3.0
配信ガイド
※注意事項
トレンドマイクロ（トレンドマイクロ株式会社およびその子会社を含みます）
へのお客さま情報の送信について
(1) 「Web レピュテーションサービス」、「フィッシング詐欺対策」、「ペアレン
タルコントロール/URL フィルタリング」および「Trend ツールバー」等につ
いて
①トレンドマイクロでは、お客さまがアクセスした Web ページの安全性の確
認のため、お客さまより受領した情報にもとづき、お客さまがアクセスする
Web ページのセキュリティチェックを実施します。なお、お客さまがアクセ
スした URL の情報等(ドメイン、IP アドレス等を含む)は、暗号化してトレン
ドマイクロのサーバに送信されます。サーバに送信された URL 情報は、Web
サイトの安全性の確認、および当該機能の改良の目的にのみ利用されます。
②当該機能を有効にしたうえで、Web ページにアクセスした場合、以下の事
象がおこることがありますのでご注意ください。
(a)お客さまがアクセスした Web ページの Web サーバ側の仕様が、お客さまが
入力した情報等を URL のオプション情報として付加し Web サーバへ送信す
る仕様の場合、URL のオプション情報にお客さまの入力した情報（ID、パス
ワード等）などを含んだ URL がトレンドマイクロのサーバに送信され、当該
Web ページのセキュリティチェックが実施されます。
(b)お客さまがアクセスする Web ページのセキュリティチェックを実施する仕
様になっていることから、お客さまがアクセスする Web サーバ側の仕様に
よっては、URL のオプション情報に含まれる内容により、お客さまの最初の
リクエストと同様の処理が行われます。
③Web サイトのセキュリティ上の判定はトレンドマイクロの独自の基準によ
り行われております。当該機能において判定された Web サイトのアクセス可
否の最終判断につきましては、お客さまにてお願いします。
(2) Trend Micro Smart Protection Network（「スマートフィードバック」、「ファイ
ルレピュテーションサービス」、「脅威情報の送信」および「ウイルストラッ
キング」等を含みます）について
脅威に関する情報を収集、分析し保護を強化するために、お客さまのコン
ピュータに攻撃を試みる脅威に関連すると思われる情報を収集して、トレン
ドマイクロに送信することがあります。送信された情報はプログラムの安全
性の判定や統計のために利用されます。また情報にお客さまの個人情報や機
密情報等が意図せず含まれる可能性がありますが、トレンドマイクロがファ
イルに含まれる個人情報や機密情報自体を収集または利用することはありま
せん。お客さまから収集された情報の取り扱いについての詳細は、http://
jp.trendmicro.com/jp/about/privacy/spn/index.html をご覧ください。
(3) 「迷惑メール対策ツール」について
トレンドマイクロ製品の改良目的および迷惑メールの判定精度の向上のた
め、トレンドマイクロのサーバに該当メールを送信します。また、迷惑メー
ルの削減、迷惑メールによる被害の抑制を目指している政府関係機関に対し
て迷惑メール本体を開示する場合があります。
(4) 「E-mail レピュテーションサービス」について
スパムメールの判定のために、送信元のメールサーバの情報等をトレンドマ
イクロのサーバに送信します。
(5) 「ユーザービヘイビアモニタリング」について
トレンドマイクロ製品の改良目的のために、お客さまがトレンドマイクロ製
品をどのような設定にして利用しているのかがわかる設定の情報およびお客
さまがトレンドマイクロ製品をどのように操作したのかがわかる操作履歴の
情報を、匿名でトレンドマイクロのサーバに送信します。
(6) 「製品使用情報の送信」について
お客さまへのサポートサービスの提供、製品の改良および統計的処理のため
に、ご利用製品のライセンス情報および製品の使用環境情報を、トレンドマ
イクロのサーバに送信されることがあります。
輸出規制について
お客さまは、本製品およびそれらにおいて使用されている技術（以下「本ソ
フトウェア等」といいます）が、外国為替および外国貿易法、輸出貿易管理
令、外国為替令および省令、ならびに、米国輸出管理規則に基づく輸出規制
の対象となる可能性があること、ならびにその他の国における輸出規制対象
品目に該当している可能性があることを認識の上、本ソフトウェア等を適正
な政府の許可なくして、禁輸国もしくは貿易制裁国の企業、居住者、国民、
または、取引禁止者、取引禁止企業に対して、輸出もしくは再輸出しないも
のとします。
お客さまは、2013 年 6 月現在、米国により定められる禁輸国が、キューバ、
イラン、北朝鮮、スーダン、シリアであること、禁輸国に関する情報が、以
下のウェブサイトにおいて検索可能であること、ならびに本ソフトウェア等
に関連した米国輸出管理法令の違法行為に対して責任があることを認識の
上、違法行為が行われないよう、適切な手段を講じるものとします。
http://www.treas.gov/offices/enforcement/ofac/
http://www.bis.doc.gov/complianceandenforcement/ListsToCheck.htm
また、お客さまが本ソフトウェア等を使用する場合、米国により現時点で輸
出を禁止されている国の居住者もしくは国民ではないこと、および本ソフト
ウェア等を受け取ることが禁止されていないことを認識し、お客さまは、本
ソフトウェア等を、大量破壊を目的とした、核兵器、化学兵器、生物兵器、
ミサイルの開発、設計、製造、生産を行うために使用しないことに同意する
ものとします。
複数年契約について
・お客さまが複数年契約（複数年分のサポート費用前払い）された場合でも、
各製品のサポート期間については、当該契約期間によらず、製品ごとに設定
されたサポート提供期間が適用されます。
・複数年契約は、当該契約期間中の製品のサポート提供を保証するものでは
なく、また製品のサポート提供期間が終了した場合のバージョンアップを保
証するものではありませんのでご注意ください。
・各製品のサポート提供期間は以下の Web サイトからご確認いただけます。
http://jp.trendmicro.com/jp/support/lifecycle/index.html
著作権について
本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。
トレンドマイクロ株式会社が事前に承諾している場合を除き、形態および手
段を問わず、本書またはその一部を複製することは禁じられています。本ド
キュメントの作成にあたっては細心の注意を払っていますが、本書の記述に
誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わない
ものとします。本書およびその記述内容は予告なしに変更される場合があり
ます。
商標について
TRENDMICRO、TREND MICRO、ウイルスバスター、ウイルスバスター On‐
Line Scan、PC-cillin、InterScan、INTERSCAN VIRUSWALL、ISVW、
InterScanWebManager、ISWM、InterScan Web Security Suite、IWSS、TRENDMICRO
SERVERPROTECT、PortalProtect、Trend Micro Control Manager、Trend Micro
MobileSecurity、VSAPI、トレンドマイクロ・プレミアム・サポート・プログラ
ム、License for Enterprise Information Security、LEISec、Trend Park、Trend Labs、
InterScan Gateway Security Appliance、Trend Micro Network VirusWall、Network
VirusWall Enforcer、Trend Flex Security、LEAKPROOF、Trend プロテクト、Expert
on Guard、InterScan Messaging Security Appliance、InterScan Web Security Appliance、
InterScan Messaging Hosted Security、DataDNA、Trend Micro Threat Management
Solution、Trend Micro Threat Management Services、Trend Micro Threat Management
Agent、Trend Micro Threat Mitigator、Trend Micro Threat Discovery Appliance、Trend
Micro USB Security、InterScan Web Security Virtual Appliance、InterScan Messaging
Security Virtual Appliance、Trend Micro Reliable Security License、TRSL、Trend Micro
Smart Protection Network、Smart Protection Network、SPN、SMARTSCAN、Trend
Micro Kids Safety、Trend Micro Web Security、Trend Micro IM Security、Trend Micro
Email Encryption、Trend Micro Email Encryption Client、Trend Micro Email
Encryption Gateway、Trend Micro Collaboration Security、Trend Micro Portable
Security、Portable Security、Trend Micro Standard Web Security、トレンドマイクロ
アグレッシブスキャナー、Trend Micro Hosted Email Security、Hosted Email
Security、Trend Micro Deep Security、ウイルスバスタークラウド、ウイルスバス
ター CLOUD、Smart Surfing、スマートスキャン、Trend Micro Instant Security、
Trend Micro Enterprise Security for Gateways、Enterprise Security for Gateways、Trend
Micro Email Security Platform、Trend Smart Protection、Vulnerability Management
Services、Trend Micro Vulnerability Management Services、Trend Micro PCI Scanning
Service、Trend Micro Titanium、Trend Micro Titanium AntiVirus Plus、Smart Protection
Server、Deep Security、Worry Free Remote Manager、ウイルスバスター ビジネス
セキュリティサービス、HOUSECALL、SafeSync、トレンドマイクロ オンライ
ンストレージ SafeSync、Trend Micro InterScan WebManager SCC、Trend Micro NAS
Security、Trend Micro Data Loss Prevention、TREND MICRO ENDPOINT
ENCRYPTION、Securing Your Journey to the Cloud、Trend Micro オンラインスキャ
ン、Trend Micro Deep Security Anti Virus for VDI、Trend Micro Deep Security Virtual
Patch、Trend Micro Threat Discovery Software Appliance、SECURE CLOUD、Trend
Micro VDI オプション、おまかせ不正請求クリーンナップサービス、Trend
Micro Deep Security あんしんパック、こどもーど、Deep Discovery、TCSE、お
まかせインストール・バージョンアップ、トレンドマイクロ バッテリーエイ
ド、Trend Micro Safe Lock、トレンドマイクロ セーフバックアップ、Deep
Discovery Advisor、Deep Discovery Inspector、Trend Micro Mobile App Reputation、
あんしんブラウザ、Jewelry Box、カスタム ディフェンス、InterScan Messaging
Security Suite Plus、おもいでバックアップサービス、おまかせ！スマホお探し
サポート、プライバシースキャナー、保険&デジタルライフサポート、
LiveWedding、おまかせ！迷惑ソフトクリーンナップサービス、Smart Protection
Integration Framework、および InterScan Web Security as a Service は、トレンドマ
イクロ株式会社の登録商標です。
本書に記載されている各社の社名、製品名およびサービス名は、各社の商標
または登録商標です。
Copyright © 2015. Trend Micro Incorporated. All rights reserved.
P/N: APEM26478/140919_JP (2015/02)
目次
はじめに
はじめに ........................................................................................................... 11
ドキュメント ................................................................................................. 12
対象読者 ........................................................................................................... 12
ドキュメントの表記規則 ........................................................................... 13
.............................................................................................................................. 13
第 1 章：Cloud Edge について
Cloud Edge の概要 ......................................................................................... 16
Cloud Edge の仕組み .................................................................................... 19
主な機能 ........................................................................................................... 20
ハイブリッドセキュリティ .............................................................. 23
オンプレミスの機能 ............................................................................ 24
クラウドの機能 ..................................................................................... 25
第 2 章：スタートガイド
最初の作業 ...................................................................................................... 32
配置作業 ........................................................................................................... 33
第 3 章：Licensing Management Platform
Trend Micro Licensing Management Platform ........................................... 36
機能と利点 ...................................................................................................... 36
LMP にアクセスする ................................................................................... 37
サービスプランを作成する ...................................................................... 38
会社を作成してサービスプランを割り当てる ................................. 39
vii
Cloud Edge 3.0 配置ガイド
第 4 章：Trend Micro Remote Manager
Trend Micro Remote Manager ....................................................................... 44
初期設定テンプレートを設定する ........................................................ 44
会社を作成してサービスプランを割り当てる ................................. 46
Cloud Edge Cloud Console にシングルサインオンする .................... 48
毎日の監視 ...................................................................................................... 49
レポートの概要 ..................................................................................... 50
[多くの脅威にさらされている Cloud Edge デバイス] ウィ
ジェット .................................................................................................. 52
[多くの脅威にさらされている Cloud Edge ユーザ] ウィジェッ
ト ................................................................................................................ 53
ゲートウェイデバイスを管理する ........................................................ 54
Remote Manager の詳細 ................................................................................ 56
第 5 章：Cloud Edge Cloud Console
Cloud Console にログオンする ................................................................. 58
[スタートガイド] 画面 ................................................................................ 59
Cloud Edge Cloud Console の概要 .............................................................
ダッシュボードについて ..................................................................
ゲートウェイについて .......................................................................
ログ分析について ................................................................................
ポリシーについて ................................................................................
レポートについて ................................................................................
60
60
61
62
63
63
ゲートウェイ管理 ........................................................................................ 63
登録 ............................................................................................................ 64
ゲートウェイの処理 ............................................................................ 64
ゲートウェイを登録する .................................................................. 65
登録を確認する ..................................................................................... 66
ゲートウェイの情報を確認する ..................................................... 66
ゲートウェイを交換する .................................................................. 68
ゲートウェイを更新する .................................................................. 69
ネットワーク ......................................................................................... 69
帯域幅制御 .............................................................................................. 84
viii
目次
ユーザ VPN ............................................................................................. 88
サイト間 VPN ...................................................................................... 101
エンドユーザ管理 .............................................................................. 115
ユーザアカウントを作成する ............................................................... 120
ユーザアカウントを同期する ............................................................... 121
アップデート ...............................................................................................
アップデート可能なコンポーネント .........................................
アップデートスケジュールを設定する .....................................
手動アップデート ..............................................................................
122
122
124
124
第 6 章：Cloud Edge On-Premises
配信 .................................................................................................................. 128
パッケージ内容 ................................................................................... 128
配信モードスイッチ ......................................................................... 130
ハードウェアをセットアップする .............................................. 131
アプライアンスの設定: 管理 IP アドレス ................................. 131
アプライアンスの設定: On-Premises Console ............................ 132
ネットワーク設定を行う ................................................................ 133
ネットワークに接続する ................................................................ 142
ゲートウェイを登録する ................................................................ 142
管理 .................................................................................................................. 145
トラフィックの処理および識別 ................................................... 145
管理 ......................................................................................................... 171
出荷時の設定 ....................................................................................... 176
付録 A：サポート情報
トラブルシューティングのリソース .................................................. 180
セキュリティインテリジェンスコミュニティ ....................... 180
セキュリティデータベース ............................................................ 180
トレンドマイクロに疑わしいコンテンツを送信する .................. 181
脅威解析・サポートセンター TrendLabs (トレンドラボ) ............ 181
索引
ix
Cloud Edge 3.0 配置ガイド
索引 .................................................................................................................. 183
x
はじめに
はじめに
『Trend Micro Cloud Edge 配置ガイド』をお読みいただきありがとうございま
す。このガイドでは、Cloud Edge の概要を紹介し、Trend Micro™
Remote Manager を使用する方法、Cloud Edge Cloud Console でゲートウェイを
登録してアカウントを同期する方法、Cloud Edge アプライアンスをユーザの
オフィスに配置する方法について説明します。
Trend Micro Remote Manager、Trend Micro Licensing Management Portal (LMP) は販
売代理店やマネージドサービスプロバイダ (MSP) などのパートナー向けのプ
ラットフォームです。
11
Cloud Edge 3.0 配置ガイド
ドキュメント
Cloud Edge のドキュメントセットには、次のドキュメントが含まれます。
表 1. 製品ドキュメント
ドキュメント
オンラインヘルプ
説明
オンラインヘルプには、Cloud Edge のコンポーネントや機
能の説明のほか、Cloud Edge を設定するために必要な手順
が記載されています。
Cloud Edge Cloud Console では、各画面の右側にコンテキ
ストに応じたヘルプが表示されます。
配置ガイド
Cloud Edge の概要を紹介し、Trend Micro Remote
Manager を使用する方法、Cloud Edge Cloud Console で
ゲートウェイを登録してアカウントを同期する方法、Cloud
Edge アプライアンスをユーザのオフィスに配置する方法
について説明した PDF 版のドキュメントです。
Readme
Readme には、オンラインヘルプやマニュアルにない最新
の製品情報や注意事項が記載されています。新機能、既知
の問題、およびリリース履歴が含まれています。
サポートポータル
サポートポータルは、問題解決およびトラブルシューティ
ング情報に関するオンラインのデータベースです。製品の
既知の問題に関する最新情報も参照できます。次のサポー
トポータル Web サイトをご利用ください。
http://esupport.trendmicro.co.jp
これらのドキュメントは、次の Web サイトで参照およびダウンロードできま
す。
http://docs.trendmicro.com/ja-jp/smb/cloud-edge.aspx
対象読者
Cloud Edge の各ドキュメントは IT 管理者およびセキュリティアナリストを対
象としたもので、ネットワークおよび情報セキュリティに関する次のような
専門的な知識があることを前提としています。
12
はじめに
•
ネットワークトポロジ
•
データベース管理
•
ポリシーの管理と施行
脅威イベント相関分析に精通しているかどうかは問いません。
ドキュメントの表記規則
このドキュメントでは、次の表記規則を使用しています。
表 2. ドキュメントの表記規則
表記
注意
ヒント
重要
警告!
説明
設定上の注意事項
推奨事項
必要な設定、初期設定、製品の制限事項に関する情報
避けるべき操作や設定についての注意
システム要件については、次の Web サイトを参照してください。
http://www.go-tm.jp/cloudedge100/req
13
第1章
Cloud Edge について
15
Cloud Edge 3.0 配置ガイド
Cloud Edge の概要
Trend Micro Cloud Edge は、次世代のオンプレミスファイアウォールの利点と
Security as a Service の利便性を兼ね備えた、クラウド型の Web セキュリティ
ゲートウェイ製品です。Cloud Edge では、アプリケーション制御をユーザや
ポートの識別と高度に連携させることで、マルチレイヤ型の保護を提供しま
す。URL フィルタ、帯域幅制御、侵入防止、不正プログラム検索、Web レピュ
テーションなどのセキュリティ機能により、ネットワーク侵害や業務の中断
に対する保護が強化されます。オンプレミスまたはクラウドのネットワーク
パケットを内容まで調べてフィルタリングすることで、脅威の侵入をゲート
ウェイで阻止します。また、仮想プライベートネットワーク (VPN) もサポー
トしており、モバイルデバイス、企業サイト、遠隔地の従業員による接続も
保護します。
Cloud Edge アプライアンスを顧客のオフィスに配置した後は、ユーザアクセス
やセキュリティポリシーを Cloud Edge Cloud Console で一元管理できます。必
要に応じて、Cloud Edge Cloud Console には Remote Manager からシングルサイ
ンオンでアクセスできます。Remote Manager は Cloud Edge と連携するため、
Remote Manager を使用すれば、サポート対象のアプライアンスやトレンドマイ
クロ製品に関するグラフィック形式のレポートや要約されたダッシュボード
16
Cloud Edge について
データに 1 か所からアクセスできます。また、Remote Manager は複数の顧客の
ライセンスや請求の処理を管理するのにも役立ちます。
図 1-1. Cloud Edge の仕組み
Trend Micro Cloud Edge は、複数の製品コンポーネントで構成されます。
17
Cloud Edge 3.0 配置ガイド
表 1-1. Cloud Edge コンポーネント
コンポーネント
Cloud Edge Cloud
Console
説明
Cloud Edge Cloud Console は、AWS (Amazon Web Services)
クラウドでホスティングされる Security-as-a-Service 管理コ
ンソールです。
Cloud Edge Cloud Console では、地理的に離れた複数のネット
ワークに分散した Cloud Edge アプライアンスのユーザアクセ
スやセキュリティポリシーを管理できます。Cloud Edge
Cloud Console はクラウドに配置されており、いつでも動的に
アクセスできます。
Cloud Edge アプライア
ンス
Cloud Edge アプライアンスは、クラウドを活用する UTM (統
合脅威管理) デバイスです。ネットワークセキュリティを提供
し、ハードウェアを増設せずにユーザとトラフィックの需要に
合わせて拡張できます。
Cloud Edge アプライアンスは次世代のセキュリティを実現す
るコンポーネントで、顧客の環境に配置されます。オンプレミ
スのファイアウォールとして不正なコンテンツを検索してブ
ロックしたり、ネットワークブリッジとしてセキュリティ上の
脅威を透過的に監視したりできます。
Trend Micro Remote
Manager
Trend Micro Remote Manager はトレンドマイクロのチャネル
パートナーおよび MSP を対象とした管理コンソールです。ラ
イセンス管理だけでなく、すべての顧客を対象としたリアルタ
イムのセキュリティダッシュボードおよびレポート機能を提
供します。
サポート対象のアプライアンスやトレンドマイクロ製品に関
するグラフィック形式のレポートや要約されたダッシュボー
ドデータにアクセスできます。また、Remote Manager は複数
の顧客のライセンス管理や請求処理にも使用できます。Cloud
Edge Cloud Console には、必要に応じて、Remote Manager か
らシングルサインオンでアクセスすることもできます。
18
Cloud Edge について
Cloud Edge の仕組み
次の図は、Cloud Edge の代表的な顧客環境を表しています。
1.
Cloud Edge アプライアンスを顧客のオフィスに配置します。
2.
Cloud Edge Cloud Console を使用して、ユーザアクセスとセキュリティポ
リシーを一元的に管理します。
3.
Remote Manager からシングルサインオンで Cloud Edge Cloud Console にア
クセスできます。
4.
Remote Manager を使用して、サポート対象のアプライアンスとトレンドマ
イクロ製品に関するレポートやダッシュボードデータに 1 か所からアク
セスします。Remote Manager は複数の顧客のライセンス管理や請求処理
にも役立ちます。
5.
