Microsoft Azure 上に Firebox Cloud を配備する

Firebox Cloud 仮想マシンを作成する前に、Microsoft Azure アカウントを作成する必要があります。アカウントをセットアップするときに、Microsoft Azure ポータルへの接続に使用する請求情報と認証情報を指定します。Firebox Cloud はストレージアカウントが必要です。Firebox Cloud 仮想マシンを配備する前にストレージアカウントを作成できます。または配備の一部としてストレージアカウントを作成できます。

Firebox Cloudソフトウェア プランおよびライセンスの種類を特定する

Azure で Firebox Cloud VM を作成する場合、次の 2 つのソフトウェア プランのいずれかを選択します。

Firebox Cloud (BYOL)

Bring Your Own License（BYOL）ソフトウェア プランでは、指定サイズ (スモール、ミディアム、ラージ、または エクストラ ラージ) のFirebox Cloud ライセンスを購入します。Firebox Cloud ライセンスにより、Firebox Cloud VM で使用できる Azure CPU コアの最大数が定義されます。

Firebox Cloud (BYOL) VM を作成するときに、ライセンスの種類 を選択します。適切なリソースを使用して VM を配備するには、Firebox Cloud ライセンスのサイズに合うライセンスの種類を選択します。

Firebox Cloud (PAYG)

Pay As You Go (PAYG) ソフトウェア プランの場合、Firebox Cloud ライセンスは購入しません。PAYG オプションには、30 日間の無料試用が含まれています。

ライセンスのオプションおよび試用版の詳細については、次を参照してください：Firebox Cloud のライセンス オプション。

SSH 認証用のキー ペアを作成する

Firebox Cloud インスタンスを作成する前に、SSH-2 RSA パブリック キー/プライベート キーのペアを生成する必要があります。Linux の puttygen または ssh-keygen コマンドのようなツールを使用して、キー ペアを生成できます。

• Firebox Cloud インスタンスを配備する際にパブリック キーを使用します。
• プライベート キーは Firebox Cloud の Fireware Command Line Interface (CLI) への ssh 接続に使用します。

puttygen ユーティリティを使用して SSH-2 RSA キー ペアを生成するには、次の手順を実行します：

1. www.putty.org から PuTTYgen ユーティリティをダウンロードしてインストールします。
2. PuTTYgen を起動します。
3. 生成 をクリックします。
4. 空欄の領域の上にマウスを移動させて、何らかの偶発性を生成します。
   PuTTYgen がマウスの動きを入力として使用し、キー ペアを生成します。

5. 生成したパブリック キーをファイルに保存するには、パブリック キーの保存 をクリックします 。
6. (任意) プライベート キー ファイルを保護するパスフレーズを指定します。
7. 生成したプライベート キーをファイルに保存するには、プライベート キーの保存 をクリックします 。

プライベート キーを安全な場所に保存します。Fireware Command Line Interface に接続するには、プライベート キーが必要です。

Firebox Cloud を配備する

Firebox Cloud のインスタンスを作成するには、次の手順を実行します：

1. Microsoft Azure アカウントの認証で Azure ポータルにログインします。
2. リソースを作成する をクリックします。
   Azure マーケットプレイスが開きます。
3. 検索 テキスト ボックスに、Firebox Cloud と入力します。
4. WatchGuard Firebox Cloud を選択します。
   WatchGuard Firebox Cloud のライセンス オプションが開きます。

5. ソフトウェア プランを選択する ドロップダウン リストから、WatchGuard Firebox Cloud (BYOL) または WatchGuard Firebox Cloud (PAYG) を選択します。
6. 作成 をクリックします。
   VM の構成手順が開きます。

7. 基本 の手順では、仮想マシンに関する基本情報を指定します。

サブスクリプション

仮想マシンとリソースが保存される Azure 登録の名前。これは Microsoft からの VM の利用とストレージの請求先となるアカウントです。

リソース グループ

リソース グループは、同じライフサイクル、権限、およびポリシーを共有するリソースのコレクションです。ネットワークやインターフェイスなどのすべてのオブジェクトおよび Firebox Cloud インスタンスのデータが、指定されたリソース グループに関連付けられます。リソース グループは、Firebox からの既存の Azure リソースへのネットワークや接続には影響しません。

Microsoft Azure では、既存のリソースを持つリソース グループへの管理対象アプリケーション配備はサポートされていません。新しいリソース グループを作成するか、空のリソース グループを使用する必要があります。

