ラベル FW の投稿を表示しています。 すべての投稿を表示
ラベル FW の投稿を表示しています。 すべての投稿を表示

2021年10月19日火曜日

OpenWrtにZabbix Agentを入れてZabbix Serverから監視する

ZabbixサーバにOpenWrtを追加したので手順をメモ


Zabbix Serverは5.0 LTS


■Zabbix Agentインストール

OpenWrtにログイン後【システム】>【Software】から【Zabbix-agentd】をダウンロードする

【abbix-extra-mac80211】と【zabbix-extra-network】と【zabbix-extra-wifi】はagentdの追加パッケージの様なのでついでにインストールした

wifiのはいらなかったかな

agentのバージョンは5.0.7-3なのでZabbix Serverのバージョンが違えば使えないかな


■設定ファイル修正

次に OpenWrtにSSHでログインして設定ファイルを編集する

# vim /etc/zabbix_agentd.conf

Server= <Zabbix ServerのIP>

ServerActive=<Zabbix ServerのIP>

Hostname=<Agent側のホスト名>

※OpenWrtの初期ホスト名は【OpenWrt】


■FWルール追加

このままだとPortが空いてないのでiptablesでルールを追加する

# iptables -A INPUT -p tcp --dport 10050 -j ACCEPT -s <Zabbix ServerのIP>



■Zabbix Serverホスト追加

後はZabbix Server側にホストを追加すればいい

グループは【Linux Servers】でインターフェースは【エージェント】としてOpenWrtのIPアドレスを指定

しばらくすればステータスが有効になって各種グラフの数値が取得できる



問題なく稼働しているし、速度もそれなりに出ているものの、XG Firewallに比べれば機能に劣るし、GUIで簡単に管理できる機能も少なく感じる


いっそのことOpenWrtを入れたNanoPi R4Sを予備に回して、Ubuntuマシンに組みまえたLIVA ZにOpensense入れてメインマシンに使って見ようかとも思うが、そうするとUbuntuを入れるマシンが足りなくなるので、別途小型のベアボーンでも欲しくなるな

2020年9月22日火曜日

XG Firewallからのメール通知設定

 WAN側をIPoEに設定してからメール通知の設定をやり直してなかったので、改めて設定をやり直した


ログイン後【管理】>【通知の設定】

送信用メールはさくらのメールボックスで専用に作成したものを利用するので【外部メールサーバ】を選ぶ

■メールサーバ設定

 メールサーバ:    mail.***.*** 

 ポート:    587

 認証の要求:    チェック有

 ユーザ名:    ***@****.***

 パスワード: *****

 接続のセキュリティ: STARTTLS

 証明書:    ApplianceCertificate

■メールの設定

 送信元メール: ***@***.***(上記で設定したアカウントのメールアドレス)

 メールアドレスに通知を送信: ***@***.***(送信先のメールアドレス

 管理インターフェースのIPアドレス: PortC- (WAN側のインターフェース)



送信する通知の種類は以下から設定する

【システムサービス】>【通知リスト】

SNMPトラップの種類も選べるが、Zabbix側は標準MIBしか見ていないので今回は無視する

通知の欄からメール通信したいアクションを選んでチェックを付けるだけ



今回は送信先として普段活用していないMicrosoftのlive.jpのメールアドレスに送ることにしたが、本文が英語ベースのため迷惑メールに振り分けられてしまったので、それの解除やメール受信ルールの作成などの方が面倒だった


これで通知が多いようであれば不要と思われるアクションを解除しながら様子を見よう

2020年7月26日日曜日

iPhoneでのSSLインスペクション有効化

会社貸与のiPhone8(iOS13.6)を自宅のWi-Fiに繋げるのに、ついでだからとSSLインスペクションを有効にしているNWへ追加することにした

以下サイトを確認すると、iOSでSSLインスペクションを利用する場合は除外リストに追加した上でプロキシを経由するようにと記載があるので、Wi-Fi接続以外の設定を追加して行う




別端末でXG Firewallから証明書をダウンロードして、クラウドサービスを利用してiPhoneへ証明書を転送しておく

該当の証明書はXG Firewallの【システム】>【証明書】ページの【認証局(CA)】タブを開いて【SecurityAppliance_SSL_CA】のダウンロードボタンを押して別端末でダウンロードした