ログが Cloud Edge アプライアンスから Cloud Edge Cloud Console と
Remote Manager へ送信されます。
Cloud Edge アプライアンスを配置する時に、顧客は各アプライアンスをファイ
アウォール (ルーティングモード) または透過的なブリッジ (ブリッジモード)
として設置できます。Cloud Edge アプライアンスでは、アプライアンスを通過
するデータについて、パケットだけでなく内容も含めたファイル全体を調べ
て、シグネチャの検索、挙動の分析、規制やコンプライアンスの分析、およ
19
Cloud Edge 3.0 配置ガイド
び過去のセッション履歴と照らし合わせたセッションの相関関係分析を行い
ます。
MSP は Cloud Edge Cloud Console を使用して、任意の数のネットワークに地理
的に分散した Cloud Edge アプライアンス (登録済みゲートウェイ) を通過する
すべてのトラフィックに対するポリシーを管理します。クラウドでの安全な
トラフィック転送を開始する前に、マネージドサービスプロバイダもしくは
エンドユーザの IT 管理者が、Cloud Edge アプライアンスを登録済みゲート
ウェイとして Cloud Edge Cloud Console に登録します。
エンドユーザが HTTP 要求または HTTPS 要求を送信すると、Cloud Edge アプ
ライアンスは最初にポリシーを適用して、トラフィックをブロックするか、
インターネットに直接リダイレクトするか、さらに詳しく調べるためにクラ
ウド経由でリダイレクトします。クラウド経由でルーティングされる要求
は、マネージドサービスプロバイダが設定したポリシーに基づいて、Cloud
Edge クラウドバックエンドサービスで調査、分析、およびフィルタリングさ
れ、要求が許可されるとユーザにトラフィックがルーティングされます。要
求が許可されない場合 (禁止されている URL カテゴリへの要求など)、要求が
ブロックされてユーザに通知されます。
Cloud Edge Cloud Console と登録済みゲートウェイの間の通信でセキュリティ
侵害が発生しないように、1 時間ごとに新しい暗号鍵が生成されます。この暗
号鍵が無効な場合、インターネットアクセスがブロックされます。すべての
登録済みゲートウェイから Cloud Edge Cloud Console にログ統計が送信され、
インターネット接続があればどこからでも直観的なログ分析やレポートを利
用できます。
MSP は、Remote Manager を使用して複数の顧客のライセンス管理や請求処理
を実施できます。その際、LMP (Licensing Management Portal) または CLP
(Customer Licensing Portal) どちらかのトレンドマイクロサービスを利用しま
す。ライセンスの変更や更新はバックエンドで同期され、Cloud Edge Cloud
Console および Remote Manager に表示されます。
主な機能
次の表に、Cloud Edge Cloud Console の主な機能を示します。Cloud Edge Cloud
Console では、Cloud Edge アプライアンスやクラウド検索サービスに適用する
セキュリティポリシーの設定や管理を行うことができます。
20
Cloud Edge について
表 1-2. Cloud Edge Cloud Console の機能
機能
説明
マルチレイヤ型の保
護
Cloud Edge では、ユーザやユーザグループ単位でのネットワーク
アクセスを、ポートとアプリケーションを識別し、ネットワーク
への脅威の侵入を防止するための設定を行うことができます。こ
のような多層構造の識別に基づくセキュリティポリシーを適用す
ることで、従来のセキュリティソリューションをバイパスする可
能性がある、巧妙化した新たな脅威に対抗できます。
ゲートウェイ管理
複数の Cloud Edge アプライアンスを 1 つの Cloud Console でま
とめて管理できます。
ポリシーの管理と配
信
任意の数の管理対象ゲートウェイにポリシーを配信できます。ポ
リシー管理には次のオプションがあります。
•
特定のゲートウェイ、ユーザ、IP アドレス、トラフィックの
種類、およびスケジュールを対象とするポリシーを作成する
•
侵入防止システム (IPS)、不正プログラム対策、Web レピュ
テーション、HTTPS 復号、DoS 攻撃対策、エンドポイント識
別など、高度なポリシー機能用のゲートウェイプロファイル
を作成する
•
許可またはブロックする URL を設定する (ポリシールールよ
りも優先される)
•
ポリシーのイベントが発生したときに通知を送信する
プラグアンドプレイ
方式の配信
Cloud Edge アプライアンスは未開封の状態で顧客の元に送るこ
とができます。顧客は、開封後に付属のドキュメントの指示に
従って設定するだけです。アプライアンスをオンラインにする
と、自動的にゲートウェイとして登録され、カスタムのセキュリ
ティポリシー設定を受信します。
インテリジェントな
ダッシュボード
ネットワーク内の 1 つまたは複数のゲートウェイで発生している
活動を確認できます。ダッシュボードのコアコンポーネントであ
るウィジェットでは、情報がグラフの形式で視覚的に示され、脅
威の追跡情報を確認したり、蓄積されたログデータと関連付けて
確認したりできます。
21
Cloud Edge 3.0 配置ガイド
機能
説明
ログ分析とレポート
トラフィックの帯域幅の消費、脅威の検出、Web 2.0 アプリケー
ションの使用状況、Web 閲覧活動、およびポリシー施行に関する
ログやイベントデータをまとめて確認および分析します。
ログクエリフィルタをお気に入りログとして保存して後で参照し
たり、さらに詳しく調査するためにカスタムレポートを生成した
りできます。
通信品質
帯域幅を制御し、通信の制御、不要なトラフィックのブロック、
重要なトラフィックやサービスへの適切な帯域幅割り当てを行う
ことで、ネットワークの輻輳を緩和します。
URL フィルタ
Web ドメインアクセスを拒否または許可する URL フィルタポリ
シーを設定できます。
「アダルト」や「ギャンブル」などの URL カテゴリに分類される
トラフィックを検索してフィルタリングできます。ユーザがある
URL へのアクセスを要求すると、まずその URL のカテゴリを検索
し、次にポリシーに基づいてアクセスを制御します。
詳細なアプリケー
ション制御
特定のクライアントを使用するアプリケーション (Skype、
BitTorrent、P2P) や、Web サイト内で Web2.0 テクノロジを使用
するアプリケーション (ソーシャルネットワーキング、Web メー
ル、ストリーミングメディアサイト) など、1300 を超える種類の
アプリケーションを管理できます。
ゲートウェイプロ
ファイル
ゲートウェイプロファイルを対象とする高度なポリシーを設定し
ます。
ユーザ管理
22
•
侵入防止システム (IPS)
•
不正プログラム対策
•
スパムメール対策
•
Web レピュテーション
•
HTTPS 復号
•
Dos 対策
•
エンドポイントの識別
Active Directory、LDAP (Lightweight Directory Access Protocol)、
およびホスト対象ユーザの情報をゲートウェイ間で同期し、ユー
ザベースのポリシー管理を実行できます。
Cloud Edge について
機能
ユーザ VPN
説明
Cloud Console を用いて、ユーザの仮想プライベートネットワーク
(VPN) を設定することができます。本機能は、VPN のリモート
ユーザ向け拡張機能です。ダイヤルアップ (ブロードバンド接続
を含む) とローカルエリアネットワーク (無線 LAN を含む) のどち
らの接続でも、VPN トンネルを介してネットワークやサーバと機
密情報を安全にやり取りできます。
ハイブリッドセキュリティ
Cloud Edge が提供するセキュリティ機能は、Cloud Edge アプライアンスがオン
プレミスで提供するものと、クラウド上で提供するものの 2 種類があります。
ポリシーに応じ、Cloud Edge がトラフィックをクラウドに転送することで、こ
のような制御が行われます。同様に、管理機能についてもオンプレミスにつ
いては Cloud Edge On-Premises Console、クラウドについては Cloud Edge Cloud
Console で提供されます。次の表に、それぞれの機能がオンプレミスとクラウ
ドのどちらに実装されているかを示します。
表 1-3. Cloud Edge のセキュリティ実装
機能
オンプレミス
クラウド
高度なファイアウォール保
護
アプリケーション制御
ゲートウェイ管理
侵入防止システム (IPS)
Licensing Management
Platform の統合
Remote Manager の統合
スパム検索
URL フィルタ
23
Cloud Edge 3.0 配置ガイド
機能
オンプレミス
クラウド
仮想プライベートネット
ワーク
ウイルス検索
Web レピュテーションフィ
ルタ
オンプレミスの機能
次の表に、オンプレミスで利用できる Cloud Edge の機能を示します。
表 1-4. Cloud Edge On-Premises の機能
機能
24
説明
高度なファイア
ウォール
攻撃のみをブロックし、適切なアプリケーショントラフィックだけ
を通過させる次世代のファイアウォール機能を提供します。
ウイルス対策
アプリケーションコンテンツ検索に基づいて複数のセキュリティ
コンポーネントやウイルス対策を利用することで、遅延を少なく
し、ユーザの操作性を高めながら、保護を強化できます。
IPS
活動中の脅威、セキュリティホール、バックドアプログラムのほ
か、サービス拒否 (DoS) 攻撃や分散サービス拒否 (DDoS) 攻撃な
ど、さまざまな攻撃を識別してデバイスへの侵入を防止できます。
侵入防止システム (IPS) をファイアウォールのセキュリティポリ
シーと併用することで、ファイアウォールで許可されたトラフィッ
クをさらに調べて望ましくない脅威が含まれていないかを確認で
きるため、セキュリティを強化することができます。
アプリケーション
制御
人気の高いインターネットアプリケーションを検出し、それらのア
プリケーションへのアクセスをポリシーで制御できます。
Cloud Edge について
機能
説明
ネットワーク設定
検出されたネットワークインタフェースを表示および編集したり、
L2 や L3 の物理ポートの設定を変更したりできます。L3 ポートに
対しては次の設定がサポートされます。
•
DHCP (Dynamic Host Configuration Protocol)
•
IP アドレスとネットマスクによる静的ルート設定
•
PPPoE (Point-to-point Protocol over Ethernet)
ブリッジ
2 つのインタフェースを透過的にブリッジしてネットワークトラ
フィックをフィルタリングすることで、既存のネットワーク環境へ
の影響を最小限に抑えてエンドポイントとサーバを保護できます。
STP (スパニングツリープロトコル) により、ブリッジされた
Ethernet ローカルエリアネットワークでループがないトポロジが
形成されます。
ルーティング
すべての静的ルートをローカルで管理できます。
NAT
NAT (Network Address Translation) ポリシーを設定して、送信元ま
たは送信先の IP アドレスとポートをパブリックとプライベートの
間で変換するかどうかを指定できます。
サービス
次のサービスを設定できます。
•
DHCP (Dynamic Host Configuration Protocol) サーバ
Web コンソール
配信モードやその他のネットワーク設定を Cloud Edge Onpremises Console で設定できます。
ログ
監査ログ、システムイベント、および VPN ログを確認および分析
できます。
クラウドの機能
次の表に、クラウドで利用できる Cloud Edge の機能を示します。
表 1-5. Cloud Edge のクラウドの機能
機能
ゲートウェイ管理
説明
複数の Cloud Edge On-Premises アプライアンスゲートウェイを 1
つの Cloud Console でまとめて管理できます。
25
Cloud Edge 3.0 配置ガイド
機能
説明
帯域幅制御
ネットワークの輻輳を緩和するため、通信の制御、不要なトラフィッ
クのブロック、重要なトラフィックやサービスへの適切な帯域幅割
り当ての設定を行うことができます。
Web 保護
トレンドマイクロの Web レピュテーションテクノロジを使用して、
不正な Web サイトに対する保護レベルを制御できます。
URL フィルタ
ポリシーごとに一意の URL フィルタを作成および設定できます。
URL フィルタは、WRS とともに搭載された、複合型脅威に対するマ
ルチレイヤ型保護ソリューションです。
不正プログラムお
よびウイルス検索
アプリケーションコンテンツ検索に基づいて複数のセキュリティコ
ンポーネントやウイルス対策を利用することで、遅延を少なくし、
ユーザの操作性を高めながら、保護を強化できます。
レポート
検出された不正プログラムや不正コード、ブロックされたファイル、
アクセスされた URL に関するレポートを生成できます。この情報
を使用して、プログラムの設定を最適化したり、セキュリティポリ
シーを微調整したりできます。
ログ分析
トラフィックの帯域幅の消費、脅威の検出、Web 2.0 アプリケーショ
ンの使用状況、Web 閲覧活動、およびポリシー施行に関するログや
イベントデータをまとめて確認および分析します。
ログクエリフィルタをお気に入りログとして保存して後で参照した
り、さらに詳しく調査するためにカスタムレポートを生成したりで
きます。
26
Cloud Edge について
機能
VPN
説明
•
ユーザ VPN
PPTP (Point-to-Point Tunneling Protocol) を使用した仮想プラ
イベートネットワーク (VPN)、SSL VPN (Secure Socket Layer
仮想プライベートネットワーク) を設定できます。
•
サイト間 VPN
IKE (Internet Key Exchange) プロトコルと IPsec (IP Security)
プロトコルを使用して、暗号化された L3 トンネルを作成できま
す。
•
モバイル VPN
iOS および Android モバイルデバイスのユーザが、組み込みの
IPsec VPN クライアントを使用して組織環境に簡単かつ安全に
接続できます。モバイルデバイス用にエージェントをインス
トールする必要はありません。
ゲートウェイプロファイルとは、各種のセキュリティ設定を 1 つにまとめ、
設定適用を簡便にするための機能です。Cloud Console 上でゲートウェイプロ
ファイルを作成すると、各 Cloud Edge アプライアンスとクラウド上で行うセ
キュリティ対策に対して、高度な制御を行うことができます。次の表に、ゲー
トウェイプロファイルに設定できる各プロファイルを示します。
表 1-6. Cloud Edge のゲートウェイプロファイル
機能
説明
IPS プロファイル
各セキュリティポリシーで、侵入防止プロファイルを指定して、バッ
ファオーバーフローや不正なコード実行などのシステムの脆弱性を
利用する攻撃に対する保護のレベルを指定できます。初期設定のプ
ロファイルを使用した場合、すべての既知の脅威からクライアント
とサーバが保護されます。
不正プログラム対
策プロファイル
不正プログラム検索の有効/無効と、検索対象から除外する拡張子、
アクセスをブロックする拡張子を指定できます。
27
Cloud Edge 3.0 配置ガイド
機能
説明
スパムメール対策
プロファイル
Trend Micro ERS (Email Reputation Services) を使用し、送信元アド
レスのレピュテーションに基づいてスパムメールかどうかを判定し
ます。
また、スパムメールに対する処理の選択 (初期設定の推奨処理または
独自に設定した処理)、許可またはブロックする送信者リストの作成、
スパムメールの「感度」レベル (検出率) の設定、スパムメールの件
名に使用するタグの定義を実行できます。
Web レピュテー
ションプロファイ
ル
各セキュリティポリシーで、サイトをブロックする Web レピュテー
ションの感度レベルを選択できます。
HTTPS 復号プロ
ファイル
HTTPS 復号から除外する URL カテゴリおよび送信元 IP アドレス
を選択できます。
Web レピュテーションテクノロジでは、レピュテーションスコアを
URL に割り当てます。Cloud Edge は、URL にアクセスするたびに
Web レピュテーションにレピュテーションスコアを問い合わせ、
ユーザ定義の感度レベルとスコアとの比較に基づき、必要な処理を
実行します。
SSL (Secure Socket Layer) と TLS (Transport Layer Security) は、今
日のネットワーク通信で広く採用されている暗号化プロトコルで
す。HTTPS 接続は、SSL/TLS の暗号化と署名によってセキュリティ
が確保されます。暗号化された HTTPS 接続であっても、暗号化され
ていない HTTP 接続と同様のリスクがあるため、Cloud Edge は、す
べてのトラフィックについて潜在的なリスクや脅威を検査します。
DoS 対策プロ
ファイル
各セキュリティポリシーで、サービス拒否 (DoS) 攻撃に対するフ
ラッド攻撃対策および除外するアドレスを指定できます。
サービス拒否攻撃や分散サービス拒否 (DDoS) 攻撃は、インター
ネットに接続されたホストへのサービスを一時的または無期限に妨
害または遮断することを目的とした、ユーザがコンピュータやネッ
トワークのリソースを利用できない状態にする攻撃です。
典型的なものとしては、標的のコンピュータに外部から大量の通信
要求を発行し、正規のトラフィックに応答するリソースを使い切ら
せる方法があります。
28
Cloud Edge について
機能
説明
エンドポイント識
別プロファイル
各セキュリティポリシーで、キャプティブポータルおよび透過認証
に対するアドレスオブジェクトを指定して、どの IP アドレスがどの
ユーザに割り当てられているかを識別できます。エンドポイント識
別により、ポリシーマッチングに使用するユーザの識別方法を IP ア
ドレスとユーザのマッピングのキャッシュを使用して構築できま
す。
初期設定では、エンドポイント識別で IP アドレスを自動的に識別す
ることはできません。エンドポイント識別を実行するには、どのア
ドレスオブジェクトを使用するかを定義する必要があります。選択
されたアドレスオブジェクトで定義されている範囲にない送信元 IP
アドレスについては、エンドポイント識別は実行できません。
29
第2章
スタートガイド
31
Cloud Edge 3.0 配置ガイド
最初の作業
以下に、Remote Manager および Cloud Edge Cloud Console を使用するにあたっ
て最初に実行する必要がある手順を示します。これらの手順が完了したら、
Cloud Edge オンプレミスゲートウェイを顧客に提供します。顧客は各自の
ネットワーク環境に基づいてネットワーク設定を行う必要があります。
ヒント
Remote Manager または Licensing Management Platform (LMP) を使用して、サービス
プランや顧客を管理します。トレンドマイクロより簡単に日常的な監視および
その他のリソースにアクセスできるため、Remote Manager の使用をお勧めしま
す。
手順
1.
LMP に、直接または Remote Manager からアクセスします。
37 ページの LMP にアクセスするを参照してください。
2.
サービスプランを作成します。
「38 ページのサービスプランを作成する」を参照してください。
3.
会社を作成してサービスプランを割り当てます。
「39 ページの会社を作成してサービスプランを割り当てる」を参照して
ください。
4.
Remote Manager から Cloud Edge Cloud Console ウィジェットを表示しま
す。
49 ページの毎日の監視を参照してください。
ログオンすると、最初に [スタートガイド] 画面が表示されます。この画
面から、Cloud Edge Cloud Console の各機能にアクセスしたり、ゲートウェ
イを登録したりできます。
59 ページの[スタートガイド] 画面を参照してください。
5.
32
Cloud Edge Cloud Console で管理するすべてのゲートウェイを登録しま
す。
スタートガイド
65 ページのゲートウェイを登録するを参照してください。
6.
必要に応じて、Cloud Edge Cloud Console にアクセスするためのユーザア
カウントを作成します。
116 ページの「LDAP ユーザの識別」を参照してください。
7.
登録済みゲートウェイの管理を開始します。
Cloud Edge オンプレミスゲートウェイの配置後、ユーザは、選択されてい
る配信モードに基づいて一部の配置設定を調整する必要があります。
配置作業
以下は、Cloud Edge アプライアンスを設定するための必須の手順とオプション
の手順です。
手順
1.
Cloud Edge アプライアンスを配置するモードを決めます。
133 ページの配信モードを参照してください。
2.
選択した配信モードに応じて配信スイッチを切り替えます。配信スイッ
チは Cloud Edge アプライアンスの背面にあります。
3.
アプライアンスを接続し、管理インタフェースにログオンします。
132 ページのアプライアンスの設定: On-Premises Console を参照してくだ
さい。
4.
Cloud Edge のネットワーク設定を配信モードに基づいて設定します。
133 ページのネットワーク設定を行うを参照してください。
5.
必要に応じて、LDAP 認証を設定します。
115 ページのエンドユーザ管理を参照してください。
6.
Cloud Edge アプライアンスをネットワークに接続します。
33
Cloud Edge 3.0 配置ガイド
142 ページのネットワークに接続するを参照してください。
34
第3章
Licensing Management Platform
Trend Micro Remote Manager、Trend Micro Licensing Management Portal (LMP) は販
売代理店やマネージドサービスプロバイダ (MSP) などのパートナー向けのプ
ラットフォームです。
35
Cloud Edge 3.0 配置ガイド
Trend Micro Licensing Management Platform
Trend Micro Licensing Management Platform (LMP) を使用すると、サービスプロバ
イダなどのパートナーがトレンドマイクロ製品のライセンスを簡単に発行お
よび管理することができます。ブランド設定機能を使用すれば、プラット
フォームをカスタマイズすることもできます。
LMP では、さまざまなライセンス設定を組み合わせたサービスプランによっ
て顧客のニーズに対応できます。
販売代理店やマネージドサービスプロバイダ (MSP) などのパートナー向けの
プラットフォームであり、これらのパートナーに、顧客へのサービスプラン
を作成したり割り当てたりするための権限を付与することができます。
機能と利点
サービスプロバイダは、Licensing Management Platform を使用して製品の機能
やサービスをカスタマイズできます。主な機能は次のとおりです。
表 3-1. 主な機能
機能
ブランド設定
ビジネスの目的に合わせてブランド設定をカスタマイ
ズします。プラットフォームフォームに表示される連
絡先情報、ログオンページ、およびバナーが含まれま
す。
サービスプラン
サービスプランを設定し、顧客向けのサブスクリプショ
ン条件を作成します。
通知メールのカスタマイズ
顧客向けにさまざまな通知メールを設定します。
パートナーアカウント
販売代理店やマネージドサービスプロバイダ (MSP) の
パートナーアカウントを設定します。これらのアカウ
ントは、自身の顧客が購入したライセンスを管理できま
す。
(Tier-2 アカウント)
36
詳細
Licensing Management Platform
LMP にアクセスする
Remote Manager または Licensing Management Platform (LMP) を使用して、サービ
スプランや顧客を管理します。トレンドマイクロより簡単に日常的な監視お
よびその他のリソースにアクセスできるため、Remote Manager の使用をお勧め
します。
手順
•
LMP に直接アクセスします。
LMP の URL はマネージドサービスプロバイダごとに異なり、LMP アカウ
ントの作成後にトレンドマイクロからメールで通知されます。
•
Remote Manager からシングルサインオンで LMP にアクセスします。
a.
Remote Manager にログオンします。
b.
右上にある [Licensing Management Platform] をクリックします。
LMP ダッシュボードが表示されます。右上にある [Trend Micro Remote
Manager] をクリックして Remote Manager に戻ります。
37
Cloud Edge 3.0 配置ガイド
注意
LMP を使用して顧客、サービスプラン、ライセンスを管理する方法の詳細につ
いては、次の Web ページにあるサポートドキュメントを参照してください。
http://docs.trendmicro.com/ja-jp/smb/trend-micro-licensing-management-platform.aspx
サービスプランを作成する
顧客にライセンスを発行し、製品/サービスおよび顧客ごとに異なるライセン
スプランを設定するには、サービスプランを使用します。サービスプランの
作成には、Licensing Management Platform (LMP) を使用します。
手順
1.
[プランとライセンス] > [サービスプラン] に移動します。
2.
[新規サービスプラン] をクリックします。
3.
サービスプランの設定を指定します。
オプション
説明
サービスプラン名
Remote Manager に表示されるサービスプランの名前を指定
します。
製品/サービス
関連する Cloud Edge アプライアンスモデルを選択します。
ユニット
[ユニット] を選択します。
データセンター
ユーザが拠点とする国を選択します。
サービスの管理
[サービスの管理を有効にする] を選択すると、Remote
Manager で Cloud Edge を制御できるようになります。
重要
Remote Manager で Cloud Edge を管理するにはこの設定が
必要です。
バージョンタイプ
38
[体験版] または [製品版] を選択します。
Licensing Management Platform
オプション
4.
説明
アクティベーショ
ンポリシー
サービスプランをいつ有効にするかを設定します。
体験版フォーム
必要に応じて、このサービスプランの体験版フォームを有効に
します。
サブスクリプションポリシー設定を指定します。
説明
オプション
初期ライセンス期間
ライセンス期間を選択します。
自動更新
自動更新を実行するタイミングを設定します。
期限切れ通知
サブスクリプションの期限が切れる何日前に通知するかを選
択します。
5.
[追加] をクリックします。
6.
確認のメッセージが表示されたら、[はい] をクリックします。
会社を作成してサービスプランを割り当てる
手順
1.
Remote Manager からシングルサインオンで LMP にアクセスします。
2.
[ユーザ] > [顧客] に移動します。
3.
[顧客の作成] をクリックします。
4.
[会社のプロファイル] の情報を指定します。
オプション
説明
会社
会社の名前を指定します。
市区町村
市区町村を選択します。
39
Cloud Edge 3.0 配置ガイド
オプション
5.
説明
都道府県
都道府県を選択します。
国/地区
国を選択します。
[ユーザのアカウント] の情報を指定します。
説明
オプション
アカウント
LMP にログオンするアカウントを指定します。
担当者
名前を指定します。
メールアドレス
メールアドレスを指定します。
タイムゾーン
タイムゾーンを選択します。
言語
Cloud Edge Cloud Console の表示言語を選択します。
アカウント作成メールを
送信する
アカウント作成メールを送信するタイミングを選択しま
す。
6.
[サービスプランを割り当てる] をクリックします。
7.
[はい] をクリックして確認します。
8. 「38 ページのサービスプランを作成する」で作成したサービスプランを選
択します。
9.
[ライセンス開始日] を選択します。
10. [ライセンスあたりのユニット数] を製品ライセンスで許可された Cloud
Edge ゲートウェイの最大数に設定します。
11. [保存] をクリックします。
12. 次の点を確認します。
40
•
[ユーザ] > [顧客] で [会社名] のリストに会社が追加されていること
•
会社の正しいサービスプランが表示されていること
Licensing Management Platform
13. 右上にある [Trend Micro Remote Manager] をクリックして Remote Manager
に戻ります。
41
第4章
Trend Micro Remote Manager
Trend Micro Remote Manager、Trend Micro Licensing Management Portal (LMP) は販
売代理店やマネージドサービスプロバイダ (MSP) などのパートナー向けのプ
ラットフォームです。
43
Cloud Edge 3.0 配置ガイド
Trend Micro Remote Manager
Trend Micro Remote Manager は、Licensing Management Platform と連携して、中
小規模の企業向けのセキュリティサービスを管理するシステムです。
Remote Manager では、管理下の複数の製品およびサービスを使用して管理下の
複数のネットワークの状態を監視できます。MSP の管理者は、Remote Manager
を使用してコマンドを実行し、ネットワークセキュリティの重要な要素を管
理できます。
Remote Manager は各地域のトレンドマイクロのデータセンターサーバでホス
トされ、MSP は該当するサーバのアカウントを取得します。MSP は、Remote
Manager Web コンソールを使用して、ユーザアカウントの作成、ユーザネット
ワークの監視、セキュリティサービスの管理を行います。
Remote Manager では、ユーザネットワークが構造的に表示されます。MSP は
コマンドを発行し、ネットワークセキュリティの次の状況を監視できます。
•
コンポーネントのアップデートと、管理下のサーバのアップデート
•
脆弱性診断
•
ダメージクリーンナップ
•
大規模感染への自動対応
•
ファイアウォールとリアルタイム検索の設定
•
手動検索
•
シングルサインオン
Remote Manager には包括的なレポート生成機能も備わっており、MSP は自動
的に生成されたレポートを個々の担当者に送付できます。
初期設定テンプレートを設定する
注意
初期設定テンプレートは、Licensing Management Platform と統合済みである場合に
のみ使用できます。
44
Trend Micro Remote Manager
初期設定テンプレートには顧客向けの値が事前に設定されているため、複数
の顧客に対して簡単に同じ設定を使用できます。
このテンプレートに設定できる内容についての詳細は、次の Web サイトで
Remote Manager のドキュメントを参照してください。
http://docs.trendmicro.com/ja-jp/smb/trend-micro-remote-manager.aspx
手順
1.
Remote Manager にログオンします。
2.
[管理] > [初期設定テンプレートの構成] に移動します。
3.
リストの一番下にある [作成] をクリックします。
[テンプレートの作成] 画面が表示されます。
4.
テンプレート名を指定し、説明を入力します。名前と説明を指定するこ
とで、テンプレートの用途を後から特定しやすくなります。
5.
[テンプレートの設定] をクリックします。
45
Cloud Edge 3.0 配置ガイド
注意
Cloud Edge Cloud Console によく似たコンソールが開きます。このサイトで
の変更はすべてテンプレートとして保存され、登録済みの製品には適用さ
れません。
6.
関連するポリシーおよびスケジュールを設定します。
ポリシーの設定については、以下の Web サイトでオンラインヘルプを参
照してください。
http://docs.trendmicro.com/ja-jp/smb/cloud-edge.aspx
会社を作成してサービスプランを割り当てる
ここでは、Remote Manager を使用して会社を作成し、サービスプランを割り当
てる手順を説明します。サービスプランの作成には、Licensing Management
Platform (LMP) を使用します。LMP の詳細な使用方法については、39 ページ
の会社を作成しサービスプランを割り当てるを参照してください。
手順
1.
Remote Manager にログオンします。
2.
[ユーザ] に移動します。
3.
[新規ユーザ] をクリックします。
4.
[会社情報] の情報を指定します。
オプション
46
説明
会社名
会社の名前を指定します。
市区町村
市区町村を選択します。
都道府県
都道府県を選択します。
郵便番号
郵便番号を指定します。
Trend Micro Remote Manager
オプション
国
5.
説明
国を選択します。
[ユーザアカウント] 情報を指定します。
オプション
説明
アカウント
顧客のアカウントを指定します。
担当者
名前を指定します。
電話番号
市外局番、電話番号、および内線番号 (オプション) を指定します。
メール
メールアドレスを指定します。
タイムゾーン
タイムゾーンを選択します。
言語
Cloud Edge Cloud Console の表示言語を選択します。
6.
[次へ] をクリックします。
7.
[サービスプラン] を選択します。
注意
サービスプランを Remote Manager で作成することはできません。サービス
プランを作成するには、LMP に直接アクセスするか、シングルサイオンで
Remote Manager から LMP にアクセスします。詳細については、38 ページの
サービスプランを作成するを参照してください。
8.
カレンダーをクリックして、[開始日] を選択します。
9.
[ライセンスあたりのユニット数] を製品ライセンスで許可された Cloud
Edge ゲートウェイの最大数に設定します。
10. [デバイスの追加] をクリックして、デバイス名とシリアル番号を指定しま
す。
11. [次へ] をクリックします。
[製品の初期設定] 画面が表示されます。
12. 以前に作成したポリシーテンプレートを選択します。
47
Cloud Edge 3.0 配置ガイド
詳細については、「44 ページの「初期設定テンプレートを設定する」」を
参照してください。
13. [保存] をクリックします。
14. 次の点を確認します。
•
[ユーザ] で [会社] のリストに会社が追加されていること
•
会社の正しいサービスプランが表示されていること
Cloud Edge Cloud Console にシングルサインオ
ンする
ここでは、Remote Manager からシングルサインオン (SSO) で Cloud Edge Cloud
Console にアクセスする手順を説明します。
手順
1.
Remote Manager にログオンします。
2.
[ユーザ] に移動します。
3.
会社の名前をクリックします。
[製品] タブがデフォルトで表示されます。
48
4.
[すべての製品] を選択します。
5.
表示された製品の名前をクリックします。
6.
Cloud Edge のサービスプラン名をクリックします。
Trend Micro Remote Manager
Cloud Edge Cloud Console が表示されます。
毎日の監視
手順
1.
Remote Manager にログオンします。
[ホーム] 画面に Remote Manager のダッシュボードが表示されます。
2.
[ウィジェットの追加] をクリックして、Cloud Edge のウィジェットをダッ
シュボードに追加します。
a.
b.
3.
[Cloud Edge] をクリックし、下記のウィジェットを選択します。
•
多くの脅威にさらされている Cloud Edge デバイス
•
多くの脅威にさらされている Cloud Edge ユーザ
[追加] をクリックします。
[ホーム] 画面で、ウィジェットが追加されているかを確認します。各ウィ
ジェットの詳細は以下を参照してください。
49
Cloud Edge 3.0 配置ガイド
4.
•
52 ページの[多くの脅威にさらされている Cloud Edge デバイス]
ウィジェット
•
53 ページの[多くの脅威にさらされている Cloud Edge ユーザ] ウィ
ジェット
必要に応じて、シングルサインオンで Cloud Edge Cloud Console にアクセ
スします。
48 ページの Cloud Console にシングルサインオンするを参照してくださ
い。
レポートの概要
Cloud Edge では、レポートを生成、ダウンロード、および自動送信することが
できます。レポートには、ライセンスステータスや診断結果、脅威の検出情
報、主な脅威、およびユーザのネットワーク内で影響を受けた上位のコン
ピュータ、ファイル、メールアドレスに関する概要が記載されます。
レポートには、Remote Manager で管理されるトレンドマイクロ製品から収集さ
れた統計が多数含まれます。レポートプロファイル、および単発または指定
期間中の定期レポートを設定し、複数の宛先にメールでレポートを送信でき
ます。Remote Manager には、過去 30 件の日次レポート、10 件の週間レポー
50
Trend Micro Remote Manager
ト、および 5 件の月間レポートが保存されます。一般レポートは、MSP およ
びユーザ向けです。
図 4-1. レポートページ
レポートプロファイルを使用すると、1 つのプロファイルから複数のレポート
を作成できます。たとえば、当日の単発レポートを作成してレポートを生成
し、翌日一部のオプションを変更して再度レポートを生成すれば、レポート
全体を作り直す必要はありません。
Remote Manager のレポートの詳細については、Remote Manager オンラインヘル
プを参照してください。
http://docs.trendmicro.com/ja-jp/smb/trend-micro-remote-manager.aspx
51
Cloud Edge 3.0 配置ガイド
[多くの脅威にさらされている Cloud Edge デバイス] ウィ
ジェット
多くの脅威イベントが発生している Cloud Edge デバイスを表示します。
•
•
•
52
表示されるデータの時間範囲を以下から選択して変更できます。
•
過去 1 時間
•
過去 24 時間
•
過去 7 日間
•
過去 30 日間 (初期設定)
表示されるデータの脅威の種類を以下から選択して変更できます。
•
すべて
•
ボットネット
•
侵入防止システム (IPS)
•
Web レピュテーション
•
ウイルス
ユーザ名をクリックすると、ユーザ情報が表示されます。
Trend Micro Remote Manager
•
脅威数をクリックすると、Cloud Edge Cloud Console から脅威情報が表示
されます。
注意
Cloud Edge のウィジェットは、初期設定では Remote Manager ダッシュボードに表
示されません。
[多くの脅威にさらされている Cloud Edge ユーザ] ウィ
ジェット
多くの脅威イベントが発生している Cloud Edge ユーザを表示します。データ
は表および円グラフに表示されます。表と円グラフは、表示アイコン
(
) をクリックして切り替えることができます。
•
表示されるデータの時間範囲を以下から選択して変更できます。
•
過去 1 時間
•
過去 24 時間
53
Cloud Edge 3.0 配置ガイド
•
•
過去 7 日間
•
過去 30 日間 (初期設定)
表示されるデータの脅威の種類を以下から選択して変更できます。
•
すべて
•
ボットネット
•
侵入防止システム (IPS)
•
Web レピュテーション
•
ウイルス
•
ユーザ名をクリックすると、ユーザ情報が表示されます。
•
脅威数をクリックすると、Cloud Edge コンソールから脅威情報を表示でき
ます。
注意
Cloud Edge のウィジェットは、初期設定では Remote Manager ダッシュボードに表
示されません。
ゲートウェイデバイスを管理する
ゲートウェイデバイスの管理には Remote Manager の [ユーザ] 画面を使用しま
す。サービスプランの選択後、次のゲートウェイデバイス管理操作を実行で
きます。
54
•
最近のゲートウェイイベントを確認する
•
ゲートウェイデバイスのファームウェアを更新する
•
追加のゲートウェイデバイスをユーザに登録する
Trend Micro Remote Manager
手順
1.
