Sophos Firewall OS v19 では、数々の革新的機能が導入されています。この記事では、SD-WAN オーバーレイネットワーク、サイト間 VPN トンネル、リモートアクセス VPN をより簡単にオーケストレーションするために、VPN 管理と運用に追加されたさまざまな拡張機能について説明します。
Central VPN オーケストレーション
Sophos Firewall OS v19 は、SophosCentral で最近更新された SD-WAN VPN オーケストレーション機能を最大限に活用しています。これにより、数回クリックするだけで複雑なオーバーレイネットワークを迅速かつ簡単に定義できます。
- SD-WAN 接続グループに参加させたい管理下にあるファイアウォールをまずは選択します
- 次に、すべてのサイトにアクセスを許可するネットワークリソースを選択します
- スイッチを切り替えるだけで、必要なファイアウォールアクセスルールやトンネルが自動的に作成されるため、SD-WAN VPN オーバーレイネットワークが実現するのを確認できます
次の概要ビデオで、フルメッシュ、ハブアンドスポーク、またはその間にあるフルトンネル冗長性とフェールオーバーオプションをいかに簡単に作成できるかご確認ください。
オンボックス VPN 管理
ファイアウォールで VPN オーバーレイネットワークを直接管理している場合は、SFOS v19 を使用することで、これまで以上に直感的で簡単に操作できます。
リモートアクセスとサイト間 VPN にそれぞれのメインメニューの項目が追加され、簡単に見つけやすくなりました。
サブメニューが IPsec、SSL、LT2P の各タブに追加され、設定、クライアントダウンロード、ログビューアにすばやくアクセスできるようになりました。
IPsec ポリシーは、名前がプロファイルに変更され、システム > プロファイルのエリアに移動されましたが、迅速にアクセスできるように、上記に表示された IPsec 設定画面からハイパーリンクされています。
SSL リモートアクセスは、新しいウィザードアシスタントを搭載し、リモートアクセスに必要なすべての設定を大幅に効率化し、簡単に行うことができるようになりました。
クライアントレスポリシー、ブックマーク、ブックマークグループは、すべて 1つのタブ上に統合されています。
新しいタブが追加され、Amazon Web Services VPC トンネルを簡単にセットアップできるようになりました (これについては、この次のシリーズの記事で説明します)。
このビデオでは、ユーザーインターフェイスのすべての機能強化について詳しく説明します
v19 での VPN 操作の機能強化
Sophos Firewall OS v19 では、VPN の操作に関するいくつかの機能強化が行われました。
- IPsec RAのカスタムポリシーサポートは次のとおりです。
- デフォルトの IPsec RA ポリシーを使用すると、潜在的な PCI コンプライアンスの問題に対処するのに役立ちます
- 4時間おきの定期的な MFA プロンプトを回避するために、カスタムキー再生成時間の設定を有効にします。
- アイドルタイムアウトを 10分から最大 6時間に増やす新しいオプションが追加されました。
- ルートベース VPN (RBVPN) の拡張機能:
- スタティック マルチキャスト ルートのサポートが追加されました
- ルートベース VPN (RBVPN) でトラフィックセレクターをサポート
- トラフィックがローカルアドレスとリモートアドレスの指定されたペアと一致する場合は、トンネルを通過するトラフィックのみを許可する特定の RBVPN 内のトラフィックセレクタの定義に対応します。
- IPsec 向けの GCM および Suite-B 暗号スイートサポート
- IPsec 向けの AES-GCM は、IPsec VPN のパフォーマンスを大幅に向上させます
- SSL VPN:
- Open VPN / Open SSL をアップグレード
- SSL VPN トンネルにおけるデフォルトの TLS 1.3 サポート
- AES-NI パスが有効
- SSL VPN の GCM 暗号化がサポート
VPN ログの拡張機能
VPN 用の新しいログビューアモジュールの選択が利用可能になり、IPsec または SSL のいずれかを使用して、リモートアクセスとサイト間タイプのトンネルの両方の VPN 接続の監視およびトラブルシューティングを簡単にできるようになりました。
また、IPsec のログメッセージは、理解を深めるための詳細情報が充実しています。
SFOS v19 の新機能については、専用のブログ記事で紹介しています。引き続きこちらをお読みいただくと、XStream FastPath や XStream SD-WAN の詳細を確認できます。