【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.2】

今回も AWS に Sophos を導入する手順について解説します。

構成はタイトルの通り AWS に Sophos を導入し、プライベートサブネットにいるサーバー（Webサーバー）が「インバウンド」と「アウトバウンド」で Sophos を経由する設定です。

今回は【Part.2】になります。

 

 

前回の【Part.1】では以下の設定をしました。

• VPC の作成（パブリックサブネット と プライベートサブネットも作成する）
• インスタンスの作成
• Sophos UTM 9（ファイアウォール）の作成
• ELB の作成する
• Sophosの設定
• Sophos を NAT ゲートウェイにして Web サーバーが外部に出れるようにルートテーブルを設定する

 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.1】

 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.2】

 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

今回の作業

今回は以下の2点の作業をします。

• Windows 2016 Server に IIS（インターネット インフォメーション サービス）をインストールする
• 独自ドメインでインターネット経由で Web サーバーにアクセスできるようにする

 

 

 

Sophos 構成図

今回構築する Sophos の構成図です。

• 「パブリックサブネット」と「プライベートサブネット」の構成
• プライベートサブネットに Web サーバー構築
• 踏み台サーバーは Windows で「パブリック IP」を持っている
• インターネット経由で Web サーバーへアクセスする場合は ELB を経由後 Sophos を経由する（インバウンド）
• Web サーバーが「yum update」などでインターネットに出ていく時は Sophos を経由する 

ポイントは、

• プライベートサブネットへ「インバウンド」
• プライベートサブネットからの「アウトバウンド」

も Sophos を経由することです。

その結果、 Web サーバーの通信記録が Sophos に残ります。

また、インターネットからの攻撃の防御を防ぐこともでき、アウトバウンドも絞ることができます。

更に特定のサイトへのアクセスを防ぐこともできます。

 

 

 

 

 

Windows Server 2016 に IIS（インターネット インフォメーション サービス）をインストールする手順

今回の EC2 インスタンスは以下になります。

Microsoft Windows Server 2016 Base

※そのためインタフェースは「英語」になります。

 

 

 

 

Windows Server 2016 にログインし、スタートメニューより「Server Manager」をクリックします。

 

 

 

 

 

 

「Server Manager」が起動したら「Add roles and features」をクリックします。

 

 

 

 

 

「Before you begin」画面で「Next」ボタンをクリックします。

 

 

 

 

 

 

「Select installation type」画面で「Role-based or feature-based installation」を選択して「Next」ボタンをクリックします。

 

 

 

 

 

 

「Select a server from the server pool」を選択して、自身のサーバーを選択して「Next」ボタンをクリックします。

 

 

 

 

 

 

 

「Select server roles」画面で「Web Server(IIS)」をクリックします。

 

 

 

 

 

「Add features that are required for Web Server(IIS)?」画面でデフォルトのまま「Add Features」ボタンをクリックします。

 

 

 

 

 

 

下図のように「Web Server(IIS)」にチェックが入っていることを確認して「Next」ボタンをクリックします。

 

 

 

 

 

 

「Select features」画面で、このままの状態で「Next」ボタンをクリックします。

 

 

 

 

 

 

「Web Server Role(IIS)」画面で「Next」ボタンをクリックします。

 

 

 

 

 

 

 

「Select role service」画面で「HTTP Redirection」にチェックを入れて「Next」ボタンをクリックします。

 

 

 

 

 

 

 

「Confirm installation selections」画面で設定を確認し「Install」ボタンをクリックします。

 

 

 

 

 

 

インストールが完了したら「Close」ボタンをクリックします。

 

 

 

 

 

IIS（インターネット インフォメーション サービス）動作確認

IIS をインストールしたらローカルから、インターネットから動作確認をします。

 

ローカル上での動作確認

Web サーバー上でブラウザを起動し、URL 欄に「localhost」と入力します。

下図のようにデフォルトのページが表示されればインストールは成功です。

 

 

 

 

インターネット経由での動作確認

ローカルパソコンからブラウザを開き、URL 欄に ELB の DNS 名を入力しアクセスできるか確認します。

 

 

 

 

 

 

Route 53 の設定で「独自ドメイン名」でインターネット経由でアクセスできるように設定する

次に現在持っている独自ドメイン名でインターネット経由でプライベートサブネットの Web サーバーにアクセスできるように設定します。

 

【過去の記事】

【AWS】お名前.com で取得した独自ドメインを Amazon Route 53 で名前解決して EC2 インスタンスの Web サーバーにアクセスさせる手順

 

 

 

 

「Amazon Route 53」に独自ドメインを登録する

AWS 管理コンソール画面にログインをして「サービス」–「Route 53」をクリックします。

 

 

 

 

 

「Amazon Route 53」画面で「DNS management」の「Get started now」ボタンをクリックします。

 

 

 

 

 

 

左側ペインより「Hosted zones」をクリックし「Create Hosted Zone」ボタンをクリックします。

 