Remote Manager にログオンします。
[ホーム] 画面に Remote Manager のダッシュボードが表示されます。
2.
[ユーザ] をクリックします。
3.
[会社] 列で、ユーザ名を選択します。
4.
左側のナビゲーションで、[すべての製品] を展開し、サービスプランを選
択します。
5.
次のように実行します。
オプション
6.
説明
違反イベントとシステムイベント
を表示する
[イベント] タブをクリックします。
ファームウェアをアップデートす
る
[ファームウェアのアップデート] タブをク
リックし、[アップデート] をクリックします。
追加のゲートウェイを登録する
[デバイス] タブをクリックし、[登録] をクリッ
クします。
ゲートウェイに関するその他の作業を行います。
a.
登録済みゲートウェイデバイスを左側のナビゲーションから選択し
ます。
b.
[イベント] タブをクリックして、過去 1 時間の違反イベントとシステ
ムイベントを表示します。
c.
[コンポーネント] タブをクリックして、各製品コンポーネントの現在
のバージョンと最新バージョンを表示します。
d.
[ネットワーク] タブをクリックして、過去 24 時間のユーザアクティ
ビティを表示します。
e.
[VPN] タブをクリックして、最近の VPN アクティビティを表示しま
す。
55
Cloud Edge 3.0 配置ガイド
Remote Manager の詳細
Remote Manager の詳細については、次のオンラインヘルプを参照してくださ
い。
http://docs.trendmicro.com/ja-jp/smb/trend-micro-remote-manager.aspx
56
第5章
Cloud Edge Cloud Console
本章では、Cloud Edge Cloud Console のインタフェース、Cloud Edge アプライア
ンスを新規のゲートウェイとして登録する方法、およびアカウント準備の方
法について説明します。
57
Cloud Edge 3.0 配置ガイド
Cloud Console にログオンする
Cloud Edge Cloud Console には、直接ログオンする方法と Remote Manager から
シングルサインオンでログオンする方法があります。
手順
•
Cloud Edge Cloud Console に直接ログオンします。
a.
トレンドマイクロから提供された Cloud Edge Cloud Console の URL
にアクセスします。
b.
ユーザ名とパスワードを指定します。
注意
Cloud Edge Cloud Console にアクセスできない場合は、マネージドサー
ビスプロバイダにお問い合わせください。
•
Remote Manager からシングルサインオンで Cloud Edge Cloud Console にロ
グオンします。
48 ページの Cloud Console にシングルサインオンするを参照してくださ
い。
58
Cloud Edge Cloud Console
[スタートガイド] 画面
Cloud Edge Cloud Console に初めてログオンすると、ダッシュボードがロード
され、[スタートガイド] 画面が表示されます。
[スタートガイド] 画面には、Cloud Edge Cloud Console の利用をすぐに開始する
ための情報が表示されます。また、Cloud Edge ユーザに役立つ情報のリンクも
用意されています。
Cloud Edge Cloud Console への次回ログオン時に [スタートガイド] 画面を表示
しない場合は、[今後表示しない] を選択します。
59
Cloud Edge 3.0 配置ガイド
[スタートガイド] 画面は、[ヘルプ] の横の矢印をクリックして [スタートガイ
ド] を選択するといつでも表示できます。
Cloud Edge Cloud Console の概要
このセクションでは、Cloud Edge Cloud Console の機能に関する基本的な概要
を示します。詳細については、Cloud Edge オンラインヘルプを参照してくださ
い。
ダッシュボードについて
ダッシュボードでは、各種のウィジェットを通じてネットワークの整合性を
監視できます。ユーザアカウントごとにそれぞれ独自のダッシュボードが用
意されており、各ユーザアカウントで行ったダッシュボードに対する変更は
他のユーザアカウントのダッシュボードには適用されません。
60
Cloud Edge Cloud Console
ダッシュボードは次のユーザインタフェース要素で構成されます。
ゲートウェイについて
Cloud Edge アプライアンスを顧客の環境に配置したら、クラウドを介してリ
モートで管理できるように Cloud Edge Cloud Console にゲートウェイとして登
録します。
[ゲートウェイ] タブで、次の処理を実行できます。
•
ハードウェアやポリシーのステータス情報を確認できます。
•
ファームウェアや製品コンポーネントをアップデートできます。
•
PPTP (Point-to-Point Tunneling Protocol) を使用した仮想プライベートネッ
トワーク (VPN)、SSL VPN (Secure Socket Layer 仮想プライベートネット
ワーク)、iOS および Android デバイス用のモバイル VPN を設定できます。
•
帯域幅制御ルールを設定することで、ビジネスの目標達成を支えるネッ
トワークトラフィックの帯域幅を節約し、通信品質を向上させることが
できます。
•
サイト間 VPN の設定
•
ネットワーク情報を確認できます。
61
Cloud Edge 3.0 配置ガイド
•
LDAP 認証などのエンドユーザ管理を設定できます。
ログ分析について
[分析とレポート] タブには、登録済みゲートウェイからアップロードされて
Cloud Edge Cloud Console に集約されたログ統計がインタラクティブなグラフ
形式で表示されます。ダッシュボードには表示されない詳細な情報を追跡し
たり、ドリルダウンして未加工のログを調べたりできます。
•
アプリケーション帯域幅
ネットワーク上の IP アドレス、ユーザ、アプリケーションによる帯域幅
の消費を確認および分析します。ログを確認した後、ポリシーを調整し
て通信を制御したり、不要なトラフィックをブロックしたり、重要なト
ラフィックやサービスに帯域幅を割り当てたりできます。
•
ポリシー施行
ポリシーによるネットワークトラフィックの制御方法を確認および分析
します。ログを確認した後、ポリシールールを調整して特定のトラ
フィックを許可またはブロックしたり、設定が適切でないポリシーのト
ラブルシューティングを行ったりできます。
•
インターネットアクセス
特定のユーザがアクセスした Web サイトやドメインを確認および分析し
ます。ログを確認した後、特定の種類のトラフィックをフィルタする
URL カテゴリグループを追加したり、必要に応じてそれらのカテゴリの
特定の URL を個別に許可またはブロックしたりできます。
•
インターネットセキュリティ
検索エンジンで不正プログラムやネットワークの脅威などからユーザを
保護する方法を確認および分析します。ログを確認した後、セキュリ
ティ機能を有効または無効にしたり、処理、スケジュール、ユーザポリ
シーを調整してネットワークの保護を強化したりできます。
特定のログクエリを設定した後、[保存] をクリックして [ お気に入りとして
保存] を選択すると、設定を保存して後で表示することができます。分析とレ
ポート > お気に入りログに移動し、[お気に入りログ] 画面を表示します。
62
Cloud Edge Cloud Console
ポリシーについて
[ポリシー] 画面では、Cloud Edge Cloud Console のポリシールール、ポリシーオ
ブジェクト、除外またはブロックする URL のリスト、ゲートウェイプロファ
イル、およびユーザ通知を管理できます。Cloud Edge Cloud Console では、登
録済みのゲートウェイの一部またはすべてに対してポリシーを適用できま
す。
ポリシールールのオプションをカスタマイズするには、ポリシーオブジェク
トを作成します。ポリシーオブジェクトには、ポリシーを適用するユーザま
たはネットワークアドレス、ポリシーの対象となるトラフィックやアプリ
ケーションの種類、それらのポリシールールを適用するスケジュールが含ま
れます。
IPS、不正プログラム対策のセキュリティ、Web レピュテーション、スパムメー
ル対策による検索、HTTPS 復号、サービス拒否攻撃、およびエンドポイント
識別に対するゲートウェイプロファイルを設定することで、ポリシーの制御
を微調整できます。必要に応じて、許可またはブロックする URL を追加する
こともできます。これらの設定は、定義済みのポリシールールよりも優先さ
れます。
レポートについて
[レポート] 画面では、予約レポートやオンデマンドレポートを確認したりダウ
ンロードしたりできます。Cloud Edge Cloud Console には、登録済みのすべて
のゲートウェイからログ情報が集約されます。それらのログから、検出され
たウイルスや不正コード、ブロックされたファイル、およびアクセスされた
URL に関するレポートを生成できます。ネットワークイベントに関するこれ
らの情報を使用して、設定を最適化したり、セキュリティポリシーを微調整
したりできます。
ゲートウェイ管理
MSP は Cloud Edge Cloud Console を使用して、Cloud Edge アプライアンスを
ゲートウェイとして登録します。ユーザが Cloud Edge アプライアンスの電源
63
Cloud Edge 3.0 配置ガイド
を投入し、ネットワークに接続すると、ポリシーが配信され、MSP は関連す
るダッシュボード、ログ、およびレポート統計を表示できます。
登録
Cloud Edge Cloud Console に登録できるゲートウェイの数は、サポート契約で
規定されています。
ゲートウェイの登録後、名前をクリックして次の処理を実行できます。
•
ゲートウェイのステータスに関する詳細情報の表示
•
ネットワークの設定
•
帯域幅制御の設定
•
ユーザ VPN の設定
•
サイト間 VPN の設定
•
エンドユーザ認証および LDAP の設定
ゲートウェイの処理
処理
説明
新しいゲートウェイグループを追加します。
ゲートウェイの表示名を変更します。
ゲートウェイを別のゲートウェイグループに移動します。
新しいシリアル番号を指定してゲートウェイのアプライアンスハードウェア
を交換します。
ゲートウェイの On-Premises Console パスワードを変更します。
最新のセキュリティ脅威から保護できるようにゲートウェイのコンポーネン
トやファームウェアをアップデートします。
64
Cloud Edge Cloud Console
処理
説明
ゲートウェイをリモートで再起動します。
ゲートウェイを Cloud Console から削除します。このゲートウェイはオンプ
レミスのセキュリティ脅威を引き続き検索しますが、リモートのコマンドまた
は更新を受け取ることはできません。
ゲートウェイを登録する
手順
1.
Cloud Edge Cloud Console で、[ゲートウェイ] に移動します。
2.
[新しいゲートウェイの登録] をクリックします。
3.
ゲートウェイの設定を指定します。
オプション
4.
説明
表示名
Cloud Console に表示される新しいゲートウェイの名前を指定し
ます。
モデル
Cloud Edge アプライアンスハードウェアのモデルを指定します。
シリアル番号
Cloud Edge アプライアンスハードウェアのシリアル番号を指定し
ます。シリアル番号はハードウェアアプライアンスの本体または
パッケージに記載されている 12 桁の英数字 (例:
4C80-9315-3A0B) です。
[保存] をクリックします。
登録が完了するまで、数分かかることがあります。
登録が完了すると、Cloud Edge Cloud Console からゲートウェイにポリ
シーが配信されます。ダッシュボードのウィジェット、ログ分析、およ
びレポートで、Cloud Edge アプライアンスゲートウェイから送信されるリ
アルタイムのトラフィックに基づくログ統計を確認できます。
5.
登録が正しく完了したことを確認します。
65
Cloud Edge 3.0 配置ガイド
66 ページの登録を確認するを参照してください。
登録を確認する
ゲートウェイの登録後は、登録が正常に完了したことを確認して下さい。確
認の手順を次に示します。
手順
1.
Cloud Edge Cloud Console にログオンします。
2.
ゲートウェイ に移動します。
3.
[ゲートウェイ管理] のリストにゲートウェイが表示されていることを確
認します。
4.
[ポリシー配信ステータス] 列のステータスが「成功」になっていることを
確認します。
5.
ゲートウェイの名前をクリックします。
6.
表示された [ゲートウェイ情報] ウィンドウでゲートウェイの情報を確認
します。
ゲートウェイの情報を確認する
目的: 選択したゲートウェイのハードウェア情報と登録情報を確認します。
場所: ゲートウェイ > ゲートウェイ情報
手順
1.
ゲートウェイの情報を確認します。
ゲートウェイ情報
•
66
表示名: ゲートウェイの名前です。ゲートウェイの名前を変更する
にはゲートウェイの処理を使用します。
Cloud Edge Cloud Console
•
ステータス: ゲートウェイの Cloud Edge Cloud Console での現在のス
テータスです。
•
前回のポリシー配信: ゲートウェイから Cloud Edge Cloud Console へ
アップロードされた最新のログのタイムスタンプです。
•
ポリシー配信ステータス: 前回のポリシー配信の結果です。
•
過去 15 分間の合計ユーザ数: 過去 15 分間のアクティブセッションの
合計ユーザ数です。
ネットワーク設定
•
配信モード: Cloud Edge アプライアンスがブリッジモードとルーティ
ングモードのどちらで配置されているかを示します。配信モードの
詳細については、『Cloud Edge 配信ガイド』を参照してください。
•
ホスト名: Cloud Edge アプライアンスのホスト名です。
•
DNS:Cloud Edge アプライアンスの DNS 設定です。
•
WAN:Cloud Edge アプライアンスのゲートウェイとサブネットマスク
の設定です。
•
インタフェースステータス: インタフェースリンクの状態です。
•
証明書: 必要に応じて、[ダウンロード] をクリックして HTTPS 証明書
をダウンロードします。
ハードウェアと登録
•
モデル: Cloud Edge アプライアンスのハードウェアモデルです。
•
シリアル番号: 現在登録されているシリアル番号です。
•
登録日: Cloud Edge アプライアンスがゲートウェイとして登録された
日時です。
•
バージョン: Cloud Edge アプライアンスのビルド番号です。
•
稼働時間: Cloud Edge アプライアンスのハードウェアに電源が投入さ
れてからの稼働時間です。
67
Cloud Edge 3.0 配置ガイド
ゲートウェイを交換する
ゲートウェイを別の Cloud Edge アプライアンスに交換しても、Cloud Edge
Cloud Console に保存されたポリシー、設定データ、およびログはすべて維持
されます。ゲートウェイを交換するのは次のような場合です。
•
Cloud Edge アプライアンスが故障した。
•
より高性能な Cloud Edge アプライアンスにアップグレードする。
新しい Cloud Edge アプライアンスがログ統計を Cloud Edge Cloud Console と同
期すると、Cloud Edge Cloud Console は新しいログ統計を交換した Cloud Edge
アプライアンスのキャッシュデータとマージします。
重要
各ゲートウェイには、特定の Cloud Edge アプライアンスに関連付けられた一意
なキー (シリアル番号) があります。ゲートウェイを交換した後、古い Cloud Edge
アプライアンスは、新たにゲートウェイとして登録しない限りゲートウェイとし
て使用することはできません。
手順
1.
[ゲートウェイ] に移動します。
2.
交換するゲートウェイを右クリックし、
3.
新しい Cloud Edge アプライアンスのシリアル番号を指定します。
4.
[置換] をクリックします。
5.
古い Cloud Edge アプライアンスをネットワークから切断します。
6.
新しい Cloud Edge アプライアンスをネットワークに追加します。
[置換] を選択します。
新しい Cloud Edge アプライアンスが Cloud Edge Cloud Console に登録さ
れ、古い Cloud Edge アプライアンスが Cloud Edge Cloud Console から削除
されます。
68
Cloud Edge Cloud Console
ゲートウェイを更新する
ゲートウェイで実行されている製品コンポーネントやファームウェアの更新
については、124 ページの手動アップデートを参照してください。
ネットワーク
クラウド内のネットワーク設定を表示および構成し、登録済みゲートウェイ
上のネットワークトラフィックを処理および識別します。ゲートウェイが
Cloud Console に登録されると、ネットワーク設定はクラウドに移動し、OnPremises Console からは編集できなくなります。このバージョンでは、ネット
ワークの停止につながる重大なネットワーク設定は製品に付属の UI からア
クセスします。
注意
eth2、eth3、eth4 へは IPv6 を設定できません。
ルーティングモードの Cloud Console では、ブリッジの追加や編集はサポートさ
れません。
配信できないネットワーク設定があった場合は、ポリシー配置結果のログでその
理由を特定してください。
ゲートウェイは、ネットワークハートビートを使用してネットワーク情報を収集
し、Cloud Console に送信します。
クラウドに移行されるネットワーク設定
1.
2.
インタフェース
•
インタフェースの表示
•
ブリッジの表示 (ブリッジモードのみ)
•
WAN 用の ACL の設定
•
ブリッジ用の ACL 設定 (ブリッジモードのみ)
ルーティング (ルーティングモードのみ)
69
Cloud Edge 3.0 配置ガイド
•
3.
サービス
•
4.
5.
ルーティングテーブル
動的 DNS
ユーザ VPN
•
PPTP VPN
•
SSL VPN
•
モバイル VPN
•
ポータルのカスタマイズ
サイト間 VPN
ゲートウェイに残るネットワーク設定
1.
70
インタフェース (eth0 または eth1 のみ)
•
インタフェースの編集
•
VLAN の追加/編集
2.
DNS
3.
内部アドレス (ポリシールーティングで使用)
4.
ルーティング
•
静的ルート
•
ポリシールーティング
5.
NAT
6.
サービス
•
DNS 転送
•
DHCP
Cloud Edge Cloud Console
インタフェース
[インタフェース] ページで、ゲートウェイアプライアンスネットワークインタ
フェース上の物理 L2 ポートおよび L3 ポートの設定を確認または変更しま
す。
自動検出された Cloud Edge ネットワークインタフェースは、次の場所で確認
および編集できます。
•
インタフェース eth0、eth1: On-Premises Console で [ネットワーク] > [イン
タフェース] に移動します。
•
インタフェース eth2、eth3、eth4: Cloud Edge Cloud Console で [ゲートウェ
イ] > <選択したゲートウェイ> > [インタフェース] に移動します。
L3 ポートには、DHCP (Dynamic Host Configuration Protocol) 設定または IP アド
レス/プレフィックスによる静的ルートを設定できます。また、L3 ポートには
PPPoE (Point-to-point Protocol over Ethernet) も設定可能です。On-Premises
Console を使用して、eth0 または eth1 を設定します。PPPoE は eth2、eth3、ま
たは eth4 インタフェース上には設定できません。
ネットワークインタフェースを管理する
目的: 選択したゲートウェイのネットワークインタフェース設定を管理しま
す。
場所: ゲートウェイ > (選択したゲートウェイ) > インタフェース
手順
1.
次の手順を実行します。
•
ゲートウェイのネットワーク設定とリンクステータスを表で確認し
ます。
•
インタフェース名をクリックし、設定を編集します。
•
をクリックして、74 ページの VLAN サブインタフェースを追加
します。
71
Cloud Edge 3.0 配置ガイド
ネットワークインタフェースを編集する
目的: 選択したゲートウェイのネットワークインタフェース設定を管理しま
す。
場所: ゲートウェイ > (選択したゲートウェイ) > インタフェース > 追加/編集
手順
1.
インタフェースの名前をクリックします。
2.
インタフェースモードに基づいてインタフェース設定を行います。
•
静的アドレスの場合は、次のパラメータを設定します。
オプション
説明
種類
[L3] を選択します。
モード
[静的] を選択します。
IPv4 アドレス
IPv4 アドレスを指定します。
例: 123.123.123.123
IPv4 ネットマス
ク
IPv4 サブネットマスクを指定します。
IPv4 デフォルト
ゲートウェイ
IPv4 デフォルトゲートウェイを指定します。インターネットに
接続するインタフェースにのみ、この設定を適用します。
例: 255.255.254.0
例: 123.123.123.123
IPv6 アドレス/プ
レフィックス
IPv6 設定を指定します。
IPv6 デフォルト
ゲートウェイ
IPv6 デフォルトゲートウェイを指定します。インターネットに
接続するインタフェースにのみ、この設定を適用します。
例:2001:db8:10ff::ae:44f2/8
例:2001:db8:10ff::ae:44f2/64
例: 2001:db8:10ff::ae:44f2/64
72
Cloud Edge Cloud Console
オプション
管理アクセス
•
説明
許可するサービスおよびトラフィックを選択します (Web コン
ソール、ping、SSH、SNMP)。Cloud Edge アプライアンスの背
後にあるデバイスから送信されたサービスです。
DHCP の場合は、次のパラメータを設定します。
説明
オプション
種類
[L3] を選択します。
モード
[DHCP] を選択します。
管理アクセス 許可するサービスおよびトラフィックを選択します (Web コンソー
ル、ping、SSH、SNMP)。Cloud Edge アプライアンスの背後にあ
るデバイスから送信されたサービスです。
•
PPPoE の場合は、次のパラメータを設定します。
注意
インタフェース eth0 および eth1 だけが PPPoE を使用できます。OnPremises Console を使用してこれらのインタフェースを設定します。
オプション
説明
種類
[L3] を選択します。
モード
[PPPoE] を選択します。
ユーザ名
インターネットサービスプロバイダから提供されたユーザ名を
指定します。
パスワード
インターネットサービスプロバイダから提供されたパスワード
を指定します。
管理アクセス
許可するサービスおよびトラフィックを選択します (Web コン
ソール、ping、SSH、SNMP)。Cloud Edge アプライアンスの背
後にあるデバイスから送信されたサービスです。
PPPoE の詳細
設定
オンデマンド、アイドルタイム、および接続タイムアウトの設定
を指定します。
73
Cloud Edge 3.0 配置ガイド
3.
[保存] をクリックします。
VLAN について
VLAN (Virtual Local Area Network) とは、エンドポイント、サーバ、およびその
他のネットワークデバイスをグループ化して、その物理的な場所にかかわら
ず、同じ LAN セグメント上に存在するかのようにデバイス間通信を行う技術
のことです。多数のネットワークセグメントに地理的に分散して接続されて
いるエンドポイントやサーバであっても、同じ VLAN に属することができま
す。
VLAN は、デバイスを物理的ではなく論理的に分離します。各 VLAN はブ
ロードキャストドメインとして扱われます。VLAN 1 に属するデバイスは、同
じ VLAN 1 に属する他のデバイスと直接通信することができますが、他の
VLAN に属するデバイスにはルータ経由で通信する必要があります。VLAN
上のデバイス間の通信は、物理的なネットワークとは別のものです。
VLAN では、VLAN に属するデバイスで送受信されるすべてのパケットに
802.1Q VLAN タグを追加することでデバイスを分離します。VLAN タグは、
VLAN 識別子などの情報が含まれた 4 バイトの拡張フレームです。
VLAN サブインタフェースを追加する
重要
各 VLAN サブインタフェースの VLAN ID は、IEEE 802.1Q 準拠のルータによっ
て追加される VLAN ID と一致する必要があります。VLAN ID には 1～4094 の
範囲の任意の番号を指定できます (0 と 4095 は予約されています)。各 L3 VLAN
サブインタフェースは一意の IP アドレスとネットマスクを使用して設定しま
す。
VLAN タグ付きパケットを受信する物理インタフェースに VLAN サブインタ
フェースを追加します。
手順
1.
すべての Cloud Edge ネットワークインタフェースを表示します。
•
74
Cloud Console:[ゲートウェイ] > (選択したインタフェース) > [インタ
フェース]
Cloud Edge Cloud Console
•
On-Premises Console:[ネットワーク] > [インタフェース]
2.
[処理] 列にある VLAN 設定追加アイコン ( ) をクリックします。
3.
VLAN の設定を指定します。
オプ
ション
説明
名前
VLAN サブインタフェースの名前です。
種類
親インタフェースの種類に応じて、L2 VLAN または L3 VLAN が自動で
表示されます。
モード
L3 インタフェースの場合、[モード] リストを使用して、サブインタ
フェースで動的アドレスと静的アドレスのどちらを使用するかを設定し
ます。
VLAN ID
この VLAN サブインタフェースで受信するパケットの VLAN ID と一致
する VLAN ID を指定します。既存の VLAN サブインタフェースの
VLAN ID を変更することはできません。VLAN ID には 1～4094 の範囲
の任意の番号を指定できます。この ID は、VLAN サブインタフェースに
接続された IEEE 802.1Q 準拠のルータまたはスイッチによって追加さ
れる VLAN ID と一致する必要があります。
管理アクセス
Cloud Edge 管理インタフェースを設定することで、Cloud Edge アプライアンス
の背後にあるデバイスから開始された特定の種類の管理サービス (トラ
フィック) を許可またはブロックできます。Cloud Edge アプライアンスへの
管理アクセスは、次の場所で制御できます。
•
Cloud Console:
[ゲートウェイ] > (選択したゲートウェイ) > [管理アクセス]
•
On-Premises Console:
[ネットワーク] > [インタフェース]
[ネットワーク] > [ブリッジ]
75
Cloud Edge 3.0 配置ガイド
管理アクセスを有効にする
目的: ゲートウェイへのリモート管理アクセスを有効にします。SNMP を有効
にすると、ユーザはサポートされているオブジェクトの情報を SNMP マネー
ジャから取得できます。
場所: ゲートウェイ > (選択したゲートウェイ) > 管理アクセス
手順
1.
2.
インタフェースで有効にするサービスを選択します。
•
Web コンソール
•
Ping
•
SSH
•
SNMP
テーブルの下のフィールドに、アプライアンスへのリモートアクセスを
許可する IP アドレスを指定します。
注意
この設定によって、アプライアンスにリモートからアクセスできる IP アド
レス範囲が決まります。個別の IP アドレスを指定することも、ハイフン
「-」を使用して範囲を指定することもできます。IP アドレスとネットマス
クを指定する場合は、「192.168.1.0/24」の形式で指定してください。何
も指定しなかった場合、すべての IP アドレスが許可されます。
3.
[保存] をクリックします。
DHCP
Cloud Edge では、ネットワークインタフェースに対する複数の DHCP
(Dynamic Host Configuration Protocol) サービスがサポートされます。Cloud
Edge は、DHCP を使用するように設定されたインタフェースに対する DHCP
要求に自動的に応答します。Cloud Edge アプライアンス、インタフェース、ま
たは指定の DNS IP アドレスを使用するように DHCP を設定し、DHCP サーバ
76
Cloud Edge Cloud Console
が提供する IP アドレスプールおよびデフォルトゲートウェイのアドレスを
設定します。Cloud Edge は複数のプールをサポートします。1 つの DHCP
プールは 1 つの物理プールをサポートします。
DHCP サービスを確認する
目的: DHCP 設定を確認し、管理します。
場所: ゲートウェイ > (選択したゲートウェイ) > DHCP
手順
1.