場所

この Firebox Cloud インスタンスの Azure の地域。

Firebox Cloud VM 名

Azure ポータルの Firebox Cloud 仮想マシンの名前。

8. BYOL オプションを使用している場合は 次へ：仮想マシン設定 を、PAYG オプションを使用している場合は 次へ：VM サイズとキー データ をクリックします。
   仮想マシン設定の構成手順が開きます。

9. 仮想マシン設定 手順で、仮想マシン構成の詳細を指定します。

Firebox Cloud ライセンスの種類と VM サイズ — Firebox Cloud (BYOL) の場合

BYOL ライセンスの場合、Firebox Cloud ライセンスの種類を選択します。これは、WatchGuard または WatchGuard の販売代理店から購入した Firebox Cloud ライセンスです。スモール、ミディアム、ラージ、または エクストラ ラージ を選択します。ライセンスの種類を選択すると、既定で適切な VM サイズが選択されます。別のサイズを選択するには、サイズを変更する をクリックします。可用性セットは、BYOL 配備の一部として作成されます。

Azure VM レベルと VM のサイズ — Firebox Cloud (PAYG) の場合

PAYG ライセンスの場合は、仮想マシンの Azure VM レベルを選択します。Free Tier Eligible または Standard を選択します。VM のレベルを選択すると、既定で適切な VM サイズが選択されます。別のサイズを選択するには、サイズを変更する をクリックします。

SSH パブリック キー

この Firebox のパブリック キー。Linux の puttygen または ssh-keygen コマンドのようなツールを使用して、キー ペアを生成できます。Firebox Cloud CLI に接続する際に、このパブリック キーに関連付けられたプライベート キーを使用する必要があります。

ストレージ アカウント

起動診断ログ ファイルを保存するストレージ アカウントの名前。選択するストレージ アカウントは、登録の別のリソース グループにないものである必要があります。起動診断ログ ファイルには、WatchGuard サポートが問題のトラブルシューティングする際に役立つ情報が含まれています。

10. BYOL オプションを使用している場合は 次へ：ネットワーク設定 を、PAYG オプションを使用している場合は ネットワーク をクリックします。

11. ネットワーク設定 の手順で、必要となるネットワーク構成情報を指定します。

仮想ネットワーク

この Firebox Cloud に使用する仮想ネットワーク。既定では、/16 ネットマスクの新しい使用可能なアドレス空間が選択されています。既定の仮想ネットワークを使用するか、既定の仮想ネットワークを編集するか、または別の既存の仮想ネットワークを選択できます。

外部 (パブリック) サブネット

外部 (パブリック) ネットワークで使用されるサブネットを確認して構成します。

信頼済み (プライベート) サブネット

信頼済み (プライベート) ネットワークで使用されるサブネットを確認して構成します。

外部ネットワーク セキュリティ グループ

ネットワーク セキュリティ グループには、仮想マシンに対するネットワークの送受信トラフィックの許可と拒否を決定するセキュリティ ルールが含まれます。なし を選択すると、外部ネットワーク セキュリティ グループは適用されません。管理のみ を選択すると、外部ネットワーク セキュリティ グループが適用され、これにより、Firebox への Web UI、CLI、および WatchGuard System Manager 接続において、TCP 8080、TCP 4118、TCP 4117 での受信トラフィックが許可されます。すべてを許可 を選択すると、Firebox へのすべての受信トラフィックが許可されます。

パブリック IP アドレス

Firebox Cloud の外部インターフェイスに使用するパブリック IP アドレスを選択または作成します。新規のパブリック IP アドレスには、名前を指定して、SKU タイプ (Basic または Standard) を選択します。Basic SKU タイプを選択する場合、IP アドレスの割り当てタイプ (Dynamic または Static) を選択します。

ネットワーク セキュリティ グループを作成して関連付け、目的の受信トラフィックを明示的に許可しないと、Standard SKU タイプのパブリック IP アドレスへの受信接続は失敗します。詳細については、 Microsoft Azure ドキュメントの Azure における IP アドレスの種類と割り当て方法 の記事を参照してください。

セカンダリ IP アドレスを割り当てるには、Azure Portal を使用して仮想マシンに複数の IP アドレスを割り当てる を参照してください。

ドメイン名ラベル

Firebox Cloud のパブリック IP アドレスの DNS ラベルを指定します。これはすべて小文字および数字で指定する必要があります。

12. 次へ：確認 + 作成 をクリックします。
13. 次へ：確認 + 作成 手順で、情報を確認して、間違いがある場合は訂正します。
14. 作成 をクリックします。
    配備が開始されます。