■iPhone端末設定
iPhoneの設定画面を開いて【一般】>【プロファイルとデバイス管理】からダウンロードした証明書をインストールする

インストールが完了したら【一般】>【情報】>【証明書信頼設定】を開いてインストールした証明書を有効化する

接続しているWi-Fiの右側のマークをタップしてHTTPプロキシの設定を追加する
プロキシのIPはDefault GWと同じ値、ポートはXG Firewallの初期値は【3128】なのでそのまま設定する
ローカル端末へはアクセスさせないので除外リストは空白にした

ユーザ認証は必要であればXG Firewall側でユーザを作成してPW設定したものを入れればいいか


■XG Firewall追加設定
Appleのサイトで指定されているものをHTTPS復号化の除外リストとして登録する
XG Firewallにログインして【保護】>【Web】ページの【例外】タブを開いてルールを【追加】する

上記URLに記載の【デバイスの設定】、【デバイス管理】、【ソフトウェア・アップデート】、【App Store】、【証明書の検証】からiOSが該当するURLを追加していく
【*.】となっているものはそのままではXG Firewallに登録できないので【^[A-Za-z0-9.-]*.】に置き換える


設定が完了したら適当なページ等を開いて正常性を確認する
App Storeやその他アプリも一応開いて異常がないかを確認して完了

2020年6月3日水曜日

OPNsenseでのOpenVPN設定

OPNsenseにOpenVPNの設定を追加する

公式サイトにドキュメントはあるものの、TOTPによる二要素認証を利用した方法等、今回使わない情報が載ってるので少し混乱した

【 Setup SSL VPN Road Warrior 】

構成は以前の記事同様XG Firewallと並列の構成
OpenVPNで接続したクライアントはXG FirewallのIPoEトンネルを利用してインターネットに抜ける構成になる
また、PPPoE側は個人向けOCNサービスのためダイナミックDNSとしてGoogle Domains内のDNSサービスに内包されているダイナミックDNSサービスを利用する



■ダイナミックDNS設定
まずは外部アクセス用にダイナミックDNSの設定を行う

GoogleDomainsのページにアクセスして【DNS】>【合成レコード】のプルダウンから【ダイナミックDNS】を選択
今回はサブドメインで運用するので、空欄に任意のサブドメインを入力して追加する

追加したダイナミックDNSの情報を開くと【ユーザ名】と【パスワード】が表示されるので、これを後でコピペする

次にOPNsenseにログインして【サービス】>【ダイナミックDNS】のページ内右上の【追加】から設定する
設定か所は以下
【有効】にチェック
【サービスタイプ】Google Domains
【監視するインターフェース】WAN
【ホスト名】Google Domainsで作成したサブドメインのFQDN
【ユーザ名】Google Domainsからコピペ
【パスワード】Google Domainsからコピペ

保存して強制更新すると、OPNsenseのダイナミックDNSのページ内で追加したものが有効化され、取得したグローバルIPアドレスが表示される
このアドレスはGoogle Domains上にも同様の値が表示される


■内部認証局作成
【システム】>【セキュリティ】>【認証局】から新しい認証局を追加する
【説明】OpenVPN-CA #任意の値
【方法】内部認証局を作成
【鍵長】4096
【ダイジェストアルゴリズム】SHA512
【国コード】JP(Japan)
【都道府県】#任意の値
【市】#任意の値
【組織】#任意の値
【電子メールアドレス】#任意の値
【コモンネーム】#任意の値

■サーバ証明書作成
【システム】>【セキュリティ】>【証明書】から新しいサーバ証明書を追加する
【方法】内部証明書の新規作成
【説明】OpenVPN-CE #任意の値
【認証局】OpenVPN-CA #上で作成した認証局を選択
【タイプ】サーバ証明書
【鍵長】4096
【ダイジェストアルゴリズム】SHA512
国コードからしたは認証局の情報が自動転記される

■VPNユーザ作成とユーザ証明書作成
【システム】>【アクセス】>【ユーザ】からVPN用のユーザを追加する
【ユーザ名】#任意の値
【パスワード】#任意の値
【証明書】クリックすると、ユーザ証明書を作成します にチェック

保存してユーザ証明書の作成画面に移管する
【方法】内部証明書の新規作成
【説明】user-CE #任意の値
【認証局】OpenVPN-CA #上で作成した認証局を選択
【タイプ】クライアント証明書
【鍵長】4096
【ダイジェストアルゴリズム】SHA512
国コードからしたは認証局の情報が自動転記される