DHCP サービスに関連付けられたパラメータを確認します。
オプション
説明
有効にする
サービスの状態を示します。有効 (緑/オン) または無効 (赤/オフ)
のどちらかになります。
名前
DHCP サービスの名前です (例: eth0、eth1)。
DHCP 設定を変更するには、インタフェース名をクリックします。
IPv4 アドレス/
プレフィック
ス
DHCP サーバからリースされる IP アドレス/ビットマスクです。
IP プール
DHCP サービスに適用可能な IP アドレスの範囲です。
オプション
DNS サーバの IP アドレス、ゲートウェイの IP アドレス、および
リース期間があります。DNS の IP アドレスは、DHCP サーバで
指定の DNS を使用する場合にのみ表示されます。
処理
DHCP サービスの設定を編集する場合はアイコンをクリックしま
す。
DHCP 設定を編集する
目的: ゲートウェイの DHCP 設定を変更します。
場所: ゲートウェイ > (選択したゲートウェイ) > DHCP > 追加/編集
77
Cloud Edge 3.0 配置ガイド
手順
1.
DHCP 設定を行います。
オプション
2.
説明
有効
サービスを有効にする場合に選択します。
IP アドレス/
ネットマス
ク
DHCP サーバからリースされる IP アドレスとサブネットマスクが
表示されます。
優先 DNS
優先する DNS 方式を選択します。
•
[ネットワーク] > [DNS] で設定されているシステムの DNS を使
用する場合は、[システムの DNS 設定を使用する] を選択します。
•
インタフェースの IP アドレスを DNS として使用する場合は、
[インタフェースの IP アドレスを使用する] を選択します。
DHCP サーバが有効になっている場合、DNS 転送が無効になっ
ていると、システムの DNS 設定で DNS 転送が自動的に有効に
なります。DNS 転送がすでに有効になっている場合は、既存の
DNS 転送設定が維持されます。
•
DNS 設定を手動で設定する場合は、[指定した DNS サーバを使
用する] を選択します。指定した IP アドレスがインタフェース
の DNS のアドレスと一致する場合は、DNS 転送設定も一致する
ことを確認します。
ゲートウェ
イ
インタフェースの IP アドレスおよびネットマスクの設定に基づい
て、DHCP サーバのゲートウェイが自動的に入力されます。必要に
応じて IP アドレスを変更することもできます。
IP アドレス
の開始値/終
了値
DHCP 設定が適用される IP プールを作成する IP アドレスの範囲を
指定します。
.
[詳細設定] で詳細を設定します。
•
[リース期間] で、リースされた IP アドレスおよびネットマスクの有
効期限の日時を調整します。
リース期間は、DHCP のリース期間を制限します。たとえば、時間
のみを指定した場合、リースは設定した時間数に制限されます。
78
Cloud Edge Cloud Console
•
[静的マッピング] で、サービスに追加する MAC アドレスおよび IP ア
ドレスを指定します。
静的マッピングにより、静的 IP アドレスを手動でバインドできま
す。
3.
[保存] をクリックします。
動的 DNS
動的ドメインネームシステム (DDNS) は、インターネットの DNS サーバをリ
アルタイムに自動更新し、ホスト名、アドレス、およびその他の情報のアク
ティブな DNS 設定を最新の状態に維持します。一般には、PPPoE や DHCP を
使用してインターネットアクセスを取得するなど、業務でパブリックのホス
ト名と IP アドレスのマッピングを頻繁に変更する場合に使用されます。
ユーザがインターネット上の他のユーザに Web サービスなどのサービスを提
供する場合に、動的 IP アドレスでは問題が生じます。IP アドレスが頻繁に変
わる可能性があるため、既知の URL を使用してアクセスできる状況を維持す
るためには、対応するドメイン名を DNS で迅速に再マッピングする必要があ
ります。多くのプロバイダが、このシナリオに対応するために有料または無
料の DDNS サービスを提供しています。ソフトウェアを実行して DDNS
サービスを更新する自動再構成機能は、通常はユーザのルータまたはコン
ピュータに実装されます。これまでに Web ベースの標準的な更新手段もいく
つか開発されていますが (RFC 2136 その他のプロトコル)、ユーザの機器とプ
ロバイダ間の通信は標準化されていません。
DDNS を使用すると、新しいホスト名と IP アドレスのマッピングがインター
ネットで自動的に伝播されます。DDNS サービスプロバイダは、この処理を
管理する仲介役として機能します。Cloud Edge アプライアンスは、外部クライ
アントがインターネット経由で企業サイトにアクセスする際に最初に接続す
るデバイスとして設計されています。すべてのインターネットユーザから企
業側の各ホスト/ドメインに向けて発信されるトラフィックは、必ず Cloud
Edge を通過する必要があります。Cloud Edge では、DDNS クライアントを使
用して、ホスト名と IP アドレスのマッピングの変更を DDNS サービスプロバ
イダに伝達できます。
79
Cloud Edge 3.0 配置ガイド
サポートされる DDNS サービスプロバイダ
次の 3 つの DDNS サービスプロバイダをサポートしています。
プロバイダ
Dyn DNS
サービス提供地域
グローバル
Free DNS
DNSPod
中国
注意
IPv6 はサポートされていません。
動的 DNS の設定を行う
目的: 各サービスベンダーに応じた基本設定を行います。必要な情報は、サー
ビスにより異なります。基本的に、各サービスにはドメイン名、アカウント、
およびパスワード情報が必要となります。
場所: ゲートウェイ > (選択したゲートウェイ) > ネットワーク > 動的 DNS
手順
1.
80
動的 DNS 情報を指定します。
a.
[動的 DNS を有効にする] チェックボックスをオンにします。
b.
[ベンダー] を選択します。
c.
[ユーザ名]、[パスワード]、および [ドメイン] を入力します。
d.
WAN インタフェースを選択します。
自動:
(初期設定) RFC 1597 に従って、非プライベート IP ア
ドレスとのインタフェースを自動検出します。
その他:
常にインタフェースからパブリック IP アドレスの取
得を試みます。
Cloud Edge Cloud Console
2.
Oray の場合に限り、[サービスレベル] を選択します。[無料] 以外のすべて
のサービスは、HTTPS 接続に必要な有料サービスです。
3.
•
無料
•
プロフェッショナル
•
エンタープライズ
•
アルティメット
[サービスレベル] で [プロフェッショナル] を選択した場合は、[HTTPS を
有効にする] を選択します。
一部のベンダー (Oray、Dyn DNS など) では、オプションとして HTTPS 接
続を提供しています。その他のベンダー (FreeDNS など) では、HTTPS イ
ンタフェースは公開されていません。一方、DNSPod では HTTPS 接続が
必須です。
4.
[保存] をクリックします。
DDNS ステータスを確認する
目的: 現在の DDNS の実行ステータスを確認します。
場所: ゲートウェイ > (選択したゲートウェイ) > ネットワーク > 動的 DNS >
ステータス
手順
1.
DDNS ステータスメッセージを確認します。
「81 ページの DDNS ステータスメッセージ」を参照してください。
DDNS ステータスメッセージ
[動的 DNS] > [ステータス] タブには、現在のインタフェース (自動検出または
指定)、WAN の IP アドレス、およびステータスメッセージなどの現在の DDNS
の実行ステータスが表示されます。
ステータスメッセージには次のものがあります。
81
Cloud Edge 3.0 配置ガイド
•
成功
•
エラー:認証に失敗しました
•
エラー:アカウントがアクティベートされていません
•
エラー:ドメイン情報が無効または未登録です
•
エラー:インターネットにアクセスできないか、またはサービスベンダーに接続
できません
•
エラー:HTTPS 接続サービスなどの有料機能を使用しました。関連する設定がリ
セットされました
•
エラー:サービスベンダーから「サービスは利用できません」というメッセージ
を受け取りました
•
エラー:利用可能な WAN IP が検出されませんでした
•
エラー:指定されたインタフェースには該当する IP がありません
•
エラー:サービスインタフェースが変更になった可能性があります。トレンドマ
イクロに連絡してアップデートしてください
•
エラー:認証エラーが所定の回数を超えたため、アカウントは一時的にロックさ
れました
•
エラー:サブドメイン情報が無効または未登録です
•
エラー:ラウンドロビン方式でのホストのアップデートは許可されていません
•
エラー:不明なエラー。インターネットアクセスを確認してください
•
有効ではありません
ルーティングテーブル
工場出荷時の初期設定の Cloud Edge ルーティングテーブルには、初期設定の
静的ルートが 1 つ含まれています。追加の静的ルートを定義し、ルーティン
グ情報をルーティングテーブルに追加します。テーブルには、同じ送信先へ
のルートを複数定義できます。これらのルートに指定されているネクスト
ホップルータの IP アドレス、またはこれらのルートに関連付けられている
Cloud Edge インタフェースは同じとはかぎりません。
82
Cloud Edge Cloud Console
Cloud Edge は、ルーティングテーブル内の情報を評価し、送信先への最適な
ルートを選択します。通常は、Cloud Edge アプライアンスと、最も近くに位置
するネクストホップルータとの最短距離が選択されます。ただし、最適な
ルートが利用できない場合は最短でないルートが選択されることがありま
す。Cloud Edge は、ユニットのルーティングテーブルのサブセットであるユ
ニットの転送テーブルに利用可能な最適ルートをインストールします。パ
ケットは転送テーブルの情報に従って転送されます。
ルーティングテーブルを確認する
目的: ルーティングテーブルを表示し、異なる送信元からのネットワークトラ
フィックがどのように同じ送信先に送られるかを確認します。これらのルー
トに指定されているネクストホップルータの IP アドレス、つまり、またはこ
れらのルートに関連付けられている Cloud Edge インタフェースは同じとはか
ぎりません。
場所: ゲートウェイ > (選択したゲートウェイ) > ネットワーク > ルーティン
グテーブル
手順
1.
テーブルのインジケータを確認します。
「83 ページのルーティングテーブルのインジケータ」を参照してくださ
い。
ルーティングテーブルのインジケータ
次の表に、ルーティングテーブルインジケータとその説明を示します。
コード
定義
K
カーネルルート
C
接続済み
S
静的
R
RIPng
83
Cloud Edge 3.0 配置ガイド
コード
O
定義
OSPFv3
帯域幅制御
ピアツーピアのダウンロード、ビデオストリーミング、インスタントメッセー
ジアプリケーションなどを実行すると、生産性に影響するほどネットワーク
帯域幅を消費することがあります。帯域幅制御では、通信を制御したり、不
要なトラフィックを低減したり、重要なトラフィックやサービスに適切な帯
域幅を割り当てたりすることで、ネットワークの輻輳を緩和できます。帯域
幅制御を使用すると、すべてのユーザにリソースへの適切なアクセスを提供
し、組織にとってより重要なリソースへのアクセスを確保することができま
す。ポリシールールと同様に、帯域幅制御では、送信元や送信先の IP アドレ
ス、アプリケーションやサービス、および時刻に基づいてトラフィックを制
限できます。
帯域幅制御ルールは、汎用的なものから限定的なものまで、必要に応じてさ
まざまなレベルで設定できます。帯域幅制御ルールは受信トラフィックに対
して順番に照合され、トラフィックに一致する最初のルールが適用されるた
め、限定的なルールから汎用的なルールの順に照合する必要があります。た
とえば、単一のアプリケーション向けのルールは、トラフィックに関する他
の設定がすべて同じ場合に適用するすべてのアプリケーション向けのルール
よりも先に照合する必要があります。トラフィックがいずれのルールにも一
致しない場合は、残りの帯域幅が使用されます。
注意
帯域幅制御ポリシーは、インタフェース帯域幅設定の範囲内で設定する必要があ
ります。
帯域幅制御を管理する
目的: 帯域幅制御では、ネットワークの輻輳を緩和するため、通信の制御、不
要なトラフィックのブロック、重要なトラフィックやサービスへの適切な帯
域幅割り当ての設定を行うことができます。
場所: ゲートウェイ > 帯域幅制御
84
Cloud Edge Cloud Console
手順
1.
次の手順を実行します。
•
新しいルールを作成するには、[追加] をクリックします。
•
ルールを探すには、右上にある [検索] を使用します。
•
設定を表示または変更するには、ルールの名前をクリックします。
•
設定を表示または変更するには、ルールを選択して [編集] をクリッ
クします。
•
ルールの順序を変更するには、ルールを選択して [移動] をクリック
します。
•
ステータスを変更したりルールを複製したりするには、ルールを選
択して [その他] をクリックします。
•
ルールを削除するには、ルールを選択して [削除] をクリックします。
2.
必要な設定を行います。
3.
[保存] をクリックします。
帯域幅制御ルールを追加/編集する
目的: 送信元のユーザ、ユーザグループやアドレス、送信先、トラフィックの
種類、スケジュール、出口インタフェース、その他の帯域幅の設定を指定し
て、帯域幅制御ルールを追加または編集します。
場所: ゲートウェイ > 帯域幅制御 > 追加/編集
手順
1.
ルール名を指定します。英字、数字、またはアンダースコアを使用して、
1～32 文字で指定する必要があります。
2.
[説明] を指定します。
3.
ルールを有効または無効にします。
85
Cloud Edge 3.0 配置ガイド
4.
5.
6.
7.
[送信元のユーザ/ユーザグループ/アドレス] を設定します。
•
ルールをすべてのユーザおよびすべての IP アドレスに適用する場
合は [すべて] を選択します。
•
ルールを特定のユーザまたはグループにのみ適用する場合は [ユー
ザ/グループを指定する] を選択します。
•
ルールを特定の IP アドレスにのみ適用する場合は [アドレスを指定
する] を選択します。
•
ルールを特定の MAC アドレスにのみ適用する場合は [選択された
MAC アドレス] を選択します。
[送信先のアドレス] を設定します。
•
ルールにすべての IP アドレスを含める場合は [すべて] を選択しま
す (初期設定)。
•
ルールを特定の IP アドレスにのみ適用する場合は [アドレスを指定
する] を選択します。
[トラフィックタイプ] を設定します。
•
ルールにすべてのアプリケーショングループを含める場合は [すべ
て] (初期設定)、特定のアプリケーションのみを含める場合は [アプリ
ケーションを指定する] を選択します。
•
ルールにすべてのサービスを含める場合は [すべて] (初期設定)、特定
のサービスのみを含める場合は [サービスを指定する] を選択しま
す。
[スケジュール] を設定します。
オプション
86
説明
常時
すべてのスケジュールを含めます (初期設定)
スケジュール名
使用可能なスケジュールオブジェクトの名前が表示され
ます。
新しいスケジュールオ
ブジェクトの追加
[追加/編集] スケジュールオブジェクト作成ダイアログ
ボックスにアクセスします。
Cloud Edge Cloud Console
8.
[出口インタフェース] のドロップダウンメニューからインタフェースを
選択します。
9.
[帯域幅] でアップストリームとダウンストリームの設定を指定します。
10. [保存] をクリックします。
帯域幅制御ルールを複製する
目的: 既存のルールを複製します。
場所: ゲートウェイ > 帯域幅制御
手順
1.
ルールを選択し、[その他] プルダウンメニューをクリックします。
2.
[複製] をクリックします。
3.
新しいルールがリストに表示されていることを確認します。
帯域幅制御ルールを有効/無効にする
目的: 帯域幅制御ルールを無効にした状態でプロビジョニングできます。こ
の手順は、まだ有効にしていない作成済みの帯域幅制御ルールに適用されま
す。変更は、[すべて配信] をクリックした後に有効になります。
場所: ゲートウェイ > 帯域幅制御
手順
1.
有効または無効にするルールの横にあるチェックボックスをオンにしま
す。
2.
[その他] プルダウンメニューをクリックし、[有効にする] または [無効に
する] を選択します。
3.
[すべて配信] をクリックして変更を有効にします。
87
Cloud Edge 3.0 配置ガイド
帯域幅制御ルールを削除する
目的: 帯域幅制御ルールを削除します。
場所: ゲートウェイ > 帯域幅制御
手順
1.
削除するルールの横にあるチェックボックスをオンにします。
2.
[削除] をクリックします。
3.
[OK] をクリックして確認します。
4.
削除したルールがリストに表示されていないことを確認します。
ユーザ VPN
ユーザが遠隔地から組織のサーバにアクセスするときは、安全に接続するた
めの通常の要件に加え、リモートクライアントが特別な要件を満たすことも
不可欠です。ユーザの仮想プライベートネットワーク (VPN) は、VPN のリ
モートユーザ向け拡張機能です。ダイヤルアップ (ブロードバンド接続を含
む) と LAN (無線 LAN を含む) のどちらの接続でも、VPN トンネルを介して
ネットワークやサーバと機密情報を安全にやり取りできます。
仮想プライベートネットワーク
仮想プライベートネットワーク (VPN) テクノロジは、遠隔地で作業する従業
員が企業ネットワークにアクセスする際のセキュリティ対策として広く使用
されています。認証とは、大まかにいうと、ネットワークリソースにアクセ
スするときと VPN ネットワークにログオンするときにデジタル ID を検証す
るプロセスのことです。VPN では、既存のインフラストラクチャ (インター
ネット) を利用して既存の接続を安全に確立して強化します。VPN は、安全な
インターネットプロトコルに基づいて、特殊なネットワークノードとセキュ
アゲートウェイ間の安全なリンクを確立できます。サイト間 VPN ではゲー
トウェイ間の安全なリンクが確立され、ユーザ VPN ではゲートウェイとリ
モートアクセスクライアントの間の安全なリンクが確立されます。
88
Cloud Edge Cloud Console
一般的な Cloud Edge の配置では、企業ネットワークのリソースにリモートか
ら VPN を使用して接続できます。他のリモートサイトは Cloud Edge で保護
され、すべてのネットワークリソースとリモートエンドポイントの間の通信
が厳格なセキュリティポリシーによって規制されます。
Cloud Edge では、IPv4 間の VPN アクセスがサポートされます。
暗号化アルゴリズム
次の表に、SSL-VPN で設定可能な暗号化アルゴリズムを示します。DES
(Digital Encryption Standard) は、56 ビット鍵を使用する 64 ビットのブロックア
ルゴリズムです。AES (Advanced Encryption Standard) は、128～256 ビットの鍵
と可変長のデータブロックをサポートする秘密鍵アルゴリズムです。
アルゴリズム
説明
AES 128 CBC
128 ビット鍵を使用する 128 ビットブロッ
クの CBC (暗号ブロック連鎖) アルゴリズ
ムです。
AES 192 CBC
192 ビット鍵を使用する 192 ビットブロッ
クの CBC (暗号ブロック連鎖) アルゴリズ
ムです。
AES 256 CBC
256 ビット鍵を使用する 256 ビットブロッ
クの CBC (暗号ブロック連鎖) アルゴリズ
ムです。
DES EDE3 CBC
Triple-DES では、プレーンテキストが 3 つ
の鍵で 3 回暗号化されます。
BF-CBC
Blowfish を使用する 64 ビットブロックの
対称鍵による CBC (暗号ブロック連鎖) ア
ルゴリズムです。
認証アルゴリズム
次の表に、SSL-VPN で設定可能な認証アルゴリズムを示します。
89
Cloud Edge 3.0 配置ガイド
アルゴリズム
説明
MD5
MD5 (Message Digest バージョン 5) ハッ
シュアルゴリズム (一方向ハッシュ関数)
は、デジタル署名アプリケーション向けに
RSA Data Security が開発したアルゴリズ
ムです。大きなファイルを秘密鍵/公開鍵
アルゴリズムを使用して暗号化する前に、
安全な方法で圧縮する必要がある場合に使
用します。
SHA1
SHA1 (Secure Hash Algorithm 1) では、160
ビットのメッセージダイジェストを生成し
ます。メッセージダイジェストが大きく、
ブルートフォースアタックによる衝突や反
転攻撃に対するセキュリティが高まりま
す。
IKE (Internet Key Exchange) プロトコル
IKE (Internet Key Exchange) プロトコルは、IPSec (IP Security) 形式のエンコード
データを転送するためのトンネルを作成するプロトコルです。
アルゴリズム
説明
制御
IKE による決定を示します。
生成
出力メッセージの構造を示します。
解析
入力メッセージの構造を示します。
未加工
メッセージの未加工のバイト数を示しま
す。
暗号
メッセージの暗号化および復号化のステー
タスを示します。
PPTP VPN
Cloud Edge では、PPTP (Point-to-Point Tunneling Protocol) を介した 2 つの VPN
ピア間の PPTP トラフィックのトンネリングがサポートされます。Windows
または Linux の PPTP クライアントで、PPTP サーバとして機能するように設
90
Cloud Edge Cloud Console
定された Cloud Edge アプライアンスとの PPTP トンネルを確立できます。ま
た、Cloud Edge アプライアンスの背後にあるネットワークで PPTP パケットを
PPTP サーバに転送することもできます。PPTP VPN は NAT/ルートモードで
のみ使用できます。PPTP セッションの最大数は 254 です。
Cloud Edge アプライアンスを PPTP ゲートウェイとして使用する場合、PPTP
クライアント IP をローカルアドレス範囲から選択するか、PPTP ユーザグ
ループで定義されたサーバを使用します。IP アドレスを取得する方法を選択
し、ユーザグループサーバを使用する場合は IP アドレスとユーザグループを
指定します。
PPTP VPN を管理する
目的: PPTP (Point-to-Point Tunneling Protocol) を介して 2 つの VPN ピア間の
PPTP トラフィックをトンネリングするように設定します。
場所: ゲートウェイ > ユーザ VPN > PPTP VPN > 一般
手順
1.
必要に応じて、PPTP VPN を有効にします。
2.
基本設定を行います。
•
3.
IP アドレスの割り当て方法
•
PPTP でリモートアクセスを取得するクライアントの IP アドレ
ス (192.168.0.0) を指定するには、IP アドレスプールを選択しま
す。
•
DNS サーバおよびインタフェースの設定を指定するには、
DHCP サーバを選択します。
詳細設定を行います。
•
暗号化
PPTP VPN では Microsoft Point-to-Point 暗号化 (MPPE) を使用します。
MPPE は、Point-to-Point Protocol (PPP) と仮想プライベートネットワー
ク (VPN) のリンクでやり取りされるデータを暗号化するプロトコル
です。暗号化アルゴリズムには RSA RC4 が使用されます。MPPE で
91
Cloud Edge 3.0 配置ガイド
は、40 ビットおよび 128 ビットのセッション鍵がサポートされ、セ
キュリティ向上のために頻繁に変更されます。
PPTP VPN クライアントを確認する
目的: 現在 VPN で接続しているすべてのクライアントを表示します。ユーザ
名、セッションの開始時間、クライアントのパブリック IP アドレス、および
仮想 IP アドレスが表の形式で表示されます。また、接続しているクライアン
トの総数が表の上に表示されます。
場所: ゲートウェイ > ユーザ VPN > PPTP VPN > クライアント
手順
1.
PPTP VPN を介して接続しているすべてのクライアントを表の形式で表
示します。
PPTP VPN のトラブルシューティングを行う
目的: PPTP VPN を設定する際の一般的なトラブルシューティングのガイドラ
インを確認します。
場所: ゲートウェイ > ユーザ VPN > PPTP VPN > トラブルシューティング
手順
1.
92
次の方法で PPTP VPN のトラブルシューティングを行います。
•
エラーメッセージの詳細については、「93 ページの PPTP VPN のエ
ラーメッセージについて」を参照してください。
•
クライアントから Cloud Edge への ping が成功することを確認しま
す。
•
PPTP VPN で設定されている TCP ポートまたは UDP ポートにクラ
イアントからアクセスできることを確認します。
Cloud Edge Cloud Console
•
Windows クライアントの設定ファイル openvpn.ovpn の設定が
https://<appliance_server_IP_address>/Config/
openvpn.ovpn ファイルと同じであることを確認します。
•
モバイルクライアントの設定ファイル mobile.ovpn の設定が
https://<appliance_server_IP_address>/Config/mobile.ovpn
ファイルと同じであることを確認します。
PPTP VPN のエラーメッセージについて
エラーメッセージ
エラー 800: VPN 接
続を確立できません。
エラー 734: PPP リ
ンク制御プロトコルが
終了しました。
説明
VPN クライアントから
送信された PPTP パ
ケットが Cloud Edge
アプライアンスに到達
できません。
PPTP クライアントと
Cloud Edge アプライ
アンスのプロトコルが
一致していません。
推奨される処理
1.
- PPTP クライアントと Cloud
Edge アプライアンスの間で ping
を使用できる (ブロックされてい
ない) 場合は、Cloud Edge アプラ
イアンスへの ping を実行します。
PPTP クライアントと Cloud Edge
アプライアンスの間でネットワー
ク接続が確立されていることを確
認してください。
2.
- PPTP トラフィックを許可するに
は、TCP ポート 1723 を開いて
GRE (Generic Routing
Encapsulation) 用の IP プロトコル
47 のトラフィックを Cloud Edge
アプライアンスに転送するように
ネットワークファイアウォールを
設定します。一部のファイア
ウォールでは、IP プロトコル 47 を
VPN または PPTP パススルーと呼
びます。
セキュリティ上の理由から、Cloud
Edge アプライアンスでは、MS-CHAP
バージョン 2 と Point-to-Point 暗号化
のみをサポートしています。これらの
2 つのプロトコルが PPTP クライアン
トでサポートされていることを確認し
てください。
93
Cloud Edge 3.0 配置ガイド
エラーメッセージ
エラー 691: ユーザ名
またはパスワード、ある
いはその両方が無効な
ため、このドメインにア
クセスできませんでし
た。
説明
ユーザ名またはパス
ワードが無効です。
推奨される処理
正しいユーザ名とパスワードを入力す
るか、システム管理者に依頼してパス
ワードをリセットします。
SSL VPN
Secure Socket Layer 仮想プライベートネットワーク (SSL VPN) は、標準の Web
ブラウザで使用できる VPN の 1 つです。SSL VPN を使用するにはクライア
ントソフトウェアをインストールする必要があります。SSL VPN は、Web
ベースのメール、ビジネスや政府機関のディレクトリ、ファイル共有、リモー
トバックアップ、リモートシステム管理、消費者レベルの電子商取引などの
アプリケーションに適しています。
エンドポイントに対する完全な管理者権限があり、さまざまなアプリケー
ションを使用している場合は、トンネルモードにすることで、リモートクラ
イアントからローカルの内部ネットワークに直接接続と同じようにアクセス
できます。
SSL VPN を管理する
目的: 標準の Web ブラウザで VPN を使用できるように SSL VPN (Secure Socket
Layer 仮想プライベートネットワーク) を設定します。
場所: ゲートウェイ > ユーザ VPN > SSL VPN > 一般
手順
94
1.
必要に応じて、SSL VPN を有効にします。
2.
基本設定を行います。
•
プロトコル
•
ポート
Cloud Edge Cloud Console
3.
•
新しいアドレスオブジェクトの追加
•
ローカルネットワーク
•
クライアントネットワークプール
詳細設定を行います。
•
暗号化アルゴリズム
「89 ページの暗号化アルゴリズム」を参照してください。
•
認証アルゴリズム
「89 ページの認証アルゴリズム」を参照してください。
•
鍵のサイズ
•
鍵の有効期限
•
ローカル DNS サーバ
•
ローカルドメイン
•
圧縮トラフィックを有効にする
•
デバッグモードを有効にする
•
同時ログオンを有効にする
•
IP マスカレードを有効にする
SSL VPN クライアントを確認する
目的: 現在 VPN で接続しているすべてのクライアントを表示します。ユーザ
名、セッションの開始時間、クライアントのパブリック IP アドレス、および
仮想 IP アドレスが表の形式で表示されます。また、接続しているクライアン
トの総数が表の上に表示されます。
場所: ゲートウェイ > ユーザ VPN > SSL VPN > クライアント
95
Cloud Edge 3.0 配置ガイド
手順
1.