配備が完了した後、リソース グループに移動し、Microsoft Azure ダッシュボードに VM を ping できます。

インスタンス ID (VM ID) を見つける

Firebox Cloud インスタンスを配備した後、VM ID として知られるインスタンス ID を見つけます。これはライセンスをアクティベートし、Fireware Web UI にログインして、Firebox Cloud セットアップ ウィザードを実行するために必要です。インスタンス ID は、起動診断ログのストレージ コンテナ名内で確認できます。

Firebox Cloud インスタンス ID を見つけるには、次の手順を実行します：

1. Azure の左側のナビゲーション メニューから、ストレージ アカウント を選択します。
2. Firebox Cloud インスタンスに関連付けられたストレージ アカウントの名前をクリックします。
3. ブロブ サービス セクションで、コンテナ を選択します。
4. 起動診断コンテナを見つけます。起動診断コンテナの名前は以下のような形式になっています。
   <bootdiagnostics>-<vmname>-<vmid>
   例:
   bootdiagnostics-fbcloud-11111111-2222-3333-4444-f86331913a6d
5. コンテア目の最後に VMID をコピーします。

このインスタンス ID は、Firebox Cloud のライセンスをアクティベートし、Firebox Cloud セットアップ ウィザードを実行するために必要です。

Firebox Cloud ライセンスをアクティベートする

Firebox Cloud に BYOL ライセンスが付与されている場合、WatchGuard Portal で Firebox Cloud のシリアル番号をアクティベートする必要があります。Firebox Cloud をアクティベートする前に、WatchGuard から受け取った Firebox Cloud のシリアル番号を用意し、Firebox Cloud のインタンス ID を知っておく必要があります。

Firebox Cloud ライセンスをアクティベートするには、次の手順を実行します。

1. www.watchguard.com にアクセスします。
2. サポート をクリックします。
3. 製品をアクティブ化する をクリックします。
4. WatchGuard カスタマーまたは Partner ポータル アカウントにログインします。アカウントをお持ちでない場合は、作成することができます。
5. 必要があれば、Support Center に移動して、マイ WatchGuard > 製品のアクティベート の順で選択します。
6. プロンプトが表示されたら、Firebox Cloud のシリアル番号とインスタンス ID を入力します。
7. アクティベーションが完了したら、機能キーをコピーし、ローカル ファイルに保存します。

Firebox Cloud ライセンスをアクティブ化する方法の詳細については、WatchGuard のデバイスまたは機能を有効化する を参照してください。

Firebox Cloud セットアップ ウィザードを実行する

Fireware Cloud を配備した後、パブリック IP アドレスで Fireware Web UI に接続して、Firebox Cloud セットアップ ウィザードを実行できます。ウィザードを使用して、Firebox Cloud の管理パスワードを設定します。

Firebox Cloud セットアップ ウィザードを実行するには、次の手順を実行します。

1. 次のパブリック IP アドレスが割り当てられた Firebox Cloud の Fireware Web UI に接続します：
   https://<eth0_public_IP>:8080
2. 次の既定の管理者アカウントのユーザー名とパスフレーズを使用してログインします。
   • ユーザー名 — admin
   • パスフレーズ — Firebox Cloud インスタンス ID

   Firebox Cloud Setup Wizard のようこそページが開きます。

3. 次へ をクリックします。
   セットアップ ウィザードが開始します。
4. エンドユーザー使用許諾契約を読んで同意します。次へ をクリックします。

5. ビルトイン ステータス および admin ユーザー アカウントの新しいパスフレーズを指定します。
6. 次へ をクリックします。
   設定が Firebox Cloud に保存され、ウィザードが終了します。

Fireware Web UI に接続する

Fireware Web UI に接続して Firebox Cloud を管理するには、次の手順を実行します。

1. Web ブラウザを開き、次の Firebox Cloud のインスタンスのパブリック IP アドレスに移動します：
   https://<eth0_public_IP>:8080
2. admin ユーザー アカウントでログインします。Firebox Cloud セットアップ ウィザードで設定したパスフレーズを指定します。

既定では、Firebox Cloud にはデバイス管理者の認証情報をもつ 2 名以上のユーザーが同時にログインすることができます。2 名以上の管理者による変更を防ぐため、設定は既定でロックされています。構成をロック解除して変更を行うには、 をクリックしてください。