 

 

 

 

「Created Hosted Zone」ボタンをクリックして下図のように「You have no hosted zones」のメッセージが表示されたら再度「Create Hosted Zone」ボタンをクリックします。

 

 

 

 

 

Create Hosted Zone の画面が表示されたら以下のように設定します。

• Domain Name　←　お名前.com で取得した独自ドメイン名を入力します。（例：example.comなど）
• Type　←　「Public Hosted Zone」を選択します。

設定が完了したら「Create」ボタンをクリックします。

 

 

 

 

 

登録が完了すると、下図のように AWS のネームサーバーが4つ表示されます。

この4つのネームサーバーを後ほど「お名前.com」に登録します。

 

 

 

 

AWS ELB と Amazon Route 53 に登録した独自ドメインを紐付ける

次に「AWS ELB」と「Amazon Route 53」に登録した独自ドメインを紐付けます。

「Create Record Set」ボタンをクリックします。

 

 

 

 

 

下図のように右側ペインの「Alias」の「Yes」にチェックを入れます。

 

 

 

 

 

下図のように設定をします。

• Type　←　「A – IPv4 address」を選択します。
• Alias Target　←　空欄をクリックすると ELB の DNS 名が表示されるので選択します。（若干分かりにくいかもしれませんが、よく見ると ELB の DNS 名が表示されています）

設定をしたら「Create」ボタンをクリックします。

 

 

 

 

 

 

下図のように ELB の Alias が追加されていることを確認します。

以上で、Amazon Route 53 側の設定は完了です。

引き続き「お名前.com」側での設定をします。

 

 

 

 

 

「お名前.com」に「Amazon Route 53」のネームサーバーを登録する手順

「お名前.com」にログインします。

https://navi.onamae.com/login

 

 

 

 

 

ログインしたら下図のように「ドメイン」タブをクリックします。

 

 

 

 

 

下図のように「更新手続きをお忘れではございませんか？」のメッセージが画面が表示されたら「更新画面から移動する」ボタンをクリックします。

 

 

 

 

 

下図のようにドメイン一覧が表示されるので対象の「独自ドメイン名」をクリックします。

 

 

 

左側ペインより「ネームサーバーの設定」–「ネームサーバーの変更」をクリックします。

 

 

 

 

「2.ネームサーバーの選択」で「その他」タブをクリックします。

 

 

 

 

 

以下のように AWS で提示されたネームサーバー4台すべて設定し「確認」ボタンをクリックします。

 

 

 

 

 

確認画面で設定を確認し「OK」ボタンをクリックします。

 

 

 

 

下図のように「完了しました」メッセージが表示されることを確認します。

 

 

 

お名前.com でドメインが1円から取得できるキャンペーンをやっています。（ドメインとレンタルサーバーのセットの場合）

 

 

 

 

 

 

ネームサーバーが変更されたことを確認する手順

上記手順でネームサーバーが「AWS のネームサーバー」に変更されましたが、本当に変更されたのか確認する手順を解説します。

「ドメイン Navi」の「ドメイン一覧」タブをクリックします。

 

 

 

 

 

対象の「ドメイン名」のリンクをクリックします。

 

 

 

 

 

ドメインの詳細情報が表示されるので「ネームサーバー情報」を確認します。

ここで今現在の設定を確認することができます。

 

 

 

名前解決の動作確認

最後に動作確認をします。

手起動なサーバーにログインして「nslookup」コマンドを実行します。

グローバル IP アドレスが返ってくれば名前解決が出来ています。

[root@ip-10-0-0-11 ~]# nslookup xxxxxxxxxx.com  Server:         10.0.0.2  Address:        10.0.0.2#53    Non-authoritative answer:  Name:   xxxxxxxx.com  Address: 54.178.156.248  Name:   xxxxxxxx.com  Address: 52.197.167.212    [root@ip-10-0-0-11 ~]#

 

 

 

 

 

 

ブラウザを開き、独自ドメイン名を入力し、インターネット経由でアクセスできるか確認します。

 

 

 

 

 

【Part.2】は以上で完了です。

【Part.3】では SSL 証明書を ELB に導入してリダイレクトの設定をします。

 

 

過去の記事

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.1】

 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.2】

 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

Sophos の日本語のマニュアル（管理者ガイド）の探し方

Sophosの詳しい日本語のマニュアル（すべての機能が解説している700ページ近いマニュアル）の探し方です。

迷った時は小まめにマニュアルを読むようにします。

 

 

Sophos 日本語ページにアクセスします。

https://www.sophos.com/ja-jp.aspx

 

 

 

 

 

上のメニュー画面より「サポート」タグをクリックします。

 

 

 

 

下図のように「ドキュメント」タグをクリックします。

 

 

 

 

 

「製品の検索」のプルダウン一覧より「Sophos UTM」を選択します。

 

 

 

 

 

「ソフトウェア UTM 9」より日本語版の管理者ガイドを選択します。