SSL VPN を介して接続しているすべてのクライアントを表の形式で表示
します。
SSL VPN のトラブルシューティングを行う
目的: SSL VPN を設定する際の一般的なトラブルシューティングのガイドラ
インを確認します。
場所: ゲートウェイ > ユーザ VPN > SSL VPN > トラブルシューティング
手順
1.
次の方法で SSL VPN のトラブルシューティングを行います。
•
エラーメッセージの詳細については、「97 ページの SSL VPN のエ
ラーメッセージについて」を参照してください。
•
クライアントから Cloud Edge への ping が成功することを確認しま
す。
•
SSL VPN で設定されている TCP ポートまたは UDP ポートにクライ
アントからアクセスできることを確認します。
•
Windows クライアントの設定ファイル openvpn.ovpn の設定が
https://<appliance_server_IP_address>/Config/
openvpn.ovpn ファイルと同じであることを確認します。
•
モバイルクライアントの設定ファイル mobile.ovpn の設定が
https://<appliance_server_IP_address>/Config/mobile.ovpn
ファイルと同じであることを確認します。
96
Cloud Edge Cloud Console
SSL VPN のエラーメッセージについて
エラーメッセージ
説明
TCP: X.X.X.X:80 への接続
に失敗しました。5 秒後に再
試行します。接続は拒否され
ました
SSL VPN クライアントから
Cloud Edge アプライアンス
に到達できません。
SIGTERM[soft,authfailure] を受信しました。
プロセスを終了します。
ユーザ名またはパスワード
が無効です。
推奨される処理
1.
SSL VPN クライアント
と Cloud Edge アプラ
イアンスの間で ping を
使用できる (ブロック
されていない) 場合は、
Cloud Edge アプライア
ンスへの ping を実行し
ます。SSL VPN クライ
アントと Cloud Edge
アプライアンスの間で
ネットワーク接続が確
立されていることを確
認してください。
2.
SSL VPN トラフィック
を許可するには、SSL
VPN で設定されている
TCP ポートまたは
UDP ポートを Cloud
Edge アプライアンス
に対して開くように
ネットワークファイア
ウォールを設定しま
す。
正しいユーザ名とパスワー
ドを指定するか、管理者に
依頼してパスワードをリ
セットします。
モバイル VPN
iOS デバイスおよび Android デバイスでは、組み込みの IPsec VPN クライアン
トを利用して VPN を使用できます。モバイルデバイス用にエージェントを
インストールする必要はありません。
iOS の「VPN オンデマンド」機能をサポートするポリシープロファイルを作
成します。これにより、iOS ポリシープロファイルを iOS デバイスにプッシュ
97
Cloud Edge 3.0 配置ガイド
できるようになり、iOS デバイスから組織のリソースにアクセスしたときに
VPN 接続が自動的に開始されて確立されるようになります。
注意
VPN オンデマンドは Android デバイスではサポートされていません。
モバイル VPN では次の機能がサポートされます。
•
社内 LDAP サーバによるユーザ認証
•
組織環境の DHCP サーバの統合によるリモートクライアントへの IP ア
ドレスの割り当て
•
スプリットトンネリング: 組織のトラフィックだけが VPN トンネルを介
してルーティングされ、それ以外のトラフィックはプロバイダのネット
ワークを介してルーティングされます。
•
スプリット DNS: 組織のリソースの検索は VPN トンネルを介して組織環
境内にある DNS サーバに送信され、それ以外のリソースの検索はプロバ
イダの DNS サーバに送信されます。
•
1 人のユーザによる複数デバイスの利用
•
デバイスに対する VPN アクセスの取り消し: 社内 LDAP サーバまたは
ローカルユーザデータベースからユーザ認証情報を削除してアクセスを
取り消すことができます。
•
管理インタフェース: ポリシーを作成および管理したり、VPN 接続に関す
るすべての活動について次の情報を監視したりできます。
モバイル VPN を管理する
目的: iOS デバイスおよび Android デバイスで VPN を使用できるようにモバ
イル VPN (モバイル仮想プライベートネットワーク) を設定します。
場所: ゲートウェイ > ユーザ VPN > モバイル VPN
98
Cloud Edge Cloud Console
手順
1.
2.
基本設定を行います。
•
インタフェース
•
ローカルネットワーク
•
クライアントネットワークプール
詳細設定を行います。
•
Dead Peer 検出
Cloud Edge アプライアンスによるデッド状態 (オフライン) のリモー
トシステムの検出を有効にします。
•
IP マスカレードを有効にする
NAT ルールを自動的に追加します。
•
スプリットトンネリングを有効にする
企業ネットワークへのトラフィックのみが VPN トンネルを介して
ルーティングされるようになります。
•
スプリット DNS を有効にする
組織のリソースを VPN トンネルを介して組織環境内にある指定の
DNS サーバに送信します。
•
ローカル DNS サーバ
ネットワーク内にある DNS サーバの IP アドレスです。
•
ローカルドメイン
DNS サーバに対応するローカルドメインです。ローカルドメインを
指定しないと、モバイル VPN クライアントで FQDN を解決できませ
ん。
•
VPN オンデマンドを有効にする
iOS デバイスで VPN 接続が開始されて確立されるようにします。
99
Cloud Edge 3.0 配置ガイド
•
ドメインまたはホスト
VPN 接続の確立を常に許可または禁止するドメインまたはホストで
す。
•
IKE のデバッグ
「90 ページの IKE (Internet Key Exchange) プロトコル」を参照してくだ
さい。
モバイル VPN クライアントを確認する
目的: 現在 VPN で接続しているすべてのクライアントを表示します。ユーザ
名、セッションの開始時間、クライアントのパブリック IP アドレス、および
仮想 IP アドレスが表の形式で表示されます。また、接続しているクライアン
トの総数が表の上に表示されます。
場所: ゲートウェイ > ユーザ VPN > モバイル VPN > クライアント
手順
1.
モバイル VPN を介して接続しているすべてのクライアントを表の形式
で表示します。
モバイル VPN のトラブルシューティングを行う
目的: モバイル VPN を設定する際の一般的なトラブルシューティングのガイ
ドラインを確認します。
場所: ゲートウェイ > ユーザ VPN > モバイル VPN > トラブルシューティン
グ
手順
1.
100
表示されるログを確認します。
Cloud Edge Cloud Console
サイト間 VPN
サイト間仮想プライベートネットワーク (88 ページの VPN) を使用すると、複
数のオフィス間で、インターネットなどのパブリックネットワークを介した
安全な接続を確立できます。サイト間 VPN は企業のネットワークを拡張し、
ある場所にあるコンピュータリソースを別の場所からも利用できるようにな
ります。サイト間 VPN を必要とする企業としては、世界中に多数の支社があ
る企業が挙げられます。
Cloud Edge は、IKE (Internet Key Exchange) プロトコルと IPsec (IP Security) プロ
トコルを使用して、暗号化されたトンネルを作成します。IKE は VPN トンネ
ルを作成します。このトンネルは IPSec 形式のエンコードデータの転送に使
用されます。IKE はトンネルを作るプロセスで、IPsec パケットはトンネルを
通って暗号化データを運ぶトラックと考えることができます。
Cloud Edge アプライアンスは、Encapsulated Security Payload (ESP)プロトコルを
実装します。カプセル化されたパケットは通常のパケットと同じように認識
され、任意の IP ネットワークを通じてルーティングできます。
IKE は、事前共有鍵または X.509 デジタル証明書に基づいて自動的に実行され
ます。必要に応じて、手動の鍵を指定することもできます。インタフェース
モードは NAT/Route モードでのみサポートされ、VPN トンネルのローカル側
の仮想インタフェースを作成します。
サイト間 VPN を管理する
目的: サイト間 VPN を設定して、インターネットなどのパブリックネット
ワークを介して複数のオフィス間に安全な接続を確立します。
場所: ゲートウェイ > サイト間 VPN
手順
1.
[新規追加] をクリックします。
2.
新しい IPsec ポリシーの名前を指定します。
3.
リストから [IKE の暗号化アルゴリズム] を選択します。
101
Cloud Edge 3.0 配置ガイド
注意
DES (Digital Encryption Standard) は、56 ビット鍵を使用する 64 ビットのブ
ロックアルゴリズムです。AES (Advanced Encryption Standard) は、128～256
ビットの鍵と可変長のデータブロックをサポートする秘密鍵アルゴリズム
です。
オプショ
ン
4.
説明
3DES
Triple-DES では、プレーンテキストが 3 つの鍵で 3 回暗号化されま
す。
AES 128
128 ビット鍵を使用する 128 ビットブロックの CBC (暗号ブロック
連鎖) アルゴリズムです。
AES 192
128 ビット鍵を使用する 192 ビットブロックの CBC (暗号ブロック
連鎖) アルゴリズムです。
AES 256
128 ビット鍵を使用する 256 ビットブロックの CBC (暗号ブロック
連鎖) アルゴリズムです。
[IKE の認証アルゴリズム] をリストから 選択します。
•
MD5 - (Message Digest バージョン 5) ハッシュアルゴリズム (一方向
ハッシュ関数) は、デジタル署名アプリケーション向けに RSA Data
Security が開発したアルゴリズムです。大きなファイルを秘密鍵/公
開鍵アルゴリズムを使用して暗号化する前に、安全な方法で圧縮す
る必要がある場合に使用します。
•
5.
SHA1 - (Secure Hash Algorithm 1) は、160 ビットのメッセージダイジェ
ストを生成します。メッセージダイジェストが大きく、ブルート
フォースアタックによる衝突や反転攻撃に対するセキュリティが高
まります。
IKE SA の有効期限 (1～24 時間) をリストから選択します。これは、ネゴ
シエートされたキーが有効な期間です。
6.
安全なゲートウェイでサポートされる IKE DH グループをリストから選択
します。
•
102
グループ 2: MODP - 1024 ビット (初期設定)
Cloud Edge Cloud Console
•
グループ 5: MODP - 1536 ビット
•
グループ 14: MODP - 2048 ビット
上記のグループは、Diffie-Hellman (DH) グループに基づく DiffieHellman 鍵交換 (指数鍵合意とも呼ばれる) を表しており、IKE および
IPsec SA (Security Association) のセキュリティゲートウェイでサポー
トされます。
7.
8.
9.
IPsec の暗号化アルゴリズムをリストから選択します。
•
暗号化なし - 暗号化アルゴリズムを使用しません。
•
3DES
•
AES 128
•
AES 192
•
AES 256
IPSec の認証アルゴリズムをリストから 選択します。
•
MD5
•
SHA1
IPsec の有効期限 (1～24 時間) をリストから選択します。
10. IPsec PFS グループをリストから選択します。
•
なし
•
グループ 2: MODP
•
グループ 5: MODP
•
グループ 14: MODP
11. [適用] をクリックします。
12. [ネットワーク] > [サイト間 VPN] > [ポリシー] に新しいポリシーが表示
されていることを確認します。
103
Cloud Edge 3.0 配置ガイド
IPsec 接続
セキュリティゲートウェイ上で実行されている動的ルーティングプロトコル
デーモンは、IPSec トンネル/接続のもう一端で実行されているルーティング
デーモンとルーティング情報を交換できます。
IPsec (VPN) トンネルは、既存の VPN 接続に関連付けられたセキュリティゲー
トウェイ上の仮想インタフェースです。IP ルーティングでは、VPN ピアゲー
トウェイに直接接続されたポイントツーポイントインタフェースとして使用
されます。
アウトバウンドパケットは次のようにルーティングされます。
•
送信先アドレス X が指定された IP パケットが、ルーティングテーブルと
照合される
•
照合の結果、IP アドレス X は、ポイントツーポイントリンク (ピアゲート
ウェイ Y に関連付けられた VPN トンネルインタフェースである) 経由で
ルーティングされる必要があることが判明する
•
パケットに仮想トンネルインタフェースが指定されているため、VPN
カーネルがパケットを傍受する
•
ピアゲートウェイ Y の適切な IPsec 認証タイプパラメータを使用してパ
ケットが暗号化され、新しいパケットには送信先 IP としてピアゲート
ウェイ Y の IP アドレスが設定される
•
新しい送信先 IP に基づいて、Y のアドレスに対応するルーティングテー
ブルのエントリの物理インタフェースにパケットが再ルーティングされ
る
インバウンドパケットは次のようにルーティングされます。
104
•
IPsec パケットにはゲートウェイ Y を経由するマシンが指定されている
•
VPN カーネルが物理インタフェース上でパケットを傍受する
•
VPN カーネルが送信元の VPN ピアゲートウェイを特定する
•
VPN カーネルがパケットのカプセル化を解除し、元の IP パケットを抽出
する
Cloud Edge Cloud Console
•
ピア VPN ゲートウェイに対して VPN トンネルインタフェースが存在す
ることを VPN カーネルが検出し、物理インタフェースから関連付けられ
た VPN トンネルインタフェースにパケットを再ルーティングする
•
パケットに、VPN トンネルインタフェースを経由する IP スタックが指定
される
IPsec 接続を管理する
目的: サイト間 VPN 接続を管理して、Cloud Edge アプライアンス間に IPSec
VPN トンネルを確立します。
場所: ゲートウェイ > サイト間 VPN > 接続
手順
1.
次の手順を実行します。
•
新しい IPsec 接続を作成するには、[追加] をクリックします。
•
設定を表示または変更するには、接続の名前をクリックします。
•
接続を削除するには、接続を選択して [削除] をクリックします。
•
接続を有効にするには、接続を選択して [有効にする] をクリックし
ます。
•
接続を無効にするには、接続を選択して [無効にする] をクリックし
ます。
IPsec 接続を追加する
目的: [サイト間 VPN] 接続を使用して、Cloud Edge アプライアンス間に IPSec
VPN トンネルを確立します。
場所: ゲートウェイ > サイト間 VPN > 接続
105
Cloud Edge 3.0 配置ガイド
手順
1.
IPsec の接続パラメータを指定します。
IPSec 接続を有効に
する
トンネルを有効にするにはチェックボックスをオンにしま
す。
名前
IPsec トンネルを識別する名前を入力します。
ゲートウェイの種類
IPsec トンネルの役割として [開始] (アクティブ) または [応
答] (パッシブ) を選択します。
ゲートウェイ
ゲートウェイの IP アドレスを指定します。
インタフェース名
リストからインタフェース名 (WAN1、LAN1) を選択します。
ポリシー名
IPsec トンネルに適用する [初期設定] または特定のポリ
シーをリストから選択します。
注意
[ゲートウェイ] > [サイト間 VPN] > [ポリシー] に移動
し、初期設定以外の IPsec ポリシーを設定します。
認証の種類
リストから [事前共有鍵] または [RSA 鍵] を選択します。
事前共有鍵
鍵を指定し、確認のためにもう一度入力します。
[事前共有鍵] を選択した場合、リモートピアまたはダイヤル
アップクライアントに対して Cloud Edge を認証するために
使用する事前共有鍵を指定します。リモートピアまたはダ
イヤルアップクライアント側でも、必ず同じ値を定義してく
ださい。鍵には 6 文字以上の印字可能文字を指定し、ネット
ワーク管理者以外には知られないようにします。現在知ら
れている攻撃に対して最大限の防御を実現するには、ランダ
ムな 16 文字以上の英数字で構成される鍵を使用してくださ
い。
106
RSA 鍵
リモートピアのローカル公開鍵を指定します。
VPN ID
IPsec ゲートウェイが NAT デバイスの背後にある場合は、
ローカルの IP アドレスを入力します。
ローカルネットワー
クの追加
ローカルネットワークを選択するか、新しいアドレスオブ
ジェクトを追加します。
Cloud Edge Cloud Console
リモートネットワー
クの追加
2.
リモートネットワークを選択するか、新しいアドレスオブ
ジェクトを追加します。
[保存] をクリックします。
サイト間 VPN ポリシー
Cloud Edge では、VPN ポリシーで使用する IKE 暗号化と認証アルゴリズムを
設定できます。
サイト間 VPN ポリシーを追加する
目的: [サイト間 VPN] ポリシーを追加して、サイト間 VPN 接続に使用される
IKE 暗号化および認証アルゴリズムを設定します。
場所: ゲートウェイ > サイト間 VPN > ポリシー
手順
1.
新しい IPsec ポリシーの名前を指定します。
2.
リストから [IKE の暗号化アルゴリズム] を選択します。
注意
DES (Digital Encryption Standard) は、56 ビット鍵を使用する 64 ビットのブ
ロックアルゴリズムです。AES (Advanced Encryption Standard) は、128～256
ビットの鍵と可変長のデータブロックをサポートする秘密鍵アルゴリズム
です。
オプショ
ン
説明
3DES
Triple-DES では、プレーンテキストが 3 つの鍵で 3 回暗号化されま
す。
AES 128
128 ビット鍵を使用する 128 ビットブロックの CBC (暗号ブロック
連鎖) アルゴリズムです。
107
Cloud Edge 3.0 配置ガイド
オプショ
ン
3.
説明
AES 192
128 ビット鍵を使用する 192 ビットブロックの CBC (暗号ブロック
連鎖) アルゴリズムです。
AES 256
128 ビット鍵を使用する 256 ビットブロックの CBC (暗号ブロック
連鎖) アルゴリズムです。
[IKE の認証アルゴリズム] をリストから 選択します。
•
MD5 - (Message Digest バージョン 5) ハッシュアルゴリズム (一方向
ハッシュ関数) は、デジタル署名アプリケーション向けに RSA Data
Security が開発したアルゴリズムです。大きなファイルを秘密鍵/公
開鍵アルゴリズムを使用して暗号化する前に、安全な方法で圧縮す
る必要がある場合に使用します。
•
SHA1 - (Secure Hash Algorithm 1) は、160 ビットのメッセージダイジェ
ストを生成します。メッセージダイジェストが大きく、ブルート
フォースアタックによる衝突や反転攻撃に対するセキュリティが高
まります。
4.
IKE SA の有効期限 (1～24 時間) をリストから選択します。これは、ネゴ
シエートされたキーが有効な期間です。
5.
安全なゲートウェイでサポートされる IKE DH グループをリストから選択
します。
•
グループ 2: MODP - 1024 ビット (初期設定)
•
グループ 5: MODP - 1536 ビット
•
グループ 14: MODP - 2048 ビット
上記のグループは、Diffie-Hellman (DH) グループに基づく DiffieHellman 鍵交換 (指数鍵合意とも呼ばれる) を表しており、IKE および
IPsec SA (Security Association) のセキュリティゲートウェイでサポー
トされます。
6.
IPsec の暗号化アルゴリズムをリストから選択します。
•
108
暗号化なし - 暗号化アルゴリズムを使用しません。
Cloud Edge Cloud Console
7.
•
3DES
•
AES 128
•
AES 192
•
AES 256
IPSec の認証アルゴリズムをリストから 選択します。
•
MD5
•
SHA1
8.
IPsec の有効期限 (1～24 時間) をリストから選択します。
9.
IPsec PFS グループをリストから選択します。
•
なし
•
グループ 2: MODP
•
グループ 5: MODP
•
グループ 14: MODP
10. [保存] をクリックします。
詳細な IPsec 設定
サイト間 VPN の詳細設定オプションには、Dead Peer 検出、IKE デバッグ、
RSA 鍵設定などがあります。
詳細なサイト間 VPN 設定を行う
目的: Dead Peer 検出、IKE デバッグ、RSA 鍵設定など、詳細なサイト間 VPN
を設定します。
場所: ゲートウェイ > サイト間 VPN > 詳細
109
Cloud Edge 3.0 配置ガイド
手順
1.
詳細なサイト間 VPN 設定を行います。
オプショ
ン
説明
Dead
Pear 検出
を使用す
る
Dead Peer 検出は、ICMP Ping を実行して非アクティブ、つまり利用
できない IKE ピアを特定する機能です。ピアが利用できないときに失
われたリソースを復元するのに役立ちます。[Dead Pear 検出を使用す
る] を選択すると、アイドルな接続に対して VPN トンネルが再確立さ
れ、必要に応じてデッド状態 (オフライン) の IKE ピアがクリーンアッ
プされます。このオプションを使用すると、トンネルが稼働または停止
したときに通知を受け取ったり、またはトンネル内に一切トラフィック
が生成されていないときにトンネル接続を開いたままにしておいたり
することができます。たとえば、定期的に更新される IP アドレスから
接続している動的 DNA ピアでは、IP アドレスの更新中にトラフィック
が一時停止することがあります。
IKE のデ
バッグ
IKE デバッグオプションについて、次のチェックボックスを選択しま
す。
•
制御 - IKE による判断を表示します。
•
生成 - 出力メッセージの構造を表示します。
•
解析 - 入力メッセージの構造を表示します。
•
未加工 - メッセージの未加工のバイト数を表示します。
•
暗号 - メッセージの暗号化および復号化のステータスを表示しま
す。
2.
110
現在の
ローカル
な公開
RSA 鍵
ローカル RSA 鍵の現在の公開部分を、IPsec RSA 認証を使用するリ
モートデバイスにコピーして指定できる形式で表示します。
ローカル
RSA 鍵の
再生成
ローカル RSA 鍵を新しい長さで再生成し、現在インストールされてい
る RSA キーを上書きします。
[保存] をクリックします。
Cloud Edge Cloud Console
IPSec ステータス
目的: リアルタイムの IPsec 接続ステータスを表示します。
場所: ゲートウェイ > サイト間 VPN > ステータス
手順
1.
IPSec ステータスを表示します。
IPsec のトラブルシューティング:
IPsec のトラブルシューティングログを使用して、IPSec VPN トンネルでの処
理を確認します。
トラブルシューティングログを確認する
目的: IPsec のトラブルシューティングログを使用して、IPSec VPN トンネルで
の処理を確認します。
場所: ゲートウェイ > サイト間 VPN > トラブルシューティング
手順
1.
トラブルシューティングログを確認します。
例:
•
111 ページの IPsec のトラブルシューティング: 支社の設定例
•
114 ページの IPsec のトラブルシューティング: NAT デバイスの背後
の設定
IPsec のトラブルシューティング: 支社の設定例
最初の例では、2 つの支社が本社に接続されています。
111
Cloud Edge 3.0 配置ガイド
本社:
パブリック IP 1.1.1.1、インタフェース eth0。ローカルネットワー
クは 10.0.0.0/8
支社 1:
パブリック IP 2.2.2.1、インタフェース eth0。ローカルネットワー
クは 192.168.10.0/8
支社 2:
パブリック IP 3.3.3.1、インタフェース eth0。ローカルネットワー
クは 192.168.20.0/8
図 5-1. Cloud Edge による IPSec VPN 経由での支社間接続
112
Cloud Edge Cloud Console
表 5-1. VPN 接続の設定
場所
本社
設定
名前: HQ
有効: はい
ゲートウェイの種類: 応答
インタフェース名: Eth0
ポリシー名: default
認証の種類: 事前共有鍵
鍵: ******
ローカルネットワーク: 10.0.0.0/24
リモートネットワーク: 192.168.10.0/24 および
192.168.20.0/24
支社 1
名前: toHQ1
有効: はい
ゲートウェイの種類: 開始
ゲートウェイ: 1.1.1.1
インタフェース名: Eth0
ポリシー名: default
認証の種類: 事前共有鍵
鍵: ******
ローカルネットワーク: 192.168.10.0/24 リモートネットワー
ク: 10.0.0.0/24
113
Cloud Edge 3.0 配置ガイド
場所
支社 2
設定
名前: toHQ1
有効: はい
ゲートウェイの種類: 開始
ゲートウェイ: 1.1.1.1
インタフェース名: Eth0
ポリシー名: default
認証の種類: 事前共有鍵
鍵: ******
ローカルネットワーク: 192.168.10.0/24 リモートネットワー
ク: 10.0.0.0/24
IPsec のトラブルシューティング: NAT デバイスの背後の設定
2 番目の例では、Cloud Edge は NAT デバイスの背後にあります。
NAT-A:
パブリック IP 202.101.1.1、NAT は 192.168.1.2 を 202.101.1.3 に
変換
アプライアンス-A:
インタフェース eth0 上の内部 IP 192.168.1.2、ローカルネット
ワークは 172.16.1.0/24
NAT-B:
パブリック IP 202.101.2.1、NAT は 202.101.2.3 を 192.168.2.2 に
変換
アプライアンス-B:
インタフェース eth0 上の内部 IP 192.168.2.2、ローカルネット
ワークは 172.16.2.0/24
図 5-2. NAT デバイスの背後の Cloud Edge VPN
114
Cloud Edge Cloud Console
表 5-2. VPN 接続の設定
場所
アプライアンス-A:
設定
名前: toB
有効: はい
ゲートウェイの種類: 開始
ゲートウェイ: 202.101.2.3
インタフェース名: Eth0
ポリシー名: default
認証の種類: 事前共有鍵
鍵: ******
ローカルネットワーク: 172.16.1.0/24
リモートネットワーク: 172.16.2.0/24 VPN ID: 192.168.1.2
アプライアンス-B
名前: toA
有効: はい
ゲートウェイの種類: 応答
インタフェース名: Eth0
ポリシー名: default
認証の種類: 事前共有鍵
鍵: ******
ローカルネットワーク: 172.16.1.0/24
リモートネットワーク: 172.16.2.0/24
エンドユーザ管理
Cloud Edge は、ローカル LDAP サーバと連携してユーザ情報を同期します。
Cloud Edge は、承認されているユーザのリスト (ユーザグループ) を定義する
ことで、ネットワークリソースへのアクセスを制御します。ネットワークや
VPN トンネルといった特定のリソースを使用するには、ユーザは次の条件を
満たす必要があります。
115
Cloud Edge 3.0 配置ガイド
•
アクセスを許可されているいずれかのユーザグループに所属しているこ
と
•
ユーザ名およびパスワードを入力して本人であることを証明できること
LDAP ユーザの識別
HTTP ウイルス検索、URL フィルタ、およびアプリケーション制御ポリシー
の範囲を定義するには、Cloud Edge によるクライアントの識別方法を設定しま
す。ユーザ識別方法を選択することで、ログファイルとレポート内の影響を
受けたシステムに対するセキュリティイベントの追跡方法も決まります。
Cloud Edge は、IP アドレスでクライアントを識別して適切なポリシーを適用
します。
注意
Cloud Console で LDAP を設定した後は、On-Premises Console に LDAP 設定は表示
されなくなります。
LDAP との統合
Cloud Edge では、LDAP (Lightweight Directory Access Protocol) サーバとして
Microsoft Active Directory と OpenLDAP をサポートします。LDAP サーバを使
用すると、ユーザ固有またはグループ固有のポリシーの作成が便利になりま
す。イベントログ、レポート、および通知は、ユーザの認識に LDAP の階層
を使用します。
LDAP 認証
LDAP 設定を使用して、Cloud Edge と統合する LDAP サーバを指定します。
Cloud Edge では、指定された LDAP サーバを使用して以下を実行します。
116
•
キャプティブポータルで識別されるユーザの認証
•
ドメインコントローラエージェントを使用した DC イベントログのクエ
リ
•
管理者アカウントに対する WMI (Windows Management Instrumentation) ク
ライアントクエリの使用
Cloud Edge Cloud Console
•
ユーザ/グループポリシーに対するポリシー設定とポリシーマッチング
の使用
LDAP に対するユーザの設定を簡素化するため、Cloud Edge では LDAP の基本
認証と詳細認証の両方を使用できます。
一般設定
エンドユーザの認証用に次のグローバル設定を定義します。
•
ローカルユーザアカウントまたは LDAP による認証。
•
Cloud Edge では、LDAP 認証で 2 種類のキャッシュ有効期間 (TTL) オプ
ションがサポートされます。
•
固定 TTL (最初の検出) - ユーザが最後に認証された時間がキャッ
シュされます。初期設定: 2 時間
•
前回アクティブになった時点からの TTL (最後の検出) - ユーザが
Cloud Edge と最後に通信した時間がキャッシュされます。初期設定:
2 時間
一般設定を行う
目的: 一般設定で Common LDAP のグローバル設定を行います。
場所: ゲートウェイ > エンドユーザ管理 > 一般設定
手順
1.