■OpenVPNサーバ作成
【VPN】>【OpenVPN】>【サーバ】から【新規サーバの設定にウィザードを使用】にてVPNサーバを追加する

・認証タイプ選択
【サーバのタイプ】Local User Access #初期値

・証明局選択 #誤訳?
【認証局】OpenVPN-CA #上記で作成した認証局を選択

・サーバ証明書選択
【証明書】OpenVPN-CE #上記で作成したサーバ証明書を選択

・サーバ設定
【インターフェース】WAN
【プロトコル】UDP
【ローカルポート】1194
【DHパラメータ長】4096
【暗号化アルゴリズム】AES-128-CBC(128 bit key, 128 bit block)
【認証ダイジェストアルゴリズム】SHA512(512-bit)

【IPv4 トンネルネットワーク】192.168.0.0/29 #VPNクライアントに割り当てるNW
【リダイレクトゲートウェイ】チェック入れる #VPNサーバ経由でインターネットへアクセスさせる
【IPv4 ローカルネットワーク】192.168.0.0/28

【動的IP】チェック入れる
【アドレスプール】チェック入れる



・ファイアウォールルール構成
【クライアントからサーバへのトラフィック】チェック入れる
【クライアントからVPN経由のトラフィック】チェック入れる

■作成されたFWルールの確認
【ファイアウォール】>【ルール】の【OpenVPN】と【WAN】それぞれに新しいルールが追加されている




これでOPNsense側のOpenVPN設定は完了

【VPN】>【OpenVPN】>【クライアントのエクスポート】からプロファイルをダウンロードして端末へ設定してやればつながる

androidの場合は
【Export type】ファイルのみ
として画面下の証明書からユーザ証明書のデータをダウンロードすれば利用できる


認証局や証明書を別途作成するのが面倒だったものの、サーバ自体はウィザードが用意されておりFWルールも自動作成なので設定自体は簡単だった

実スループットは回線とOPNsenseへの割り当てリソースに左右されるだろうから、実用的かどうかは様子見

2020年5月13日水曜日

ESXi上にOPNsenseを構築

XG FirewallにIPoEの設定入れたらダイナミックDNS使えなくなってOpenVPNも利用できなくなったので、対処策としてPPPoEセッション用にルータを追加することに


構成は以下の感じ
XG FirewallのデフォルトルートはIPoEのIPIPトンネル向いてるので、優先度低めでOPNsenseにデフォルトルート向ければ、PPPoEもバックアップ回線に使えそう

色々設定できたら構成図綺麗に作り直そう




LIVA Zのリソースはあまり残って無いのでそれなりに軽量でも動くもので良さそうなのを探していたら【 OPNsense 】なる仮想Firewallがあるらしい

公式wikiの情報だと基本要件は以下の通り
  • Processor:1GHz dual core cpu
  • RAM:1GB
  • Install target:40GB SSD
メモリとストレージは余裕があるものの、CPUは4CoreともXG Firewallに振っているので、CPUだけは最小構成の1Coreでイケるだろう1GHzはあるし


設定はさくらのナレッジを参考にした


まずは公式サイトのダウンロードページからISOファイルをダウンロードする
Architectureは【amd64】
Select the image typeはdvd
Mirror Locationは好きなところを選べばいい

bz2形式で落ちてくるので7z使って適当なフォルダに解凍しておく
ダウンロードしたバージョンは20.1とのこと



ESXiにログインして仮想マシンを新規作成する
名前はわかりやすく【OPNsense】
互換性は初期値
ゲストOSファミリは【その他】
ゲストOSのバージョンは【FreeBSD11より前のバージョン(64ビット)】


利用するデータストアは一つしかないのでそのまま選んで次へ
CPU:1
メモリ:1024MB
ハードディスク1:40GB (シンプロビジョニング)
ネットワークアダプタ1:WAN側の仮想NW
ネットワークアダプタの追加で新規NIC追加してそちらはLAN側の仮想NWを割り当て
CD/DVDドライブ:データストアISファイル
として先ほど回答したISOファイルをアップロードする



作成完了したら起動して仮想コンソールから初期設定を行う
画面が起動したらエンターを押して先へ


途中でPress any key to start the manual interface assignment:
と聞かれるのでエンター押して手動設定へ移行
nic名とMACアドレスが表示されるのでESXi上の画面と照らし合わせてWANとLANを間違えない様に気を付ける
VLNAは使わないのでn
WANはem0
LANはem1
追加インターフェースは利用しないので未入力のままエンター

login:が表示されたら
login:root
PW:opnsense
でログインしてCLIで変更画面へ


【2) set interface IP address】の2を選んでIPアドレスを設定する
IPアドレスは192.168.1.14
サブネットは28
defaultgatewayを聞かれるが、VLAN越しにSSHで繋げる予定なのでXG Firewallの値の192.168.1.1を入れておく
これやらないとVLAN越しにルーティングできずにブラウザからのアクセスができなくなる
ラズパイ踏み台にしてやればいいんだろうけど