1 名のでデバイス管理者のみにログインを制限したい場合は、システム > グローバル設定 を選択し、複数のデバイス管理者が同時に Firebox にログインすることを許可する チェックボックスをクリアします。

Microsoft Azure は Firebox Cloud の不活動時間が 30 分経過すると管理接続を自動的に終了します。管理セッションが予期せず切断されることを避けるためには、Fireware の 認証 > 設定 ページで管理セッションの アイドル タイムアウト を 30 分以上の値に設定しないようにします。

機能キーを追加

Firebox Cloud の機能キーをローカル ファイルで受け取った、またはダウンロードした場合、機能キー ウィザードで はい、機能キーのローカル コピーがあります を選択して、機能キーをウィザードに貼り付けます。

WatchGuard Portal で Firebox Cloud ライセンスをアクティブ化した場合、WatchGuard から機能キーを直接使用できます。Firebox Cloud のすべての機能と設定オプションを有効にするには、この機能キーを Firebox Cloud に追加する必要があります。

機能キーを追加した後、Firebox Cloud が新しいシリアル番号で自動的に再起動します。

機能キーを追加するには、Fireware Web UI から次の手順を実行します。

1. システム > 機能キー の順に選択します。
   Feature Key Wizard ページが開きます。

2. 構成ファイルをロック解除するには、 をクリックします。
3. 機能キーをダウンロードしてインストールするには、次へ をクリックします。
4. 概要 ページで、機能キーが正常にインストールされていることを確認します。
   機能キーがインストールされていると、概要 ページに 機能キーが正常に取得されました と表示されます。

5. 次へ をクリックします。
   ウィザードが終了し、Firebox Cloud が新しいシリアル番号で再起動します。

次のステップ

セットアップ ウィザードを実行し、機能キーを追加した後、Fireware Web UI または Policy Manager を使用して、Firebox Cloud の設定を構成できます。

機能キーの同期化を有効化する

サービスの期限切れが近づいたら、Firebox Cloud が機能キーの更新を自動的にチェックするように設定してください。

機能キーの同期化を有効にするには、Fireware Web UI で以下の手順を実行します：

1. システム > 機能キー の順に選択します。
2. 機能キーの自動同期化を有効化 チェックボックスを選択します。
3. 保存 をクリックします。

機能キーの同期化を有効するには、Policy Manager で以下の手順を実行します：

1. WatchGuard System Manager で Firebox Cloud に接続します。
2. Policy Manager を開きます。
3. 設定 > 機能キー の順に選択します。
4. 機能キーの自動同期化を有効化 チェックボックスを選択します。
5. 保存 をクリックします。

Firebox Cloud がフィードバックを WatchGuard に送信するように設定する

Firebox Cloud でフィードバックの送信を有効にするには、Fireware Web UI から以下の手順を実行します：

1. システム > グローバル設定 の順に選択します。
2. デバイスのフィードバックを WatchGuard に送信する チェックボックスをオンにします。
3. 障害レポートを毎日 WatchGuard に送信する チェックボックスを選択します。

Firebox Cloud でフィードバックの送信を有効にするには、Policy Manager から以下の手順を実行します：

1. WatchGuard System Manager で Firebox Cloud に接続します。
2. Policy Manager を開きます。
3. 設定 > グローバル設定 の順に選択します。
4. デバイスのフィードバックを WatchGuard に送信する チェックボックスをオンにします。
5. 障害レポートを毎日 WatchGuard に送信する チェックボックスを選択します。

ファイアウォール ポリシーとサービスを設定する

既定の WatchGuard および WatchGuard Web UI ポリシーにより、信頼済み、任意、または外部のネットワーク上の任意のコンピュータから管理接続することができます。外部ネットワークからの管理接続を許可したくない場合は、WatchGuard および WathGuard Web UI ポリシーを編集して Any-External のエイリアスを From リストから削除する必要があります。外部ネットワーク上の特定のコンピュータのみから管理を許可するには、これらのポリシーでその管理コンピュータの IP アドレスを From リストに追加します。

他の Firebox と同様に、他のポリシーとサービスを構成します。

Firebox Cloud は、Fireware のすべての機能をサポートしているとは限りません。Firebox Cloud と他の Firebox モデルの相違点の概要については、次を参照してください： Firebox Cloud 機能の相違点。