[ユーザの種類] で、次のいずれかのオプションを選択します。
オプション
ホスト対象の
ユーザ
説明
Cloud Edge で設定した資格情報を使用してログオンします。
注意
VPN ユーザを自動で認証する場合は [ホスト対象のユーザ] を選択
します。
117
Cloud Edge 3.0 配置ガイド
オプション
LDAP
2.
説明
LDAP 認証を使用してログオンします。詳細については、
「116 ペー
ジの LDAP ユーザの識別」を参照してください。
3.
[認証キャッシュ] で、次のいずれかを選択します。
•
固定 TTL (時間)
•
前回アクティブになった時点からの TTL (時間)
[保存] をクリックします。
LDAP 設定を行う
目的: ユーザ認証用の LDAP 設定を行います。
場所: ゲートウェイ > エンドユーザ管理 > LDAP 設定
手順
1.
次のオプションのいずれかを選択します。
オプショ
ン
説明
基本
[ドメイン名]、[ユーザ名]、および [パスワード] を指定します。詳細に
ついては、「118 ページの LDAP の基本認証」を参照してください。
詳細
認証サーバを指定し、LDAP サーバを追加して、認証方法を選択しま
す。詳細については、「119 ページの LDAP の詳細認証」を参照してく
ださい。
2.
[LDAP サーバ接続のテスト] をクリックします。
3.
[保存] をクリックします。
LDAP の基本認証
Cloud Edge では、最も普及している LDAP サービスである Microsoft Active
Directory (AD) に対して LDAP の簡易設定を実行できます。Active Directory を
118
Cloud Edge Cloud Console
使用する場合は、ドメイン名、ユーザ名、およびパスワードの基本情報を Web
コンソールに入力してユーザの識別方法を設定します。
この情報をもとに、Cloud Edge は Active Directory の自動検出ツールを使用して
次の必要な情報を取得します。
•
LDAP サーバのアドレス
•
基本ドメイン名
•
認証情報 (Kerberos のレルム/ドメイン/KDC)
この情報は、LDAP の詳細認証の各フィールドに入力されます。管理者は、自
動検出の結果が正しくない、または自動検出が機能していないと判断した場
合、詳細モードに切り替えて設定を変更できます。
LDAP サーバのアドレスについては、自動検出ツールがドメインのすべてのド
メインコントローラを判別し、Cloud Edge はその中から最も高速なサーバを 2
台選択して使用します。
LDAP の詳細認証
LDAP に精通しているユーザは、Cloud Edge で詳細認証モードを設定できま
す。
Cloud Edge では、次の種類の LDAP サーバがサポートされます。
•
Microsoft Active Directory
•
OpenLDAP
Cloud Edge では、これらのサーバ間の「フェイルオーバー」関係のみがサポー
トされます。プライマリサーバの認証に失敗すると、Cloud Edge はセカンダリ
サーバの認証を試みます。
注意
Cloud Edge では、同一ドメイン内の複数の LDAP サーバ間のフェイルオーバーの
みがサポートされます。異なるドメインの LDAP サーバ間でのフェイルオー
バーはサポートされません。
119
Cloud Edge 3.0 配置ガイド
Cloud Edge では、Microsoft Active Directory と OpenLDAP の両方で、次の LDAP
認証方法がサポートされます。
•
簡易
•
詳細 (Kerberos)
設定済みの LDAP サーバの認証機能を確認したり結果のレポートを作成する
には、基本モードと詳細モードの両方で、[LDAP サーバ接続のテスト] ボタン
をクリックします。
ユーザアカウントを作成する
Cloud Edge Cloud Console のユーザアカウントでは、同じ企業に属する登録済
みのすべてのゲートウェイにアクセスできます。
Cloud Edge Cloud Console には、2 種類のユーザアカウントがあります。
•
管理者
•
読み取り専用ユーザ
手順
1.
管理 > ユーザとアカウント > アカウント管理 に移動します。
2.
[追加] をクリックするか、変更するアカウントの名前をクリックします。
[アカウントの追加/編集] 画面が表示されます。
3.
必要な設定を行います。
オプショ
ン
120
説明
名前
ユーザの名前を入力します。この名前は、ユーザが Cloud Edge Cloud
Console にログインしているときに画面右上に表示されます。
ユーザ名
ユーザのメールアドレスを入力します。ユーザがログオンするときに
入力するメールアドレスです。
Cloud Edge Cloud Console
オプショ
ン
説明
注意
ユーザアカウントの作成後にユーザ名を変更することはできません。
パスワー
ド
ユーザのパスワードを入力します。
パスワー
ドの確認
ユーザのパスワードをもう一度入力します。
読み取り
専用
このチェックボックスは、ユーザの権限を制限する場合にオンにしま
す。このチェックボックスをオフにすると管理者ユーザになります。
パスワードは、数字、英字、または特殊文字を組み合わせて 6 文字以
上で指定する必要があります。
読み取り専用ユーザが実行できる操作は、以下に限定されます。
4.
•
[ゲートウェイ]、[ポリシー]、[分析とレポート]、および [管理] の各
タブでオブジェクトを表示する
•
ダッシュボードでタブやウィジェットを表示および変更する
•
[ユーザプロファイルの変更] 画面を使用する
•
[レポート] 画面の [今すぐ実行] ボタンをクリックする
[保存] をクリックします。
ユーザアカウントを同期する
ユーザおよびグループを手動で同期する手順を次に示します。同期された
ユーザおよびグループの情報に基づいて、ポリシーを設定したりレポートを
生成したりできます。Cloud Edge Cloud Console では、登録されているすべて
のゲートウェイのユーザおよびグループが 8 時間ごとに自動的に同期されま
す。
手順
1.
管理 > ユーザ認証 > ユーザ ID の同期 に移動します。
121
Cloud Edge 3.0 配置ガイド
2.
[すべてのゲートウェイを同期] をクリックします。
登録されているすべてのゲートウェイでユーザおよびグループの情報が
同期されます。
アップデート
最新のリスクに対する対策を最新に保つために、アップデート可能なパター
ンファイルコンポーネントがいくつかあります。これらのファイルは、既知
のセキュリティ上の脅威のバイナリ「シグネチャ」やパターンを格納してい
ます。Cloud Edge ではそれらを使用して、インターネットゲートウェイを通過
する既知の脅威を検出します。一方、プロトコルや IPS のパターンファイルは
それほど頻繁にはアップデートされません。
Cloud Edge ではアップデート機能を使用しています。これは、ウイルスパター
ンファイルや検索エンジンのほか、スパイウェアやゲートウェイのパターン
ファイルに対する、手動またはバックグラウンドでのアップデートが可能な
トレンドマイクロのユーティリティです。アップデートは、多くのトレンド
マイクロ製品に共通するサービスです。アップデート機能により、トレンド
マイクロのアップデートサーバに接続し、最新のパターンファイルおよびエ
ンジンをダウンロードします。アップデートの実行後、エンドポイントを再
起動する必要はありません。アップデートは、予約しておいた間隔で自動で
行うことも、必要に応じて手動で行うことも可能です。
アップデート可能なコンポーネント
最新のリスクに対する対策を最新に保つために、アップデート可能なパター
ンファイルコンポーネントがいくつかあります。
これらのファイルは、既知のセキュリティ上の脅威のバイナリ「シグネチャ」
やパターンを格納しています。Cloud Edge ではそれらを使用して、インター
ネットゲートウェイを通過する既知の脅威を検出します。
122
Cloud Edge Cloud Console
スパムメール対策のパターンファイルおよびエンジン
Cloud Edge では、スパムメール判定ルールを使用することで、最新のスパム
メールを検出することができます。スパムメール対策エンジンは、メッセー
ジおよび添付ファイルに含まれる情報を元にスパムを検出します。
C&C コンタクト情報パターンファイル
Cloud Edge では、コマンド&コントロール (C&C) 情報パターンファイルを使用
することで、ボットネットから C&C サーバへの接続を検出することができま
す。これにより、APT (標的型攻撃) による被害を軽減します。
IntelliTrap パターンファイルおよび除外パターンファイル
IntelliTrap 検出では、トレンドマイクロのウイルス検索エンジンの検索オプ
ションに、IntelliTrap パターンファイル (不正な可能性のあるファイル) と
IntelliTrap 除外パターンファイル (許可リスト) を組み合わせて使用します。
Cloud Edge は、IntelliTrap オプションとパターンファイルを使用して、不正な
圧縮ファイル (圧縮ファイル内のボットなど) を検出します。ウイルス作成者
は、複数のファイル圧縮スキームを使用して、ウイルスフィルタを回避しよ
うとします。IntelliTrap は圧縮ファイルをヒューリスティックに評価すること
で、ボットやその他の不正な圧縮ファイルによってネットワークにもたらさ
れる潜在リスクを削減します。
IPS のパターンファイルと検索エンジン
Cloud Edge では、IPS のパターンファイルと検索エンジンを使用して IPS 脆弱
性をブロックします。ネットワークトラフィックが IPS パターンにマッチす
ると、Cloud Edge は設定に応じた処理 (ブロックまたは監視) を行います。
スパイウェアパターンファイル
機密情報を不正に収集する新しいプログラム (スパイウェア) が発見されるた
びに、トレンドマイクロはその明らかな特徴 (シグネチャ) を収集してスパイ
ウェアパターンファイルに追加します。
123
Cloud Edge 3.0 配置ガイド
ウイルス検索エンジンおよびパターンファイル
ウイルス検索エンジンは、各ファイルのバイナリパターンを分析し、パター
ンファイル内のバイナリ情報と照合します。パターンが一致した場合、その
ファイルは不正なファイルと判定されます。
アップデートスケジュールを設定する
予約アップデート以外に、手動でコンポーネントおよびファームウェアの
アップデートを行うことができます。トレンドマイクロでは、新たに確認さ
れた脅威に対応して、新しいバージョンのウイルスパターンファイルとスパ
イウェアパターンファイルを頻繁にリリースします。
手順
1.
[管理] > [予約アップデート] の順に選択します。
2.
[オン] をクリックして予約アップデートを有効にします。
•
コンポーネントのアップデート
•
ファームウェアのアップデート
注意
アップデート間隔を選択するときに指定する予約アップデートの実行時刻
は、Cloud Edge アプライアンスを使用している現地の時刻です。
3.
アップデートを実行する頻度を選択します。
4.
[保存] をクリックします。
5.
アップデートが有効になるまで数分待ちます。
6.
[すべて配信] をクリックして変更を有効にします。
手動アップデート
予約アップデート以外に、手動でコンポーネントおよびファームウェアの
アップデートを行うことができます。トレンドマイクロでは、新たに確認さ
124
Cloud Edge Cloud Console
れた脅威に対応して、新しいバージョンのウイルスパターンファイルとスパ
イウェアパターンファイルを頻繁にリリースします。
手順
1.
[ゲートウェイ] に移動します。
2.
ゲートウェイを右クリックし、
[アップデート] を選択します。
[手動アップデート] 画面が表示されます。
3.
アップデートするコンポーネントまたはファームウェアを選択します。
4.
[アップデート] をクリックします。
125
第6章
Cloud Edge On-Premises
本章では、ユーザネットワークに Cloud Edge アプライアンスを配置する方法
と基本的な管理操作について説明します。
127
Cloud Edge 3.0 配置ガイド
配信
パッケージ内容
各 Cloud Edge アプライアンスパッケージに含まれる内容は次のとおりです。
パッケージを開封したらその中身を確認してください。
表 6-1. パッケージの内容
写真
項目
アプライアンス (1)
管理
管
理
電源コード (1)
AC アダプタ (1)
128
ブ
ライ
クド
ィス
ドデ パス
ー
ハ バイ 電源
Cloud Edge On-Premises
項目
写真
ゴム足 (4)
シリアルケーブル (1)
Ethernet ケーブル (2)
129
Cloud Edge 3.0 配置ガイド
項目
写真
説明書 (2)
配信モードスイッチ
Cloud Edge アプライアンスには、ルーティングモードとブリッジモードの 2 つ
の配信モードがあります。これら 2 つのモードによって、Cloud Edge アプライ
アンスでのネットワークパケットのルーティング方法と、インタフェースに
よる転送方法が決まります。
次の図は、アプライアンスの背面パネルにある配信モードの切り替えスイッ
チを示しています。
ブリッジモードは工場出荷時の初期設定です。ルーティングモードで配置す
るには、スイッチを [ブリッジ] から [ルーティング] に切り替えて、アプライ
アンスを手動で再起動します。
130
Cloud Edge On-Premises
注意
どちらの配信モードもすべてのセキュリティ機能をサポートします。
ハードウェアをセットアップする
Cloud Edge 配信モード (ブリッジモードまたはルーティングモード) を設定し
ます。
注意
背面パネルのスイッチを異なるモードに変更し、電源を投入すると既存の設定が
消去されます。配信モードが不明な場合はマネージドサービスプロバイダにお
問い合わせ下さい。
手順
1.
背面パネルにあるスイッチで配信モードを選択します。
2.
Cloud Edge アプライアンスを電源に接続します。
3.
Cloud Edge アプライアンスの電源を投入します。
アプライアンスの設定: 管理 IP アドレス
手順
1.
付属の Ethernet ケーブルを使用して、コンピュータを Cloud Edge アプラ
イアンスの管理ポートに接続します。
131
Cloud Edge 3.0 配置ガイド
2.
IP アドレスを自動的に取得するようにコンピュータを設定します。
3.
サポートされている Web ブラウザを開きます。
4.
次の URL にアクセスします。
https://192.168.252.1:8443
5.
ログオン資格情報を指定します。
管理者アカウントの初期設定の資格情報は次のとおりです。
ユーザ名: admin
パスワード: adminCloudEdge
6.
<ENTER> キーを押すか、[ログオン] をクリックします。
Cloud Edge On-Premises Console ダッシュボードが表示されます。
アプライアンスの設定: On-Premises Console
手順
1.
サポートされている Web ブラウザを開きます。
2.
次の URL にアクセスします。
https://<management_ip_address>:8443/
注意
Web コンソールの初期設定の URL は https://192.168.252.1:8443/で
す。
132
Cloud Edge On-Premises
3.
ログオン資格情報を指定します。
管理者アカウントの初期設定の資格情報は次のとおりです。
ユーザ名: admin
パスワード: adminCloudEdge
4.
<ENTER> キーを押すか、[ログオン] をクリックします。
Cloud Edge On-Premises Console ダッシュボードが表示されます。
ネットワーク設定を行う
Cloud Edge の設定を始める前に、ご使用のネットワークで使用できる配信モー
ドを確認します。
手順
•
IP アドレスおよび DHCP の設定を DHCP サーバから取得する場合は、他
のネットワーク設定を行う必要はありません。142 ページのネットワー
クに接続するを参照してください。
•
静的 IP アドレスが必要な場合は、動作モードに基づいてネットワーク設
定を指定します。
配信モード
このセクションでは、Cloud Edge アプライアンスの配信モードの概要と、各
モード用に Cloud Edge を設定する方法について説明します。
133
Cloud Edge 3.0 配置ガイド
表 6-2. 配信モード
配信モード
目的
ブリッジ
Cloud Edge ユニットは、ネットワークに認識されません。そのインタ
フェースはすべて同じサブネット上にあります。設定が必要なのは管
理 IP アドレスだけです。これにより設定変更ができるようになりま
す。通常、ブリッジモードを使用するのは、既存のファイアウォール
またはルータの背後にあるプライベートネットワーク上です。
ルーティング
Cloud Edge ユニットは、ネットワークに認識されます。そのインタ
フェースはすべて別々のサブネット上にあります。ネットワークに接
続されているインタフェースはそれぞれ、そのネットワークで有効な
IP アドレスを使用して設定する必要があります。Cloud Edge ユニッ
トをプライベートネットワークと公衆ネットワークの間のゲートウェ
イとして配置する場合は、通常はルーティングモードを使用します。
注意
どちらの配信モードもすべてのセキュリティ機能をサポートします。
ブリッジモードの要件
DHCP を使用しているネットワークであれば、ネットワーク設定に関して特
別な要件はありません。詳細については、142 ページのネットワークに接続す
るを参照してください。このセクションでは、DHCP を使用していない環境
用に Cloud Edge をブリッジモードで設定する方法について説明します。
ブリッジモードの概要
ブリッジモードでは、Cloud Edge はネットワーク上で認識されません。ネット
ワークデバイス (スイッチ、ルータ、またはファイアウォール) 間のレイヤ 2
ブリッジとして機能し、両方向のネットワークトラフィックを透過的に検索
します。ブリッジモードは Cloud Edge を既存のネットワークトポロジに配置
する最も簡単な方法で、クライアント、ルータ、またはスイッチの設定を変
更する必要もありません。Cloud Edge は、「Bump In The Wire (BITW)」として
134
Cloud Edge On-Premises
動作し、不正プログラムを検索します。135 ページの図 6-1：ブリッジモード
の Cloud Edge は、ブリッジモードの Cloud Edge を示しています。
図 6-1. ブリッジモードの Cloud Edge
ネットワークブリッジの場合と同様に、Cloud Edge のインタフェースはすべて
同じサブネット上に存在する必要があります。ブリッジモードを設定するに
は、内部用と外部用の 2 つのネットワークカードが必要です。ブリッジに IP
アドレスを設定して、Cloud Edge の予約パターンアップデートを管理したり、
135
Cloud Edge 3.0 配置ガイド
Trend Micro Smart Protection Network のリアルタイムセキュリティ情報機能を
クラウドで活用したりすることもできます。
ブリッジモードは、すべての検索機能を透過的に実行できるよう、既存のファ
イアウォールまたはルータの背後にあるプライベートネットワークで Cloud
Edge が動作している場合に設定します。
ブリッジを設定する
概要については、134 ページの「ブリッジモードの概要」を参照してくださ
い。
手順
1.
[ネットワーク] > [ブリッジ] に移動します。
2.
ブリッジされた初期設定のインタフェースの名前「br0」をクリックしま
す。
[ブリッジの追加/編集] 画面が表示されます。
3.
[インタフェース 1] および [インタフェース 2] の各リストについては、初
期設定のままにします。
4.
[ブリッジのバインド IP の設定] で、ネットワーク設定を指定します。
(IPv4 と IPv6 は、どちらか片方だけの設定でも問題ありません。)
オプション
説明
モード
[静的] を選択します。
IPv4 アドレス
IPv4 アドレスを指定します。
例: 123.123.123.123
IPv4 ネットマス
ク
IPv4 サブネットマスクを指定します。
IPv4 デフォルト
ゲートウェイ
IPv4 デフォルトゲートウェイを指定します。インターネットに
接続するインタフェースにのみ、この設定を適用します。
例: 255.255.254.0
例: 123.123.123.123
136
Cloud Edge On-Premises
オプション
説明
IPv6 アドレス/プ
レフィックス
IPv6 設定を指定します。
IPv6 デフォルト
ゲートウェイ
IPv6 デフォルトゲートウェイを指定します。インターネットに
接続するインタフェースにのみ、この設定を適用します。
例:2001:db8:10ff::ae:44f2/8
例:2001:db8:10ff::ae:44f2/64
例: 2001:db8:10ff::ae:44f2/64
管理アクセス
許可するサービスおよびトラフィックを選択します (Web コン
ソール、ping、SSH、SNMP)。Cloud Edge アプライアンスの背
後にあるデバイスから送信されたサービスです。
5.
[詳細設定] で詳細を設定します。
6.
[適用] をクリックします。
関連情報
➥
「ブリッジモードの概要」
DNS の設定を行う
手順
1.
[ネットワーク] > [DNS] に移動します。
2.
[IPv4] タブと [IPv6] タブで、DNS サーバの IP アドレスを設定します。
注意
Cloud Edge により、DNS サーバの IP アドレスがインターネットサービスプ
ロバイダから動的に取得される場合、[DNS 情報を継承] には DNS 情報が読
み取り専用で表示されます。
3.
[適用] をクリックします。
137
Cloud Edge 3.0 配置ガイド
ルーティングモードの要件
このセクションでは、PPPoE または静的ルートを使用している環境用に Cloud
Edge をルーティングモードで設定する方法について説明します。
ルーティングモードの概要
ルーティングモードの Cloud Edge はネットワーク上で認識され、トラフィッ
クストリームの検索機能を持つレイヤ 3 ルーティングデバイスとして機能し
ます。ルーティングモードで配置するには、内部用と外部用の 2 つのネット
ワークインタフェースを設定する必要があります。インタフェースはすべて
別々のサブネット上にあるため、インターネットに対して単一の IP アドレス
を使用できます。Cloud Edge は、相手側のネットワークとの間でパケットを送
受信する前にネットワークアドレスを変換し、ルータとして機能します。
Cloud Edge には、PPPoE (Point-to-point Protocol over Ethernet) 機能も備わってお
り、ADSL (非対称型デジタル加入者回線) を使用した ISP へのダイヤルをサ
ポートしています。標準的な配置については、次の図を参照してください。
138
Cloud Edge On-Premises
139 ページの図 6-2：ルーティングモードの Cloud Edge は、ルーティングモー
ドの Cloud Edge を示しています。
図 6-2. ルーティングモードの Cloud Edge
ルーティングモードは、Cloud Edge をプライベートネットワークとパブリック
ネットワークの間のゲートウェイとして使用する場合に設定します。この設
定では、NAT モードのファイアウォールポリシーを作成して、内部のプライ
139
Cloud Edge 3.0 配置ガイド
ベートネットワークと外部のネットワーク（通常はインターネット）との間
のトラフィックフローを制御します。
注意
RFC 1918 以降、NAT は IP マスカレードと同義で、プライベート IP アドレス空
間全体が 1 つのパブリック IP アドレスに変換されます
静的 IP アドレスを使用して接続する
Cloud Edge では、L2 および L3 インタフェースを自動検出します。
手順
1.
[ネットワーク] > [インタフェース] に移動し、すべての Cloud Edge ネット
ワークインタフェースを表示します。
2.
インタフェースの名前をクリックします。
3.
インタフェース設定を静的 IP アドレス用に設定します。(IPv4 と IPv6
は、どちらか片方だけの設定でも問題ありません。)
オプション
説明
種類
[L3] を選択します。
モード
[静的] を選択します。
IPv4 アドレス
IPv4 アドレスを指定します。
例: 123.123.123.123
IPv4 ネットマス
ク
IPv4 サブネットマスクを指定します。
IPv4 デフォルト
ゲートウェイ
IPv4 デフォルトゲートウェイを指定します。インターネットに
接続するインタフェースにのみ、この設定を適用します。
例: 255.255.254.0
例: 123.123.123.123
IPv6 アドレス/プ
レフィックス
140
IPv6 設定を指定します。
Cloud Edge On-Premises
オプション
説明
例:2001:db8:10ff::ae:44f2/8
IPv6 デフォルト
ゲートウェイ
IPv6 デフォルトゲートウェイを指定します。インターネットに
接続するインタフェースにのみ、この設定を適用します。
例:2001:db8:10ff::ae:44f2/64
例: 2001:db8:10ff::ae:44f2/64
管理アクセス
許可するサービスおよびトラフィックを選択します (Web コン
ソール、ping、SSH、SNMP)。Cloud Edge アプライアンスの背
後にあるデバイスから送信されたサービスです。
4.
[帯域幅設定] で、アップストリームおよびダウンストリームに対して許容
される最大帯域幅を指定します。
5.
[適用] をクリックします。
DNS の設定を行う
手順
1.
[ネットワーク] > [DNS] に移動します。
2.
[IPv4] タブと [IPv6] タブで、DNS サーバの IP アドレスを設定します。
注意
Cloud Edge により、DNS サーバの IP アドレスがインターネットサービスプ
ロバイダから動的に取得される場合、[DNS 情報を継承] には DNS 情報が読
み取り専用で表示されます。
3.
[適用] をクリックします。
PPPoE を使用して接続する
インタフェースをインターネットサービスプロバイダ (ISP) に接続するには、
PPPoE を設定します。
141
Cloud Edge 3.0 配置ガイド
手順
1.
[ネットワーク] > [インタフェース] に移動します。
2.
ISP に接続するインタフェース名をクリックします。
3.
PPPoE の設定を行います。
4.
•
種類: [L3] を選択します。
•
モード: [PPPoE] を選択します。
•
ユーザ名: ISP から提供されたユーザ名を指定します。
•
パスワード: ISP から提供されたパスワードを指定します。
[適用] をクリックします。
ネットワークに接続する
手順
1.
Cloud Edge アプライアンスの WAN ポートを、インターネットなどの広域
ネットワークに接続します。
2.
Cloud Edge アプライアンスの LAN1 ポートをローカルエリアネットワー
クに接続します。
ゲートウェイを登録する
手順
142
1.
Cloud Edge Cloud Console で、[ゲートウェイ] に移動します。
2.
[新しいゲートウェイの登録] をクリックします。
3.
ゲートウェイの設定を指定します。
Cloud Edge On-Premises
オプション
4.
説明
表示名
Cloud Console に表示される新しいゲートウェイの名前を指定し
ます。
モデル
Cloud Edge アプライアンスハードウェアのモデルを指定します。
シリアル番号
Cloud Edge アプライアンスハードウェアのシリアル番号を指定し
ます。シリアル番号はハードウェアアプライアンスの本体または
パッケージに記載されている 12 桁の英数字 (例:
4C80-9315-3A0B) です。
[保存] をクリックします。
登録が完了するまで、数分かかることがあります。
登録が完了すると、Cloud Edge Cloud Console からゲートウェイにポリ
シーが配信されます。ダッシュボードのウィジェット、ログ分析、およ
びレポートで、Cloud Edge アプライアンスゲートウェイから送信されるリ
アルタイムのトラフィックに基づくログ統計を確認できます。
5.
登録が正しく完了したことを確認します。
66 ページの登録を確認するを参照してください。
登録を確認する
ゲートウェイの登録後は、登録が正常に完了したことを確認して下さい。
Cloud Edge Cloud Console へのゲートウェイの登録が正しく完了したことを
Cloud Edge On-Premises Console で確認する手順を次に示します。
手順
1.
Cloud Edge On-Premises Console にログオンします。
2.
次の手順を実行します。
143
Cloud Edge 3.0 配置ガイド
•
[システム情報] ダッシュボードウィジェットを表示します。
•
[システム情報] ウィジェット内の [詳細を参照] リンクをクリック、ま
たは [管理] > [デバイス管理] > [クラウド管理] に移動します。
•
144 ページの接続を確認するに従って接続を確認します。
接続を確認する
Cloud Edge アプライアンスが Cloud Edge Cloud Console に登録され、ポリシー
に基づいてトラフィックが正しくルーティングされることを確認するため
に、接続を確認して配置をテストします。
手順
1.
次の表を参照して LED のステータスを確認します。
LED
144
ステータス
消灯
Cloud Edge アプライアンスでインターネット接続が確立
されていません。
緑色の点灯
Cloud Edge アプライアンスが登録されており、Cloud
Edge Cloud Console と通信している状態です。
Cloud Edge On-Premises
LED
緑色の点滅
2.