設定したら一旦ログアウトして以下の値でログインする
これでFirewall本体のインストール作業に入る
login:installer
PW:opnsense

キーボード設定を変更するため【Change Keymap(default)】から【jp.kbd】を選択
インストール方法は【Guided installation】を選択してストレージを選択
インストールモードは【GPT/UEFI】を選択
最後にrootパスワードの再設定、後で変更する場合は空欄のままエンター押せば初期値のままとなる

インストールが完了したらrebootして、起動後にIPアドレスでWebブラウザからアクセスできる




後はVLAN側へのスタティックルートとWANへのPPPoE設定とダイナミックDNS設定とOpenVPNの設定をやっていこう

2020年5月6日水曜日

Sophos XG FirewallのLAN側IPv6 IPoE(DS-Lite)設定

3月からの在宅勤務が緊急事態宣言の延長で長引きそうなので、自宅回線増強のためIPoE化をすることに

IPoEサービスは国内だと以下2つの種類が存在している

・v6プラス (MAP-E)

・transix (DS-Lite)

どちらもIPv4アドレスを複数ユーザでシェアするためNATセッション数は1,000くらいに制限される上、送信元にウェルノウンポートが利用できないためWebサーバやVPNサーバ等の外部からアクセスするサーバ公開ができなくなる

MAP-Eであれば割り振られたポートを利用するように設定変更すれば無理やりでも方法はあるものの、DS-Liteは網側でNATされているため方法はないみたい

一応両サービスともにIPv4の固定IPアドレスサービスが存在してるものの、実際の提供ISPによってはメニュー化されていない場合がある



今回はXG FirewallがMAP-Eに対応していないので、DS-Liteを利用することにした
(厳密にはDS-Liteも公式に対応情報は出ていない)


今回選んだのはインターリンク社のZOOT NATIVE
ISP契約のみ可能で初期費無料、開通後2か月無料なのと申し込みから小一時間で開通するので試すにはちょうどいい

申し込みには自宅のフレッツ回線の種別とCAF番号、アクセスキーが必要となる
支払方法をクレジットカードにして申し込んだら登録完了メールが届き、実際の開通連絡は1時間半後くらいだった

設定はマニュアルは以下サイトに公開されている
当然XG Firewallは記載がないのでYAMAHAルータのConfig辺りを参考に手探りで頑張る



設定に必要な開通案内の情報はほぼ無いのでXG Firewallに設定を入れていく
尚、IPv6でのInternet通信をする場合はLAN側のIPv6設定も必須なので先に済ませておく

利用するインターフェースは空いてるPortCをWANとして設定する
PortBにはOCNのPPPoE設定が入っているものの、MTU値が異なるので違うNICを利用する方が無難

PPPoEを利用する場合のフレッツ光ネクストのMTUは1454、
IPoEを利用する場合のフレッツ光ネクストのMTUは1500となっている
MTU値が違う場合は読み込みが遅くなったり、そもそも繋がらないこともあるので要注意

ログインして【設定】>【ネットワーク】>【インターフェース】から【PortC】を選択
設定か所は以下
【ネットワークゾーン】 WAN
【IPv4設定】 チェックを外す
【IPv6設定】 チェックを入れる
【IPの割り当て】 DHCP
【モード】 手動 ステートレス DHCPから他の設定を承認にチェック
IPoEの場合は回線認証のためIPv6アドレスは自動でNIC側に設定される
このアドレスを後で使うのでメモしておく


次にDNSの設定
自動取得でも問題はないが、IPv4側がGoogleのpublicDNSを見ているからせっかくなのでIPv6側もGoogleに向けるため手動で設定する
【DNS2】 2001:4860:4860::8888
【DNS2】 2001:4860:4860::8844


