェイスの実施は、規定で有効です。インターフェイスの実施を無効にするには、そのインターフェイスのチェックボックスをオフにします。
  2. OK をクリックします。
  3. 構成を Firebox に保存します。
    Firebox は、Firebox がアクティブ化された DNSWatch アカウントに接続し、Firebox を DNSWatch アカウントに登録します。DNSWatch DNS サーバーの登録ステータスと IP アドレスが、DNSWatch 構成ページに表示されます。

Firebox で DNSWatch ステータスを確認する

Firebox で DNSWatch を有効化すると、Firebox は、Firebox がアクティブ化された DNSWatch アカウントに接続し、Firebox を登録します。登録ステータスは、フロント パネル ダッシュボードの Fireware Web UI と DNSWatch 構成ページに表示されます。DNSWatch 登録ステータスは、Policy Manager では使用できません。

DNSWatch 登録ステータスを表示するには、Fireware Web UI から以下の手順を実行します:

  1. Fireware Web UI にログインします。
  2. 登録サービス > DNSWatch の順に選択します。

Screen shot of the DNSWatch configuration page with Registration Status and DNS Servers

DNSWatch ページには、Firebox の DNSWatch 登録ステータス、および DNSWatch DNS サーバーの IP アドレスが表示されます。

  • ステータス — DNSWatch のステータスを示します。ステータスは、以下のいずれかになります:
  • 無効化 — DNSWatch が有効化されていません。
  • 登録保留中 — Firebox の登録が完了していません。
  • アドレス取得中 — Firebox の登録は完了しているが、DNSWatch から IP アドレスは取得していません。
  • 動作可能 — Firebox の登録と IP アドレスの取得が完了しています。
  • エラー — エラーが発生しました。DNSWatch のエラーをトラブルシューティングする方法の詳細については、次を参照してください:DNSWatch サービス ステータスを監視する
  • 登録日 - Firebox が DNSWatch アカウントに正常に登録された日時を示します。
  • DNS サーバー - Firebox が DNS 解決に使用する DNSWatch DNS サーバの IP アドレス。これらの DNS サーバーの IP アドレスは、詳細タブの DNS サーバー リストの インターフェイス ダッシュ ボードにも表示されます。詳細については、DNSWatch DNS サーバーについて を参照してください。
  • ブラックホール サーバー — DNSWatch ブラックホール サーバーの IP アドレス。ドメイン フィードまたはブロックリストにあるドメインの DNS 要求が DNSWatch で受信されると、要求されたドメインの実際の IP アドレスではなく、ブラックホール サーバーの IP アドレスが返されます。DNSWatch ブラックホール サーバーの詳細については、DNSWatch ブラックホール サーバーについて を参照してください。

DNSWatch ステータスは、Fireware Web UI のフロント パネル ダッシュボード、および Firebox System Manager のフロントパネル タブにも表示されます。

Firebox が DNSWatch から DNS サーバーの IP アドレスを受け取ると、他の構成済みの DNS サーバーの IP アドレスとともに以下のいくつかの場所に DNSWatch DNS サーバーの IP アドレスが表示されます:

  • Fireware Web UI の場合は、インターフェイスのダッシュボードの詳細タブ
  • WatchGuard System Manager の場合は、デバイス ステータス タブ
  • Firebox System Managerの場合は、フロント パネル
  • Firebox System Manager の場合は、ドメイン名サーバーのリストのステータス レポート

DNSWatch アカウントに接続して、DNSWatch によって保護されている Firebox のリストを表示することができます。詳細については、DNSWatch によって保護された Firebox を表示する を参照してください。

Firebox にコンテンツ フィルタ ポリシーを適用することもできます。既定のコンテンツ フィルタ ポリシーがある場合は、それが新しい Firebox に自動的に適用されます。Firebox にコンテンツ フィルタ ポリシーを適用する方法については、コンテンツへのユーザー アクセスを管理する を参照してください。

Firebox で使用している DNSWatch DNS サーバーを確認する

Firebox が DNSWatch から DNS サーバーの IP アドレスを受け取ると、他の構成済みの DNS サーバーの IP アドレスとともに以下のいくつかの場所に DNSWatch DNS サーバーの IP アドレスが表示されます:

  • Fireware Web UI の場合は、インターフェイスのダッシュボードの詳細タブ
  • WatchGuard System Manager の場合は、デバイス ステータス タブ
  • Firebox System Managerの場合は、フロント パネル
  • Firebox System Manager の場合は、ドメイン名サーバーのリストのステータス レポート

DNSWatch を有効にする方法、および Firebox で DNSWatch の状態を確認する方法の詳細については、次を参照してください:Firebox での DNSWatch 構成の例

関連情報:

WatchGuard DNSWatch について

DNSWatch サービス ステータスを監視する