ステータス
Cloud Edge アプライアンスはインターネットに接続され
ていますが、Cloud Edge Cloud Console に登録されてい
ないか、Cloud Console と通信できない状態です。
Cloud Edge の登録に問題がなければ、内部エンドポイントからインター
ネットへのアクセスを試行します。
インターネットにアクセスできれば、Cloud Edge は正常に機能していま
す。
注意
接続を確認できなかった場合は、マネージドサービスプロバイダにお問い
合わせください。
管理
トラフィックの処理および識別
このセクションでは、ネットワークトラフィックを処理および識別するため
のネットワーク設定の設定方法について説明します。
インタフェース
[インタフェース] ページで、ゲートウェイアプライアンスネットワークインタ
フェース上の物理 L2 ポートおよび L3 ポートの設定を確認または変更しま
す。
自動検出された Cloud Edge ネットワークインタフェースは、次の場所で確認
および編集できます。
•
インタフェース eth0、eth1: On-Premises Console で [ネットワーク] > [イン
タフェース] に移動します。
145
Cloud Edge 3.0 配置ガイド
•
インタフェース eth2、eth3、eth4: Cloud Edge Cloud Console で [ゲートウェ
イ] > <選択したゲートウェイ> > [インタフェース] に移動します。
L3 ポートには、DHCP (Dynamic Host Configuration Protocol) 設定または IP アド
レス/プレフィックスによる静的ルートを設定できます。また、L3 ポートには
PPPoE (Point-to-point Protocol over Ethernet) も設定可能です。On-Premises
Console を使用して、eth0 または eth1 を設定します。PPPoE は eth2、eth3、ま
たは eth4 インタフェース上には設定できません。
ネットワークインタフェースを編集する
Cloud Edge では、L2 および L3 インタフェースを自動検出します。
手順
1.
[ネットワーク] > [インタフェース] に移動し、すべての Cloud Edge ネット
ワークインタフェースを表示します。
2.
インタフェースの名前をクリックします。
3.
インタフェースモードに基づいてインタフェース設定を行います。
•
静的アドレスの場合は、次のパラメータを設定します。
オプション
説明
種類
[L3] を選択します。
モード
[静的] を選択します。
IPv4 アドレス
IPv4 アドレスを指定します。
例: 123.123.123.123
IPv4 ネットマス
ク
IPv4 サブネットマスクを指定します。
IPv4 デフォルト
ゲートウェイ
IPv4 デフォルトゲートウェイを指定します。インターネットに
接続するインタフェースにのみ、この設定を適用します。
例: 255.255.254.0
例: 123.123.123.123
146
Cloud Edge On-Premises
オプション
説明
IPv6 アドレス/プ
レフィックス
IPv6 設定を指定します。
IPv6 デフォルト
ゲートウェイ
IPv6 デフォルトゲートウェイを指定します。インターネットに
接続するインタフェースにのみ、この設定を適用します。
例:2001:db8:10ff::ae:44f2/8
例:2001:db8:10ff::ae:44f2/64
例: 2001:db8:10ff::ae:44f2/64
管理アクセス
•
許可するサービスおよびトラフィックを選択します (Web コン
ソール、ping、SSH、SNMP)。Cloud Edge アプライアンスの背
後にあるデバイスから送信されたサービスです。
DHCP の場合は、次のパラメータを設定します。
オプション
説明
種類
[L3] を選択します。
モード
[DHCP] を選択します。
管理アクセス 許可するサービスおよびトラフィックを選択します (Web コンソー
ル、ping、SSH、SNMP)。Cloud Edge アプライアンスの背後にあ
るデバイスから送信されたサービスです。
•
PPPoE の場合は、次のパラメータを設定します。
オプション
説明
種類
[L3] を選択します。
モード
[PPPoE] を選択します。
ユーザ名
インターネットサービスプロバイダから提供されたユーザ名を
指定します。
パスワード
インターネットサービスプロバイダから提供されたパスワード
を指定します。
147
Cloud Edge 3.0 配置ガイド
オプション
説明
管理アクセス
許可するサービスおよびトラフィックを選択します (Web コン
ソール、ping、SSH、SNMP)。Cloud Edge アプライアンスの背
後にあるデバイスから送信されたサービスです。
PPPoE の詳細
設定
オンデマンド、アイドルタイム、および接続タイムアウトの設定
を指定します。
4.
[適用] をクリックします。
5.
[ネットワーク] > [インタフェース] のリストでインタフェースが更新さ
れていることを確認します。
監視ホスト
Cloud Edge は、各出口インタフェースから対応する監視 IP アドレスまたはホ
スト名への ping を実行することで、ネットワークの健全性を確認します。監
視ホストに到達できない場合、インタフェースに関連付けられた静的ルート
とポリシーベースのルートはすべて無効になります。トラフィックが別の
ルートに一致する場合は、他の静的ルートまたはポリシーベースのルートに
ルーティングされます。別のルートに一致しないトラフィックは、デフォル
トゲートウェイ経由でルーティングされるか破棄されます。
•
デフォルトゲートウェイの設定方法については、156 ページの静的ルート
を追加するを参照してください。
•
ポリシーベースのルートの設定方法については、160 ページのポリシー
ベースのルートを追加するを参照してください。
自動フェイルオーバーについては、160 ページの複数の ISP/WAN 環境の自動
フェイルオーバーを参照してください。
インタフェース帯域幅設定
インタフェース帯域幅設定では、ダウンストリームおよびアップストリーム
のトラフィックに対する最大しきい値を設定できます。帯域幅制御ポリシー
は、インタフェース帯域幅のしきい値の範囲内で設定する必要があります。
初期設定では、帯域幅に制限はありません。しきい値はインタフェースごと
に個別に設定できます。
148
Cloud Edge On-Premises
インタフェース帯域幅設定が正しく割り当てられていないと、ネットワーク
に輻輳が生じることがあります。インタフェース帯域幅をそのインタフェー
スに対して許容される最大しきい値に設定したうえで、どのトラフィックを
優先するかを制御する帯域幅制御ポリシーを設定することをお勧めします。
関連情報
➥
「ネットワークインタフェースを編集する」
VLAN について
VLAN (Virtual Local Area Network) とは、エンドポイント、サーバ、およびその
他のネットワークデバイスをグループ化して、その物理的な場所にかかわら
ず、同じ LAN セグメント上に存在するかのようにデバイス間通信を行う技術
のことです。多数のネットワークセグメントに地理的に分散して接続されて
いるエンドポイントやサーバであっても、同じ VLAN に属することができま
す。
VLAN は、デバイスを物理的ではなく論理的に分離します。各 VLAN はブ
ロードキャストドメインとして扱われます。VLAN 1 に属するデバイスは、同
じ VLAN 1 に属する他のデバイスと直接通信することができますが、他の
VLAN に属するデバイスにはルータ経由で通信する必要があります。VLAN
上のデバイス間の通信は、物理的なネットワークとは別のものです。
VLAN では、VLAN に属するデバイスで送受信されるすべてのパケットに
802.1Q VLAN タグを追加することでデバイスを分離します。VLAN タグは、
VLAN 識別子などの情報が含まれた 4 バイトの拡張フレームです。
VLAN サブインタフェースを追加する
重要
各 VLAN サブインタフェースの VLAN ID は、IEEE 802.1Q 準拠のルータによっ
て追加される VLAN ID と一致する必要があります。VLAN ID には 1～4094 の
範囲の任意の番号を指定できます (0 と 4095 は予約されています)。各 L3 VLAN
サブインタフェースは一意の IP アドレスとネットマスクを使用して設定しま
す。
VLAN タグ付きパケットを受信する物理インタフェースに VLAN サブインタ
フェースを追加します。
149
Cloud Edge 3.0 配置ガイド
手順
1.
すべての Cloud Edge ネットワークインタフェースを表示します。
•
Cloud Console:[ゲートウェイ] > (選択したインタフェース) > [インタ
フェース]
•
On-Premises Console:[ネットワーク] > [インタフェース]
2.
[処理] 列にある VLAN 設定追加アイコン ( ) をクリックします。
3.
VLAN の設定を指定します。
オプ
ション
説明
名前
VLAN サブインタフェースの名前です。
種類
親インタフェースの種類に応じて、L2 VLAN または L3 VLAN が自動で
表示されます。
モード
L3 インタフェースの場合、[モード] リストを使用して、サブインタ
フェースで動的アドレスと静的アドレスのどちらを使用するかを設定し
ます。
VLAN ID
この VLAN サブインタフェースで受信するパケットの VLAN ID と一致
する VLAN ID を指定します。既存の VLAN サブインタフェースの
VLAN ID を変更することはできません。VLAN ID には 1～4094 の範囲
の任意の番号を指定できます。この ID は、VLAN サブインタフェースに
接続された IEEE 802.1Q 準拠のルータまたはスイッチによって追加さ
れる VLAN ID と一致する必要があります。
DNS
Cloud Edge のドメインネームサーバ (DNS) の設定は、[ネットワーク] > [DNS]
で確認および編集できます。DHCP または PPPoE を使用してインターネット
にアクセスしている環境では、DNS 設定や初期設定の静的ルートの設定が不
要な場合があります。
150
Cloud Edge On-Premises
DNS ベストプラクティスの提案
Cloud Edge アプライアンスは、トレンドマイクロの提供するクラウドベースの
サービス Smart Protection Network を使用します。Smart Protection Network への
接続には名前解決が必要なため、Cloud Edge デバイスには DNS サーバを設定
する必要があります。最大 3 つの DNS サーバを設定できます。
DNS サーバには、Cloud Edge からのまとまった DNS 要求に対応することが求
められます。通常は、アクセスされる URL ごとに 2 つの DNS 要求が作成さ
れ、Cloud Edge 用のローカルな DNS キャッシュが作成されます。DNS サーバ
が、必要以上の DNS を処理できるだけのリソースとパフォーマンスを備えた
サーバに設置されていることを確認します。
待ち時間を少なくするには、それぞれの DNS サーバが高速なネットワーク
カードを保有し、高速なネットワークスイッチに取り付けられている必要が
あります。
トレンドマイクロは、現地 DNS サーバと、企業ネットワーク外に設置された
ISP 提供の DNS サーバを使用することをお勧めします。通常、IPS DNS サー
バは待ち時間が長く、単一の IP アドレスからの多量の DNS クエリはサポー
トしません。多くの IPS DNS サーバは、1 秒あたりの DNS 要求数を制限する
調整メカニズムを備えているため、Cloud Edge の Web レピュテーションサー
ビス (WRS) のパフォーマンスに影響を与える可能性があります。
ネットワーク応答時間とパフォーマンスを向上させるには、DNS サーバを
Cloud Edge ユニットのできるだけ近くに設置し、デバイス間の不要なネット
ワークホップを削減するようにしてください。
WRS と URL フィルタ要求は、HTTP ポート 80 を介して作成されます。ファイ
アウォール上のこれらのポートでは、Cloud Edge の管理 IP アドレスをブロッ
クしないでください。
DNS の設定を行う
手順
1.
[ネットワーク] > [DNS] に移動します。
2.
[IPv4] タブと [IPv6] タブで、DNS サーバの IP アドレスを設定します。
151
Cloud Edge 3.0 配置ガイド
注意
Cloud Edge により、DNS サーバの IP アドレスがインターネットサービスプ
ロバイダから動的に取得される場合、[DNS 情報を継承] には DNS 情報が読
み取り専用で表示されます。
3.
[適用] をクリックします。
アドレス
アドレスは、内部ネットワークの IP アドレス範囲を指定します。Cloud Edge
の初期設定では、すべての内部 IP アドレス範囲が許可されます。内部ネット
ワークの要件に応じて設定を行います。Cloud Edge では、単一の IP アドレス、
範囲を表す「-」記号、および IP アドレス/ネットマスク (192.168.1.0/24) が
サポートされます。
アドレスとアドレスオブジェクトについて
アドレスオブジェクトは、ポリシーとネットワークの両方の設定に影響しま
す。アドレスオブジェクトは、内部ネットワークで許可される IP アドレス範
囲を指定するオブジェクトです。Cloud Edge の初期設定では、すべての内部
IP アドレス範囲が含まれます。特定の送信元アドレスまたは送信先アドレス
に対するセキュリティポリシーを設定するには、先にネットワーク設定でア
ドレスとアドレス範囲を定義します。
[ネットワーク] > [アドレス] に移動します。
IP アドレスオブジェクトのパラメータ
次の表に、設定可能な IP アドレスオブジェクトのパラメータを示します。IP
アドレスの設定を制御するには、ポリシールールに IP アドレスオブジェクト
を追加します。
152
Cloud Edge On-Premises
表 6-3. アドレスオブジェクトのパラメータ
パラメータ
説明
オブジェクト名
アドレスの内容がわかるように名前を指定します。この名前
は、セキュリティポリシーを定義するときにアドレスのリスト
に表示されます。大文字と小文字が区別され、一意の名前を指
定する必要があります。使用できる文字は、英字、数字、ス
ペース、ハイフン、およびアンダースコアのみです。
プロトコル
IPv4 アドレスと IPv6 アドレスのどちらを使用するかを指定
します。
IP アドレス
IPv4 アドレス:
次のいずれかの形式でアドレスまたはネットワークを指定し
ます。
•
ip_address
•
ip_address/bitmask
注意
bitmask は、アドレスのネットワーク部分に使用さ
れる、意味のある 2 進数の数値です。
•
次のような形式の IP アドレス範囲
192.168.1.1-192.168.1.10
例:
192.168.80.150/32 は 1 つのアドレスを示し、192.168.80.0/24
は 192.168.80.0～192.168.80.255 の範囲のすべてのアドレス
を示します。
IPv6 アドレス
IPv6 アドレスまたは IPv6 アドレスとプレフィックスを指定
します。例:2001:db8:123:1::1 または 2001:db8:123:1::/64
アドレスオブジェクトを追加する
153
Cloud Edge 3.0 配置ガイド
手順
1.
[ネットワーク] > [アドレス] に移動します。
2.
[追加] をクリックします。
3.
IP アドレス、IP アドレスの範囲、または IP アドレスとネットマスクを指
定します。
4.
[適用] をクリックします。
アドレスオブジェクトを設定する
手順
1.
[ネットワーク] > [アドレス] に移動します。
2.
[新規追加] をクリックします。
3.
アドレスオブジェクトの名前を指定します。
4.
リストから該当するプロトコルバージョンを選択します。
5.
IP アドレスまたは CIDR ネットワークを指定します。複数指定する場合
はカンマで区切ります。
例: 192.168.0.1,10.0.0.1-10.0.0.4,10.0.0.8
154
6.
[OK] をクリックします。
7.
[ネットワーク] > [アドレス] のリストに新しいアドレスオブジェクトが
表示されていることを確認します。
Cloud Edge On-Premises
アドレスオブジェクトを表示する
手順
•
[ネットワーク] > [アドレス] に移動します。
アドレスオブジェクトを削除する
手順
1.
[ネットワーク] > [アドレス] に移動します。
2.
削除するオブジェクトの行にあるチェックボックスをオンにします。
3.
[削除] ボタン ( ) をクリックします。
4.
確認ダイアログボックスで [OK] をクリックします。
5.
削除したアドレスオブジェクトが[ネットワーク] > [アドレス] のリスト
に表示されていないことを確認します。
トラフィックのルーティング
Cloud Edge はネットワーク上のセキュリティデバイスとして機能し、パケット
は必ず Cloud Edge を通過する必要があります。Cloud Edge ユニットを適切に
設定するためには、ルーティングの基本概念を理解しておく必要があります。
Cloud Edge では、[ネットワーク] > [ルーティング] から静的ルートやポリシー
ベースのルートを設定できます。
Cloud Edge はルートを選択し、指定されたルールに基づいてルーティングテー
ブルを動的に更新します。ユニットは、一連のルールから、宛先にパケット
を送信するための最適なルート（パス）を決定できます。
155
Cloud Edge 3.0 配置ガイド
静的ルートについて
静的ルートでは、パケットの宛先 IP アドレスに応じてトラフィックを転送し
ます。静的ルートは、Cloud Edge が特定の転送先にパケットを転送するために
必要な情報を提供します。静的ルートを設定するには、Cloud Edge アプライア
ンスが傍受するパケットの宛先 IP アドレスおよびネットマスクを定義し、こ
れらのパケットのゲートウェイ IP アドレスを指定します。ゲートウェイア
ドレスは、トラフィックがルーティングされるネクストホップのルータを指
定します。
パケットの出口となるインタフェースや、パケットのルーティング先のデバ
イスを指定できます。[ネットワーク] > [ルーティング] > [静的ルート] の静的
ルートのリストには、Cloud Edge アプライアンスがパケットをルーティングす
るためにパケットヘッダと比較する情報が示されます。
静的ルートを追加する
新しい静的ルートを追加すると、一致するルートおよび送信先が Cloud Edge
のルーティングテーブル内にあるかどうかが確認されます。見つからなかっ
た場合、そのルートがルーティングテーブルに追加されます。
IPv6 の静的ルートを設定するには、[プロトコル] リストから [IPv6] を選択しま
す。
手順
1.
[ネットワーク] > [ルーティング] > [静的ルート] に移動します。
2.
[新規追加] をクリックしてデフォルトルートを追加します。
[静的ルートの追加/編集] 画面が表示されます。
3.
[静的ルートを有効にする] を選択します。
4.
[ネットワーク] で、ネットワークアドレスを指定します。
次のいずれかを指定できます。
156
•
IP アドレス
•
デフォルトゲートウェイ (例: 0.0.0.0/0)
Cloud Edge On-Premises
注意
デフォルトゲートウェイが複数設定されている場合、送信トラフィッ
クはラウンドロビン方式でそれらのゲートウェイからルーティングさ
れます。
•
ビットマスク
注意
ビットマスクはネットマスクの 10 進表記です。
•
CIDR (Class InterDomain Routing) 表記 (例: 255.255.255.0/24)
5.
[ネクストホップ] で、ネクストホップの IP アドレスを指定します。
6.
[適用] をクリックします。
静的ルートを有効化/無効化する
手順
1.
[ネットワーク] > [ルーティング] > [静的ルート] に移動します。
2.
静的ルートのリストで、次のいずれかを行います。
•
静的ルートを有効にするには、[有効] アイコンをオン (
す。
) にしま
•
静的ルートを無効にするには、[有効] アイコンをオフ (
す。
) にしま
静的ルートを変更する
手順
1.
[ネットワーク] > [ルーティング] > [静的ルート] に移動します。
157
Cloud Edge 3.0 配置ガイド
2.
次のいずれかを実行します。
•
[ルート ID] 列のルート名をクリックします。
•
[処理] 列の編集アイコン (
) をクリックします。
[静的ルートの追加/編集] 画面が表示されます。
3.
チェックボックスを使用して静的ルートを有効または無効にします。
4.
ネットワークの IP アドレス/ビットマスクを確認します。このフィール
ドは読み取り専用です。
5.
ネクストホップのパラメータを指定します。
6.
[適用] をクリックします。
静的ルートを削除する
手順
1.
[ネットワーク] > [ルーティング] > [静的ルート] に移動します。
2.
[処理] 列の削除アイコン ( ) をクリックします。
3.
[削除] をクリックして削除を確認します。
ポリシーベースのルート管理について
今日の高速ネットワーク環境においては、従来のルーティングプロトコルに
とどまらない、各組織が独自に定義したポリシーに従って自由にパケットの
転送およびルーティングを実装できることが求められます。静的ルーティン
グと動的ルーティングは、主にトラフィックの送信先に基づいてルーティン
グを決定する手法であるのに対し、ポリシーベースのルーティングは、パケッ
トごとにトラフィックの特性に応じてルーティングを決定するメカニズムで
す。特定のトラフィックのルーティング動作を変更することは、送信先に基
づくルーティング手法では簡単ではありませんが、「インテリジェントルー
ティング」とも呼ばれるポリシーベースのルーティングであれば、送信先の
ネットワークのほかに、送信元のインタフェース、送信元や送信先のアドレ
158
Cloud Edge On-Premises
ス、サービスの種類など、さまざまな条件に基づいてルーティング動作を指
定できます。
たとえば、会社の拠点間に、高帯域幅で低遅延の高コストなリンクと、それ
よりも低帯域幅で高遅延の低コストなリンクの 2 つがあるとします。この場
合、従来のルーティングプロトコルでは、リンクの帯域幅や遅延 (EIGRP また
は OSPF を使用) 特性によって得られる削減効果に基づいて、トラフィックの
ほとんどもしくはすべてが高帯域幅のリンク経由で送信されます。一方、ポ
リシーベースのルーティングであれば、優先度が高いトラフィックを高帯域
幅/低遅延のリンクでルーティングし、それ以外のすべてのトラフィックを低
帯域幅/高遅延のリンクで送信することができます。
ポリシーベースのルーティングでは、複数の ISP および WAN からのトラ
フィックをルーティングできます。次の図は、2 つの ISP 用に L2 スイッチを
使用して Cloud Edge を設定した例を示したものです。
図 6-3. ポリシーベースのルーティングの例
いずれかのインタフェースの監視 IP アドレスを利用できない場合、そのイン
タフェースに関連付けられたポリシーベースのルートはすべて無効になりま
159
Cloud Edge 3.0 配置ガイド
す。ポリシーベースのルーティングルールに一致するトラフィックは、すべ
てデフォルトゲートウェイ経由でルーティングされます。監視 IP アドレス
の設定方法については、148 ページの監視ホストを参照してください。デフォ
ルトゲートウェイが複数設定されている場合、送信トラフィックはラウンド
ロビン方式でそれらのゲートウェイからルーティングされます。
複数の ISP/WAN 環境の自動フェイルオーバー
Cloud Edge では、複数の WAN/ISP リンクがある環境において、いずれかの
ISP または WAN の接続で障害が発生した場合の自動フェイルオーバーがサ
ポートされています。10 秒おきに接続が確認され、接続を検出できなかった
場合はさらに 2 秒おきに確認が繰り返されます。連続して 4 回接続に失敗す
ると、自動フェイルオーバーが開始されます。後で接続が確立された時点で
リンクは自動的に復旧します。
フェイルオーバーが発生したときは次の処理を実行してください。
•
システムイベントログを確認する
•
ルーティングテーブルでトラフィックの実際のルーティングを確認する
注意
監視ホストの詳細については、148 ページの監視ホストを参照してください。
ポリシーベースのルートを追加する
ネットワークトラフィックがポリシーベースのルーティングルールのいずれ
にも一致しない場合、すべてのトラフィックにデフォルトゲートウェイ (静的
ルート 0.0.0.0/0) が適用されます。デフォルトゲートウェイの設定方法につい
ては、156 ページの静的ルートを追加するを参照してください。
ヒント
デフォルトゲートウェイを少なくとも 1 つは設定しておくことをお勧めします。
手順
1.
160
[ネットワーク] > [ルーティング] > [ポリシールーティング] に移動しま
す。
Cloud Edge On-Premises
2.
[新規追加] をクリックします。
3.
必要に応じて、ルールを有効にします。
4.
ポリシー名を指定します。英字、数字、またはアンダースコアを使用し
て、1～32 文字で指定する必要があります。
5.
必要に応じて、[説明] を入力します。
6.
[送信元のアドレス] で、次のいずれかのパラメータを選択します。
•
すべて: すべての送信元アドレスを含みます。(初期設定)
•
アドレスを指定する: 以前設定した使用可能または新しい IP アドレ
スを追加する送信元アドレスのリストを表示します。
7.
リストから適切な送信元インタフェースを選択します。
8.
[送信先のアドレス] で、次のいずれかのパラメータを選択します。
9.
•
すべて: すべての送信先アドレスを含みます。
•
アドレスを指定する: 以前設定した送信先アドレスのリストが表示
されます。このリストからアドレスを選択して使用できます。必要
に応じて、アドレスオブジェクトを追加することもできます。
[サービスの種類] で、次のいずれかのパラメータを選択します。
•
すべて: すべてのサービスを含みます。
•
指定する: 選択したサービスのみを含みます。
10. 出口インタフェースを選択します。
11. 静的 IP アドレスが設定されたインタフェースの場合は、ネクストホップ
を指定します。
12. 必要に応じて、IP マスカレードを有効にします。
注意
IP マスカレードは、内部 IP アドレスを出口インタフェースの IP アドレス
に変換する必要がある場合に有効にします。
161
Cloud Edge 3.0 配置ガイド
13. [OK] をクリックします。
ルーティングテーブル
工場出荷時の初期設定の Cloud Edge ルーティングテーブルには、初期設定の
静的ルートが 1 つ含まれています。追加の静的ルートを定義し、ルーティン
グ情報をルーティングテーブルに追加します。テーブルには、同じ送信先へ
のルートを複数定義できます。これらのルートに指定されているネクスト
ホップルータの IP アドレス、またはこれらのルートに関連付けられている
Cloud Edge インタフェースは同じとはかぎりません。
Cloud Edge は、ルーティングテーブル内の情報を評価し、送信先への最適な
ルートを選択します。通常は、Cloud Edge アプライアンスと、最も近くに位置
するネクストホップルータとの最短距離が選択されます。ただし、最適な
ルートが利用できない場合は最短でないルートが選択されることがありま
す。Cloud Edge は、ユニットのルーティングテーブルのサブセットであるユ
ニットの転送テーブルに利用可能な最適ルートをインストールします。パ
ケットは転送テーブルの情報に従って転送されます。
ルーティングテーブルを確認する
手順
1.
[ネットワーク] > [ルーティング] > [ルーティングテーブル] に移動しま
す。
2.
タブの右上にある [プロトコル] を選択します。
•
IPv4
•
IPv6
ルーティングテーブルのインジケータ
次の表に、ルーティングテーブルインジケータとその説明を示します。
162
Cloud Edge On-Premises
コード
定義
K
カーネルルート
C
接続済み
S
静的
R
RIPng
O
OSPFv3
NAT (Network Address Translation)
NAT (Network Address Translation) ポリシーを使用して、送信元または送信先の
IP アドレスとポートをパブリックとプライベートの間、およびレイヤ 3 のイ
ンタフェース間で変換するかどうかを指定できます。たとえば、内部 (信頼で
きる) ゾーンからパブリック (信頼できない) ゾーンに送信されるトラフィッ
クで、プライベートの送信元アドレスをパブリックアドレスに変換できます。
次の NAT ポリシールールは、ある範囲のプライベート送信元アドレス
(10.0.0.1～10.0.0.100) を単一のパブリック IP アドレス (200.10.2.100)
および独自の送信元ポート番号に変換します (動的な送信元変換)。このルー
ルは、内部 (信頼できる) ゾーンのレイヤ 3 インタフェース上で受信したトラ
フィックのうち、パブリック (信頼できない) ゾーンのインタフェースが送信
先であるトラフィックのみに適用されます。プライベートアドレスは非表示
であるため、ネットワークセッションはパブリックネットワークから開始さ
れます。パブリックアドレスが Cloud Edge インタフェースアドレス (または
同じサブネット上のアドレス) ではない場合、ローカルルータではリターント
ラフィックを Cloud Edge に送るための静的ルートが必要になります。
図 6-4. 通常の NAT ルール
163
Cloud Edge 3.0 配置ガイド
NAT ルール
NAT アドレス変換ルールは、送信元および送信先アドレスとポートに基づい
ています。セキュリティポリシーと同様、NAT ポリシールールは受信したト
ラフィックに対して順次比較され、トラフィックと最初に一致したルールが
適用されます。
必要に応じて、静的ルートをローカルルータに追加して、パブリックアドレ
スへのすべてのトラフィックを Cloud Edge にルーティングすることができま
す。また、Cloud Edge の受信インタフェースへの静的ルートを追加すると、ト
ラフィックをプライベートアドレスに戻すこともできます。
送信元 NAT ルールを追加する
送信元 NAT (SNAT) は、パケットの IP ヘッダに含まれる送信元アドレスを
変換します。この変換の主な目的は、ネットワークから送出されるパケッ
トについて、プライベート (RFC 1918) アドレス/ポートをパブリックア
ドレス/ポートに変換することです。次の表に、SNAT を使用する場合に必
要な設定を示します。
手順
164
1.
[ネットワーク] > [NAT] > [新規追加] に移動します。
2.
NAT タイプに基づいて NAT の設定を行い、[適用] をクリックします。
オプション
説明
NAT タイプ
[送信元 NAT] を選択して、IP パケットの受信時の設定を指定します。
出口インタ
フェース
リストから [すべて]、すなわち任意の L3 インタフェースを選択しま
す。このインタフェースは、ネットワーク内部から発信されるトラ
フィックを意味する出口トラフィック用のインタフェースとして機
能します。
送信元 IP
変換
次のオプションから選択します。
•
出口インタフェースの IP アドレス — 出口インタフェースの IP
アドレスを使用して変換します。出口インタフェースの IP アド
レスを使用しない場合は、次の 3 つのオプションのうちのいずれ
かを使用してインタフェースを明示的に指定する必要がありま
す。
Cloud Edge On-Premises
オプション
3.