次にtransixまでのIPIPトンネルを設定する

同じ【ネットワーク】のタブから【IPIPトンネル】を選択
隠れている場合は右端の【・・・】をクリックすれば出てくる
設定項目は以下5項目
【トンネル名】 IPoE (わかりやすい任意の名前)
【トンネルの種類】 4in6
【ゾーン】 WAN
【ローカルエンドポイント】 WAN側のNICに振られたIPv6アドレス
【リモートエンドポイント】 2404:8e01::feed:100
リモートエンドポイントはtransix側へ接続するためのIPv6アドレスで以下が公開されている

NTT東日本エリアから接続する方
2404:8e00::feed:100
2404:8e00::feed:101

NTT西日本エリアから接続する方
2404:8e01::feed:100
2404:8e01::feed:101


次にInternetの通信をトンネルに向けるためスタティックルートを設定する
上のトンネル設定を保存する際にダイアログボックスが表示されるが、そこでデフォルトルートを入れようとするとエラーになるので一旦消して、改めてやる必要があった
【設定】>【ルーティング】の【スタティックルーティング】からIPv4のルーティングを追加する
設定項目は以下2か所
【宛先IP/ネットマスク】 0.0.0.0 /0 [0.0.0.0]
【インターフェース】 IPoE(プルダウンで作成したトンネルを選択)
とりあえず全てIPIPトンネルに投げてしまえばInternet通信は問題なくできる
他にスタティックで設定を入れている場合はディスタンスの値で調整すればいい


最後にFWの設定を行う
【ルール名】 LAN-Internet (わかりやすいもので任意に)
【送信元ゾーン】 LAN
【送信元ネットワークとデバイス】 任意
【宛先ゾーン】 WAN
【宛先ネットワーク】 任意
【HTTPのスキャン】 チェックを入れる
【侵入防御】 LAN TO WAN
【Webポリシー】 Default Policy
【NAT&ルーティング】 送信元アドレスの書き換え (マスカレード)にチェックを入れる
送信用アドレスの使用】 MASQ(プルダウンで選択)
何故かLAN側をanyにしないとIPv6で通信が通らなかった
また、HTTPSの暗号化解除/スキャンを有効にしても同様に通信が通らないのでとりあえずHTTPのスキャンだけに留めることに

IPoEのIPv6通信はNAPTせず端末にアドレスが設定されるとかの記載をよく見るが、XG FirewallはLAN側にULAでIPv6を設定するためIPv6パススルーに対応していない
そのためNAPTが必須となるが、その分多少なりともセキュリティは強固になるのか

よくIPoEだと外からIPv6アドレスでアクセスできてしまうからポート閉塞などきちんと行う必要があると言われるが、NAPTしていれば明示的に開けない限り入れないので多分大丈夫



設定が完了したら以下サイトで接続確認を行う

IPv4、IPv6ともにInternet Multi Feedのtransixに接続できていることが確認できる
ICMPがNot testedになっているのはNAPTしている影響


回線を切り替えてから体感でもかなり安定した速度が出るようになった気がする
速度判定サイトはサイトによってまちまちだが上下共に100Mbps~400Mbpsくらいの値が出ていた
OCNのPPPoEは100Mbpsを超えることが稀だったのでこれで在宅での業務も安定して使えそうだ


ただ、DDNSでのOpenVPNが利用できなくなったのでそちらの対策は別途検討が必要になった

2020年5月5日火曜日

Sophos XG FirewallのLAN側IPv6アドレス設定(過去記事削除)

以前作成した記事に誤りがあったので削除して再度アップし直し


Sophos XG Firewall Home EditionのLAN側にIPv6の設定を行う
端末への払い出しはステートフル自動設定にて実行する

参考 ステートフル自動設定について


設定するIPv6アドレスは【 ULA(ユニークローカルアドレス)】
RFC4193の内容ではULAではIFのMACアドレスからEUI-64の値を求めて、NTPから求めた値を組み合わせてSHA-1でハッシュ値を求めて下位40bitをfdに追加して利用するとのこと

計算アルゴリズム組もうかとも思ったけど、海外サイトにいいものがあったのでそちらを利用
RFC4193 IPv6 Generator

ここにMACアドレスを入れると自動でULAを計算してくれる
今回は以下の値になった。



早速インターフェースに設定を行う

XG Firewallにログインして【設定】>【ネットワーク】>【インターフェース】から【PortA】を選んで【IPv6設定】のチェックを入れる

設定項目は以下の2か所
【IPの割り当て】  スタティック
【IPv6/プレフィックス】  fdc5:e2b2:b25e:1::1 / 64

IPv6は上記のジェネレータで作成した値の範囲から任意で好きに設定すればいい
見た目わかりやすいように、第4オクテットをVLANと同値にした
他のVLANインターフェースも同様に行う