説明
•
単一 IP アドレス — 指定した IP アドレスを使用して変換します。
•
IP アドレス範囲 — 指定した IP アドレス範囲を使用して変換し
ます。
•
サブネット ― 指定したサブネットを使用して変換します。
説明
用途や設定など、NAT ルールの特性がわかる説明を指定します。
SNAT の詳
細オプショ
ン
次に示す、より詳細な情報や一致条件を指定できます。
•
プロトコル — [すべて]、[TCP]、または [UDP]。[すべて] はすべて
のプロトコルを意味します。
•
送信元の IP アドレス範囲 — ネットワークで指定されます。
•
送信元ポート範囲 — 管理者が指定します。
•
送信先の IP アドレス範囲 — 管理者が指定します。
•
送信先ポート範囲 — 管理者が指定します。
[ネットワーク] > [NAT] で新しいルールがリストに追加されていること
を確認します。
送信先 NAT ルールを追加する
送信先 NAT (DNAT) は、パケットの IP ヘッダに含まれる送信先アドレスを
変換します。この変換の主な目的は、パブリックアドレス/ポートの送信先
を含む受信パケットを、ネットワーク内部のプライベート IP アドレス/ポー
トにリダイレクトすることです。次の表に、DNAT を使用する場合に必要な
設定を示します。
手順
1.
[ネットワーク] > [NAT] > [新規追加] に移動します。
2.
NAT タイプに基づいて NAT の設定を行い、[適用] をクリックします。
NAT タイプ
[送信先 NAT] を選択して、IP パケットの転送時の設定を指
定します。
165
Cloud Edge 3.0 配置ガイド
3.
166
入口インタフェース
リストから [すべて]、すなわち任意の L3 インタフェースを
選択します。このインタフェースは、ネットワークルータ
の外側からネットワーク内部の送信先に向けて発信される
ネットワークトラフィックに対するインタフェースとして
機能します。
送信先 IP 変換
次のオプションから選択します。
•
入口インタフェース IP を使用する ― 変換に、指定さ
れている入口インタフェース IP アドレス範囲を使用
します。入口インタフェース IP アドレスを使用しな
い場合は、次に示すオプション ([仮想 IP アドレスを使
用する]) を使用してインタフェースを明示的に指定す
る必要があります。
•
仮想 IP アドレスを使用する ― ユーザが外部の IP ア
ドレス範囲を指定すると、変換済み IP アドレス範囲
が、開始 IP アドレスに合わせて自動生成されます。
マッピングは 1 対 1 で行われます。
•
ポート転送 ― [ポート転送] チェックボックスをオン
にして、ポート転送を含む 1 対 1 の静的 NAT マッピン
グを指定します。このマッピングでは、外部 IP アドレ
スは常にマッピング済みの同じ IP アドレスに変換さ
れ、外部ポート番号も常にマッピング済みの同じポー
ト番号に変換されます。[すべて]、[TCP]、[UDP] の中
からプロトコルを選択してください。[すべて] はすべ
てのプロトコルを意味します。外部サービスポートの
範囲を指定すると、開始ポートに合わせてマップ先
ポートが自動生成されます。マッピングは 1 対 1 で
行われます。
説明
用途や設定など、NAT ルールの特性がわかる説明を指定し
ます。
DNAT の詳細オプショ
ン
次に示す、より詳細な情報や一致条件を指定できます。
•
送信元の IP アドレス範囲: 管理者が指定します。
•
送信元ポート範囲: 管理者が指定します。
[ネットワーク] > [NAT] で新しいルールがリストに追加されていること
を確認します。
Cloud Edge On-Premises
NAT ルールを変更する
手順
1.
[ネットワーク] > [NAT] に移動します。
2.
[優先順位] 列で、変更する NAT ルールの番号をクリックします。
3.
必要に応じてパラメータを編集します。
4.
[適用] をクリックします。
5.
[ネットワーク] > [NAT] で変更を確認します。
NAT ルールの優先順位を変更する
手順
1.
[ネットワーク] > [NAT] に移動します。
2.
高い優先順位を割り当てる NAT ルールのチェックボックスをオンにし
ます。
3.
NAT ルールリストの上部にある操作アイコン ([一番上]、[上]、[下]、[一番
下]) を使用して順位を変更します。
4.
[優先順位の更新] をクリックして変更を保存します。
NAT ルールを削除する
手順
1.
[ネットワーク] > [NAT] に移動します。
2.
削除する NAT ルールの行を選択します。
3.
[削除] をクリックします。
167
Cloud Edge 3.0 配置ガイド
[削除] 確認メッセージが表示されます。
4.
内容を確認して [削除] をクリックします。
5.
[ネットワーク] > [NAT] で、NAT ルールがリストされていないことを確認
します。
サービス
Cloud Edge アプライアンスを使用して、アプライアンスを DHCP サーバとし
て設定します。
Cloud Edge Cloud Console を使用して、動的 DNS を設定します。詳細について
は、79 ページの動的 DNS を参照してください。
DHCP
Cloud Edge では、ネットワークインタフェースに対する複数の DHCP
(Dynamic Host Configuration Protocol) サービスがサポートされます。Cloud
Edge は、DHCP を使用するように設定されたインタフェースに対する DHCP
要求に自動的に応答します。Cloud Edge アプライアンス、インタフェース、ま
たは指定の DNS IP アドレスを使用するように DHCP を設定し、DHCP サーバ
が提供する IP アドレスプールおよびデフォルトゲートウェイのアドレスを
設定します。Cloud Edge は複数のプールをサポートします。1 つの DHCP
プールは 1 つの物理プールをサポートします。
DHCP の詳細設定: 静的マッピングとリース期間
設定
168
説明
静的マッピング
静的 IP アドレスを手動でバインドできます。
リース期間
DHCP のリース期間を示します。日数、時間数、または分
数を指定します。たとえば、時間のみを指定した場合、リー
スは設定した時間数に制限されます。
Cloud Edge On-Premises
DHCP サービスおよび設定を表示する
手順
1.
[ネットワーク] > [サービス] > [DHCP] に移動します。
2.
DHCP サービスに関連付けられたパラメータを確認します。
説明
オプション
名前
DHCP サービスの名前です (例: eth0、eth1)。
IP アドレス/プ
レフィックス
DHCP サーバからリースされる IP アドレス/ビットマスクです。
有効
サービスの状態を示します。有効 (緑/オン) または無効 (赤/オフ)
のどちらかになります。
IP プール
DHCP サービスに適用可能な IP アドレスの範囲です。
オプション
DNS サーバの IP アドレス、ゲートウェイの IP アドレス、および
リース期間があります。DNS の IP アドレスは、DHCP サーバで
指定の DNS を使用する場合にのみ表示されます。
処理
DHCP サービスの設定を編集する場合はアイコンをクリックしま
す。
DHCP サービス設定を変更する
手順
1.
[ネットワーク] > [サービス] > [DHCP] に移動します。
2.
次のいずれかを実行します。
•
[名前] 列で、変更する DHCP サーバの名前をクリックします。
•
[処理] 列で、変更する DHCP サービスの行にある編集アイコン (
をクリックします。
)
169
Cloud Edge 3.0 配置ガイド
3.
DHCP 設定を行います。
オプション
4.
5.
170
説明
有効
サービスを有効にする場合に選択します。
IP アドレス/
ネットマス
ク
DHCP サーバからリースされる IP アドレスとサブネットマスクが
表示されます。
優先 DNS
優先する DNS 方式を選択します。
•
[ネットワーク] > [DNS] で設定されているシステムの DNS を使
用する場合は、[システムの DNS 設定を使用する] を選択します。
•
インタフェースの IP アドレスを DNS として使用する場合は、
[インタフェースの IP アドレスを使用する] を選択します。
DHCP サーバが有効になっている場合、DNS 転送が無効になっ
ていると、システムの DNS 設定で DNS 転送が自動的に有効に
なります。DNS 転送がすでに有効になっている場合は、既存の
DNS 転送設定が維持されます。
•
DNS 設定を手動で設定する場合は、[指定した DNS サーバを使
用する] を選択します。指定した IP アドレスがインタフェース
の DNS のアドレスと一致する場合は、DNS 転送設定も一致する
ことを確認します。
ゲートウェ
イ
インタフェースの IP アドレスおよびネットマスクの設定に基づい
て、DHCP サーバのゲートウェイが自動的に入力されます。必要に
応じて IP アドレスを変更することもできます。
IP アドレス
の開始値/終
了値
DHCP 設定が適用される IP プールを作成する IP アドレスの範囲を
指定します。
.
[詳細設定] で詳細を設定します。
•
[リース期間] で、リースされた IP アドレスおよびネットマスクの有
効期限の日時を調整します。
•
[静的マッピング] で、サービスに追加する MAC アドレスおよび IP ア
ドレスを指定します。
[適用] をクリックします。
Cloud Edge On-Premises
6.
[ネットワーク] > [サービス] > [DHCP] で設定が変更されたことを確認し
ます。
管理
このセクションでは、システム設定、デバイス管理、エンドユーザ管理の設
定方法について説明します。
言語設定を切り替える
Cloud Edge では、日本語、英語および簡体字中国語をサポートしています。
手順
1.
Cloud Edge Web コンソールの右上にあるドロップダウンリストを展開し
ます。
2.
適切な言語を選択します。
システム設定
[システム設定] 画面を使用して、ホスト名や時間、日付の設定など、Cloud Edge
アプライアンスのグローバル設定を指定します。その他の詳細設定には、
セッションタイムアウトやプロキシ設定が含まれます。
システムの一般設定
[管理] > [システム設定] > [一般] タブに移動して、Cloud Edge のホスト名、時
刻、および場所を設定します。
171
Cloud Edge 3.0 配置ガイド
日時を設定する
手順
1.
[管理] > [システム設定] > [一般] タブに移動します。
2.
[時間設定] で、手動で時間を設定するか、NTP サーバと同期させる時間
を設定します。
3.
•
NTP サーバと同期させるには、[NTP サーバと同期する] チェック
ボックスをオンにして、NTP サーバの IP アドレスを追加します。
•
手動で時間を設定するには、[時間を手動で設定] チェックボックスを
オンにして、yyyy-mm-dd hh:mm:ss の形式で現在の時間を指定しま
す。たとえば、「2012-01-16 13:03:28」のように指定します。
[場所の設定] で、Cloud Edge アプライアンスに最も近い場所および都市を
選択して適切なタイムゾーンを設定します。
注意
トレンドマイクロでは、地域に応じたセキュリティサービスを提供してい
ます。Cloud Edge は、トレンドマイクロのアップデートサービスを使用し
て、URL をフィルタリングするための最新のパターンおよび Web レピュ
テーションテクノロジにアップデートします。たとえば、日本では、日本
に固有のアップデートおよび Web レピュテーションサービスを使用しま
す。日本以外の地域では、それぞれの地域のアップデートおよび Web レ
ピュテーションが使用されます。
4.
[適用] をクリックします。
コンソール設定について
Cloud Edge の Web コンソール設定には、次のオプションがあります。
•
172
アイドルタイムアウト: 5 分間何も操作していない場合は、管理セッショ
ンを切断します。Cloud Edge にログインしている PC が無人の状態に
なっているときに、Web コンソールを他の人が使用するのを防ぐために
も、このアイドルタイムアウトを設定することをお勧めします。
Cloud Edge On-Premises
•
証明書: Web コンソールの SSL 証明書を参照して選択します。
Web コンソールタイムアウトを設定する
手順
1.
[管理] > [システム設定] > [コンソール設定] タブに移動します。
2.
[アイドルタイムアウト] で、必要に応じてセッションタイムアウトを設定
します。
3.
[証明書の設定] で、証明書の設定を追加します。
4.
•
SSL 証明書
•
SSL パスワード
[適用] をクリックします。
プロキシの設定について
製品のアップデート、ライセンスの更新、および Web レピュテーションクエ
リに HTTP プロキシサーバを使用するように Cloud Edge を設定します。
プロキシを設定する
手順
1.
[管理] > [システム設定] > [プロキシ設定] タブに移動します。
2.
[HTTP プロキシサーバを使用する] チェックボックスをオンにします。
3.
HTTP プロキシサーバの IP アドレスとポート番号を指定します。
4.
必要に応じて、サーバで必要なユーザ名とパスワードを指定します。
5.
[適用] をクリックします。
173
Cloud Edge 3.0 配置ガイド
エクスペリエンス向上
本製品の機能向上のためにトレンドマイクロにシステム設定情報をご提供い
ただける場合は、[システム設定 (匿名) を送信する] チェックボックスをオンに
します。デバイス名や IP 情報がトレンドマイクロに送信されることはあり
ません。収集されるのは、使用されている機能に関する情報のみです。機能
の設定方法がトレンドマイクロに送られることはありません。
デバイス管理
特定のサービス (SSH や SNMP など) へのアクセスを許可するかどうかを設定
します。また、Cloud Edge CLI へのアクセスポイントもデバイス管理で設定し
ます。
管理アクセス
Cloud Edge 管理インタフェースを設定することで、Cloud Edge アプライアンス
の背後にあるデバイスから開始された特定の種類の管理サービス (トラ
フィック) を許可またはブロックできます。Cloud Edge アプライアンスへの
管理アクセスは、次の場所で制御できます。
•
Cloud Console:
[ゲートウェイ] > (選択したゲートウェイ) > [管理アクセス]
•
On-Premises Console:
[ネットワーク] > [インタフェース]
[ネットワーク] > [ブリッジ]
管理サービス (Web コンソール、Ping、SSH、および SNMP) を有効化する
管理サービスを有効にするとリモートアクセスが可能になります。SNMP サ
ポートを有効にすることで、ユーザは SNMP マネージャを使用して、サポー
トされるオブジェクトの情報を取得できます。
174
Cloud Edge On-Premises
手順
1.
[管理] > [デバイス管理] > [管理用アクセス] に移動します。
2.
テーブルの下のフィールドに、アプライアンスへのリモートアクセスを
許可する IP アドレスを指定します。
注意
この設定によって、アプライアンスにリモートからアクセスできる IP アド
レス範囲が決まります。個別の IP アドレスを指定することも、ハイフン
「-」を使用して範囲を指定することもできます。IP アドレスとネットマス
クを指定する場合は、「192.168.1.0/24」の形式で指定してください。何
も指定しなかった場合、すべての IP アドレスが許可されます。
3.
4.
インタフェースで有効にするサービスを選択します。
•
Web コンソール
•
Ping
•
SSH
•
SNMP
[適用] をクリックします。
SNMP の設定を行う
手順
1.
[管理] > [デバイス管理] > [SNMP の設定] に移動します。
2.
[SNMP を有効にする] チェックボックスをオンにします。
注意
SNMP 管理が有効である場合、ユーザは SNMP マネージャを使用してデバ
イスを管理できます。
175
Cloud Edge 3.0 配置ガイド
3.
SNMP の設定を指定します。
オプション
メールアドレス
説明
連絡先のメールアドレスを指定します。
「China office, IT room」など、連絡先の場所です。
場所
コミュニティ名
Cloud Edge からの情報の取得に必要なコミュニティ文字列を
指定します (初期設定: public)。
注意
アプライアンスの連絡先のメールアドレスと場所の情報は、SNMP マネー
ジャで確認することができます。SNMP マネージャは、指定されたコミュ
ニティ文字列が有効な v2 コミュニティ文字列である場合にのみ、アプライ
アンスを管理することができます。
Web シェル
[Web シェル] タブから Cloud Edge コマンドラインインタフェース (CLI) にア
クセスして、高度な設定を実行できます。CLI を使用する場合は、設定エラー
が発生しないように、トレンドマイクロのサポート担当者と一緒に作業する
ことをお勧めします。
出荷時の設定
出荷時の設定に戻すと、Cloud Edge アプライアンスのネットワーク設定が初期
設定にリセットされ、ログおよびデータベース情報がすべて消去されます。
出荷時の設定に戻すのは、次のような場合です。
176
•
Cloud Edge アプライアンスを起動できない。
•
Cloud Edge アプライアンスのハードディスクがいっぱいになった。
•
Cloud Edge アプライアンスを別の場所で使用する。
•
Cloud Edge アプライアンスの使用を中止するため、コンプライアンスに
従ってデータを削除する。
Cloud Edge On-Premises
出荷時の設定に戻す
警告!
出荷時の設定に戻すと、Cloud Edge アプライアンスに保存されているログおよび
データベース情報がすべて削除されます。この情報は復元できません。
手順
1.
Cloud Edge アプライアンスの電源を切ります。
2.
背面パネルにあるリセットボタンを押したままにします。
リセットボタンは、Cloud Edge アプライアンス背面の電源スロットと
USB ポートの間にあります。
3.
Cloud Edge アプライアンスの電源を再投入します。
4.
アプライアンスの背面パネルにある黄色の LED が点滅を開始したら、リ
セットボタンを放します。
黄色の LED が約 2 分間点滅します。Cloud Edge アプライアンスが出荷時
の設定で再起動します。
177
付録 A
サポート情報
この付録では、発生が予想されるトラブルシューティングの問題と、サポー
トへの問い合わせ方法について説明します。
この付録で説明する内容には、次の項目が含まれます。
•
180 ページの「トラブルシューティングのリソース」
•
181 ページの「トレンドマイクロに疑わしいコンテンツを送信する」
179
Cloud Edge 3.0 配置ガイド
トラブルシューティングのリソース
トレンドマイクロでは以下のオンラインリソースを提供しています。テクニ
カルサポートに問い合わせる前に、こちらのサイトも参考にしてください。
セキュリティインテリジェンスコミュニティ
トレンドマイクロのサイバーセキュリティエキスパートは、脅威の検出と分
析、クラウドおよび仮想化のセキュリティ、データ暗号化を専門とするセキュ
リティインテリジェンスの精鋭集団です。
http://www.trendmicro.co.jp/jp/security-intelligence/index.html では、次のリソース
にアクセスできます。
•
トレンドマイクロのブログ、Twitter、Facebook、YouTube、およびその他
のソーシャルメディア
•
脅威レポート、研究論文、注目記事
•
グローバルセキュリティの専門家が発信するソリューション、ポッド
キャスト、ニュースレター
•
無料のツール、アプリ、ウィジェット
セキュリティデータベース
今日、ほとんどの不正プログラムにはいくつかの脅威が組み合わされており、
コンピュータのセキュリティをかいくぐるために複数のテクノロジが使用さ
れています。トレンドマイクロでは、このような複雑な脅威に対抗するため、
カスタマイズされた防御戦略を構築する製品を提供しています。セキュリ
ティデータベースでは、既知の不正プログラム、スパムメール、不正 URL、
脆弱性を含む、さまざまなセキュリティ関連情報を確認できます。
http://about-threats.trendmicro.com/ThreatEncyclopedia.aspx?language=jp では、次
の脅威を検索できます。
180
•
現在アクティブな、不正プログラムまたは悪意のあるモバイルコード
•
これまでの Web 攻撃の歴史を記載した脅威の情報ページ
サポート情報
•
対象となる攻撃やセキュリティの脅威に関するオンライン勧告
•
Web 攻撃およびオンラインのトレンド情報
•
不正プログラムの週次レポート
トレンドマイクロに疑わしいコンテンツを送信す
る
さらに詳しく分析するために、トレンドマイクロに疑わしいコンテンツを送
信する方法はいくつかあります。
脅威解析・サポートセンター TrendLabs (トレンド
ラボ)
トレンドマイクロ「セキュリティ情報」
TrendLabs (トレンドラボ) は、フィリピン・米国に本部を置き、日本・台湾・
ドイツ・アイルランド・中国・フランス・イギリス・ブラジルの 10 カ国 12 箇
所の各国拠点と連携してソリューションを提供しています。
世界中から選び抜かれた 1,000 名以上のスタッフで 24 時間 365 日体制でイン
ターネットの脅威動向を常時監視・分析しています。
181
索引
アルファベット
DDNS
Dyn DNS, 80
FreeDNS, 80
IPv6, 80
概要, 79
ステータス, 81
ステータスメッセージ, 81
DHCP
インタフェース設定, 76, 168
サービスの表示, 169
サービスの変更, 169
詳細設定, 168
静的マッピング, 168
設定の表示, 169
設定の変更, 169
リース期間, 168
DHCP サービス, 169
DNS, 151
DNS サーバ, 151
DoS 対策
概要, 28
Dyn DNS, 80
encapsulated security payload
ESP, 101
FreeDNS, 80
HTTPS 復号
概要, 28
IKE, 107
IntelliTrap, 123
IPsec, 111
NAT 設定の例, 114
支社の設定例, 111
詳細設定, 109
接続, 104
トラブルシューティング, 111
IPS パターンファイル, 123
IPv4 または IPv6, 89
LDAP
基本認証, 118
詳細認証, 119
設定、グローバル, 117
統合, 116
認証方法, 116
LDAP ユーザの識別
概要, 116
NAT, 163
IPsec 設定, 114
サイト間 VPN 設定, 114
ルール, 164
ルールの削除, 167
ルールの追加, 164, 165
ルールの変更, 167
ルールの優先順位の変更, 167
Network Address Translation, 163
ping
有効化, 175
secure socket layer VPN, 94
Smart Protection Network, 151
SNMP
管理, 175
有効化, 175
SSH
有効化, 175
SSL VPN
概要, 94
VLAN, 74, 149
サブインタフェースの追加, 74, 149
183
Cloud Edge 3.0 配置ガイド
VPN, 88, 89
iOS および Android, 97
SSL, 94
サイト間, 101
VPN オンデマンド, 97
VPN トンネル
IPsec, 104
Web シェル
概要, 176
あ
アップデート, 123
スパムメール対策プロトコル, 123
不正プログラム対策のプロトコル,
123
プログラムコンポーネント, 122
アドレスオブジェクト, 152
削除, 155
設定, 154
表示, 155
暗号化
SSL, 28
TLS, 28
インタフェース, 71, 145, 150
編集, 140, 146
インタフェースの編集, 140, 146
ウイルス検索エンジン, 124
ウイルスパターンファイル, 124
エクスペリエンス向上
参加, 174
オブジェクト
アドレス, 152
主な機能, 20, 24
URL フィルタ, 26
Web レピュテーション, 26
アプリケーション制御, 24
ウイルス検索, 24, 26
184
セキュリティ保護, 24
ネットワーク侵入防止, 24
レポート, 26
か
概要
DDNS, 79
DDNS ステータス, 81
DNS インタフェース設定, 76, 168
DoS 対策, 28
HTTP 復号, 28
LDAP ユーザの識別, 116
NAT, 163
SSL VPN, 94
VLAN, 74, 149
VPN, 88
インタフェース, 71, 145, 150
サイト間 VPN, 101
サービス, 168
詳細な IPsec 設定, 109
動的ドメインネームシステムサー
ビス, 79
ユーザ管理, 115
ユーザのリモートアクセス, 115
ルーティングテーブル, 82, 162
仮想プライベートネットワーク, 88
管理
SNMP, 175
概要, 174
言語設定, 171
サービス, 75, 174
サービス、有効化, 174
システム設定, 171
システム設定、一般, 171
有効化
管理サービス, 174
言語、変更, 171
索引
コンソール証明書, 173
コンソール設定, 172
コンソール, 173
設定, 173
コンソールタイムアウト, 172
コンポーネント
アップデート, 122
コード
ルーティングテーブル, 83, 162
さ
サイト間 VPN, 101
IKE, 101
IPsec, 101
設定例, 111, 114
トラブルシューティング, 111
ポリシーの追加, 107
削除
NAT ルール, 167
アドレスオブジェクト, 155
静的ルート, 158
サービス, 168
管理, 75, 174
管理、有効化, 174
サービス拒否攻撃, 28
サービスプラン, 36
シェル
概要, 176
システム設定
一般, 171
概要, 171
設定, 172
プロキシ, 173
システムの一般設定, 171
詳細
IPsec 設定, 109
スパイウェア, 123
パターンファイル, 123
スパムメール対策のプロトコルパター
ンファイル, 123
静的マッピング, 168
静的ルーティング
削除, 158
追加, 156
変更, 157
有効化, 157
製品
管理、概要, 174
接続
IPsec, 104
設定, 173
LDAP、グローバル, 117
アドレスオブジェクト, 154
コンソール、概要, 172
コンソール設定, 173
システム設定, 172
日時の設定, 172
プロキシ設定, 173
ルーティング, 155
た
帯域幅制御
ネットワーク設定, 148
追加
NAT ルール, 164, 165
VLAN サブインタフェース, 74, 149
サイト間 VPN ポリシー, 107
静的ルート, 156
通知, 36
統合
LDAP, 116
動的ドメインネームシステムサービス,
79
動的な送信元変換, 163
185
Cloud Edge 3.0 配置ガイド
トラフィック:ルーティング, 155
トラブルシューティング, 111
サイト間 VPN, 111
な
認証
LDAP、基本, 118
LDAP、詳細, 119
認証方法
LDAP, 116
ネットワーク
帯域幅制御, 148
ネットワーク機能, 25
NAT, 25
サイト間の仮想プライベートネッ
トワーク, 27
サービス, 25
ブリッジ, 25
モバイルの仮想プライベートネッ
トワーク, 27
ユーザの仮想プライベートネット
ワーク, 27
ルーティング, 25
ネットワーク設定
インタフェース, 25
は
配信
静的ルート, 156
配信モード
監視モード, 133
ブリッジモード, 133, 134
ルーティングモード, 133, 138
パターンファイル, 122
IPS, 123
スパムメール対策プロトコル, 123
表示
186
DHCP サービス, 169
DHCP 設定, 169
アドレスオブジェクト, 155
ルーティングテーブル, 162
不正プログラム対策のプロトコルパ
ターンファイル
パターンファイル
不正プログラム対策のプロト
コル, 123
ブランド設定, 36
プロキシ, 173
プロキシ設定
設定, 173
プロキシの設定, 173
プログラムコンポーネント
アップデート, 122
ベストプラクティス
DNS サーバ, 151
提案, 151
変更
DHCP 設定, 169
NAT ルール, 167
静的ルート, 157
ポリシー
アドレス, 152
アドレスオブジェクト, 152
サイト間 VPN の追加, 107
ま
モード
ルーティング, 155
や
有効化
ping, 175
SNMP, 175
SSH, 175
索引
静的ルート, 157
ユーザ管理, 115
リモートアクセス, 115
ユーザ識別
LDAP, 116
LDAP、基本, 118
LDAP、詳細, 119
ら
リモートアクセス
ユーザ管理, 115
リース期間, 168
ルーティング
静的ルート管理, 156
設定, 155
ルーティングテーブル
インジケータ, 83, 162
概要, 82, 162
表示, 162
ルール
NAT, 164
NAT の削除, 167
NAT の追加, 164, 165
NAT の変更, 167
NAT の優先順位の変更, 167
例
IPsec 支社の設定, 111
IPsec での NAT 設定, 114
サイト間 VPN, 111, 114
187

サービス概要

「Production Cloud R 2（プロダクションクラウド2」のサービス開始

三膳構成員プレゼンテーション資料

カレンとネットイヤーグループ、顧客育成型

募集要項 - 立命館大学EDGE+R イノベーション・アーキテクト養成

SrI2(Eu) - 株式会社リーディングエッジアルゴリズム

2015年1月9日金 - iDATEN(韋駄天)

【ニュースリリース】コンピュータ操作画面のビデオ記録システム Ekran v4

Creative Cloud 教育機関向けライセンスと大学生協専用ソフトカード版の

J-Watcher は - J-MARINE CLOUD 日本無線