次にDHCPv6サーバの設定を行う

同じ【ネットワーク】の設定画面のタブから【DHCP】を開いて【サーバ】の【追加】から設定画面を開く
タブで【IPv4】と【IPv6】に分かれているので【IPv6】を選択する
設定は以下4か所
【名前】 VLAN1_DHCPv6(任意の名前)
【インターフェース】 PortA
【ダイナミックIPリース】 ※使わないけど必須なので適当に範囲内の値を入れる
【DNSサーバ】 【デバイスのDNS設定を使用】にチェック

ここで必要なのはDNSの設定だけ
LAN内で使うだけならDHCPサーバの設定自体無くても問題ない
端末への払い出しはステートフル自動設定によって行われるが、払い出し範囲が必須入力なのが少し残念な気がする



最後にRAの設定を行う

同じ【ネットワーク】の設定画面のタブから【IPv6ルータアドバタイズ】を開く
多分表示されていないので右端の【・・・】をクリックしたら項目が現れる

設定項目は以下4か所
【インターフェース】 PortA(プルダウンから選択)
【アザーフラグ〔O Flag〕】 〔HDCPv6から他のパラメータを管理〕にチェック
【デフォルトゲートウェイ】 チェック
【アドバタイズ設定のプレフィックス】fdc5:e2b2:b25e:1::0

M Flagは不要
アドバタイズ設定のプレフィックスにはネットワークアドレスを入力する
ここの値を元に下位64bitのアドレスを端末自身が設定する
他のVLANインターフェースも同様に行う


端末側でv6のアドレスが払い出されているか確認する

※VLAN10のWindows10端末


※VLAN20のAndroid9端末



これで問題なく各VLAN毎にIPv6アドレスの設定が完了した
ひとまずIPv6でLAN内の通信をする予定は無いのでFWの設定は省略する
必要があればVLAN毎に通信可否をFWで設定してやればいい

2020年3月22日日曜日

XG FirewallでのSSLインスペクション有効化

XG FirewallでのSSLインスペクションの有効化をしたものの、アップしてなかったので再度の手順確認も含めて記載


参考は以下公式サイト


XG Firewallにログインして【証明書】>【認証局(CA)】タブのページ内にある【SecurityAppliance_SSL_CA】をダウンロード
CA


ダウンロードした証明書をインポートするが、Google Chromeだと云々描いているものの、コントロールパネルのインターネットオプションと行き着く設定画面は同じだった

Google Chrome Ver.80.0.3987.149では【設定】>プライバシーとセキュリティの【もっと見る】でメニュー表示を増やして>【証明書の管理】を開く
chrome


【証明書】ダイアログが表示されたら【信頼されたルート証明機関】タブの【インポート】をクリック
ブラウザ設定



ファイル選択ダイアログが表示されるので上でダウンロードした証明書を選択する
拡張子がデフォルトの物と違うので【.*】で全ファイル表示した方がわかりやすい
インポート


問題なくインポートされれば一覧にXG Firewallの証明書が表示される
ブラウザ証明書



次にWindows 10のスタートボタン横の【ここに入力して検索】欄に【MMC】と入力して【Microsoft Management Console】を起動する
【ファイル】>【スナップインの追加と削除】を開いて【証明書】を選んで真ん中の【追加】ボタンで右側へ追加する
新しいダイアログが表示されるので【コンピュータアカウント】を選んで次へ
MMc


移管した画面で【完了】を押してスナップインの一覧を閉じると元の画面に証明書の一覧が表示されている
【信頼されたルート証明書】を右クリックして【すべてのタスク>インポート】から上でダウンロードした証明書をインポートする
MMCインポート

無事インポートに成功すればこちらも一覧にXG Firewallの証明書が表示される
MMC証明書


インポートが完了したらXG FirewallでSSLインスペクションを有効にする
【保護】>【ファイアウォール】から該当のインターフェース or VLANからWAN(インターネット)抜けのルールを選んで、【Webマルウェアスキャンとコンテンツスキャン】項目の【HTTPSの暗号化解除/スキャン】にチェックを付けて保存する
FW設定



これでSSLインスペクションが有効化され、httpsのサイト閲覧時も保護が有効になる

一部サイトやダウンロード時に失敗することがあるので、その場合は【保護】>【web】の【例外】タブから【例外リストの追加】で設定する

過去記事